Opgaven Signatures Security, 17 okt 2018, Werkgroep.

Transcriptie

1 Opgaven Signatures Security, 17 okt 2018, Werkgroep. Gebruik deze opgaven, naast die uit het boek, om de stof te oefenen op het werkcollege. Cijfer: Op een toets krijg je meestal zes tot acht opgaven. 1. Certificaten: Wat zijn de belangrijkste componenten van een sleutelcertificaat? Wat zijn de belangrijkste problemen van de certificaat-gebaseerde PKI? Oplossing: Een certificaat bindt een identiteit (naam) met een publieke sleutel door de handtekening van de certificaatverlener (CA). Naast deze belangrijkste drie componenten zijn er geldigheidstermijnen, gebruiksvoorwaarden, etc. Door gebrek aan scoping kan een probleem bij een certificaatverlener al het verkeer op internet onveilig maken. Beoordeling/Toelichting: Totaal 2pt, voor elk deelantwoord 1. Codes: F = Geen Fingerprint in het certificaat, dat rekent de client zelf na. K = Een certificaat beschermt je alleen als je op een site Komt, niet meer als je er eenmaal bent; onjuist, want bij het controleren van een certificaat wordt ook een sessiekey onderhandeld die je gebruikt tijdens je verdere bezoek. Een fake site kan dus niet zomaar een lopende sessie met een veilige site hijacken. S = Geen Scoping genoemd, max 1/2 voor 2e deelvraag. 2. Een Kraak bij SecuCert: Chinese hackers hebben ingebroken bij Certificate Authority SecuCert en de geheime signing key gestolen, waardoor zij valse SecuCert-websitecertificaten kunnen uitgeven. Lia weet dat gmail.com niet beveiligd is met een SecuCert-certificaat, maar met een GeoTrust-certificaat. Kan Lia veilig naar gmail.com gaan, en welke maatregelen moet zij eventueel nemen? Oplossing: De echte gmail.com site heeft wel een GeoTrust certificaat, maar de hackers kunnen een neppe site maken met een vals SecuCert certificaat! De browser signaleert niet waar een certificaat vandaan komt, als er maar een trust chain is die loopt tot een root certificaat. Lia moet dus bij het checken van haar mail opletten dat de site die zij bezoekt, niet is beveiligd met een certificaat van SecuCert. Na een update van haar browser zal SecuCert waarschijnlijk vanzelf uit de lijst van vertrouwde aanbieders zijn verdwenen. Beoordeling/Toelichting: Tot 2pt voor goede uitleg. In de volksmond wordt erover gesproken dat een certificaat een site beveiligt, maar je moet inzien dat een certificaat weinig doet als je eenmaal op de goede site zit. Het certificaat is een instrument dat jou moet terugsturen wanneer je op een verkeerde site terecht komt. Dat kan door criminelen worden uitgelokt met typosquatten (gmall.com of gmial.com). Maar de overheid, NSA en/of providers kunnen het ook wanneer je het goede adres typt door een omleiding van verkeer binnen het Internet. Dit is na de DigiNotar hack daadwekelijk gebeurd bij Iraanse dissidenten; die hebben hun gmailwachtwoord ingetypt op een neppe site, iets wat in sommige landen erg gevaarlijke gevolgen kan hebben. A = Je moet opletten dat gmail niet opeens een Ander certificaat heeft. D = In de DigiNotar kwestie is dit echt gebeurd. J = Het adres Juist intypen is niet genoeg ivm. omleiding van verkeer.

2 3. Digitale Handtekening: In deze vraag wil Alice een bericht naar Bob sturen, maar Bob wil graag dat Alice ter verificatie haar digitale RSA-handtekening onder het bericht zet. (a) Alice maakt gebruik van een hash-functie om haar bericht te ondertekenen. Noem twee redenen waarom dit slimmer is dan het hele bericht in één keer te ondertekenen. (b) Hoe werkt ondertekening en verificatie met RSA? Welke functies (met welke parameters) worden hierbij gebruikt? (c) Alice stuurt haar bericht B met hash H(B) naar Bob. Na een poosje blijkt Oscar een (ander) bericht B gemaakt te hebben met H(B ) = H(B); Oscar doet alsof Alice dit bericht ook heeft ondertekend. Is de hashfunctie van Alice zwak bostingsvrij? Is hij sterk botsingsvrij? Oplossing: (a) Alice hoeft zo niet het hele bericht te gebruiken in de handtekening. Alice kan nu langere berichten ondertekenen. Daarnaast verdedigt deze hash haar tegen de existentile vervalsing. (b) Voor het ondertekenen bereken je S = M d (mod n). Verificatie: controleer dat S e gelijk is aan M (modulo n). Hierbij is (n, e) de publieke sleutel van Alice en (n, d) de geheime sleutel van Alice. M is de hash van het bericht dat ondertekend wordt. (c) Oscar heeft B niet beïnvloed, maar bij het (voor hem) gegeven bericht B een bericht gemaakt met gelijke hash. Dit is een inbreuk op de zwakke botsingsvrijheid. Als de functie niet zwak b.v. is, is hij zeker niet sterk b.v. Hij is dus noch sterk, noch zwak botsingsvrij. Beoordeling/Toelichting: 0,5pt per goede reden bij (a), 1pt voor functie met parameteraanduiding bij (b), 0,5pt voor (c). Totaal 2pt. 4. Hashfuncties: Hashfuncties (ook wel fingerprints genaamd) worden gebruikt bij het maken van een digitale handtekening. (a) Wanneer is een hashfunctie one-way, wanneer zwak botsingsvrij en wanneer sterk botsingsvrij? (b) Hoe werkt de verjaardagsaanval en welke eigenschap van de hashfunctie beschermt ertegen? Oplossing: (a) Het betreft de onmogelijkheid om (1) een bericht te vinden met gegeven hash, (2) een tweede bericht te vinden met dezelfde hash als een gegeven bericht, (3) twee berichten te vinden met dezelfde hash. (b) Vind twee berichten met dezelfde hash, laat er een ondertekenen en gebruik de handtekening voor het andere. Sterke botsingsvrijheid sluit dit uit. Beoordeling/Toelichting: Totaal 3pt. Voor (a) 1pt als je twee eigenschappen goed hebt, 1,5pt als je alledrie hebt. Voor (b) 1pt voor de aanval, 1/2pt voor de eigenschap. Beoordelingscodes: V = Het gaat om het Vinden van berichten, niet om het bestaan ervan. W = Wat doe je met die twee berichten (bij b moet duidelijk zijn dat de aanval interactief is).

3 5. Hash bij Handtekening: Noem twee redenen om hashing te gebruiken bij RSA Signatures. Geef de Sign methode voor RSA signatures met hash. Oplossing: Hashing (1) garandeert de integriteit van een lang bericht in plaats van alleen de delen; (2) maakt existentiële vervalsing onmogelijk door de One Way eis op de hashfunctie; en (3) is efficiënt uit te voeren op een lang bericht. Signen van M met (n, d): Bereken H = F (M), pad H naar een getal h Z n, bereken S = h d. Beoordeling/Toelichting: Max 2pt, 1 voor elke deelvraag. B = Door Botsingsvrijheid is de Sig voor geen ander bericht geldig; dit is geen argument voor hashen. F = Tweede deel zonder de RSA Formule, 1/2. H = Je argument is een voordeel van Signen, niet voor Hashing daarbij. W = Hash is Oneway dus originele Waarde niet te vinden; nauwelijks een argument ergens voor want Sig wordt meestal met bericht meegestuurd. 6. Blinde Handtekening: Alice heeft een bericht M dat ze door Bob wil laten ondertekenen (met RSA) maar zonder dat Bob de inhoud ziet. Bob stemt erin toe, voor Alice één ongezien bericht te tekenen. (a) Bewijs dat voor een correcte RSA handtekening geldt S e = M (mod n). (b) Om welke veiligheidsreden zal Bob liever zijn handtekening onder de hash van M zetten? Waar moet deze hash aan voldoen? (c) Kan bij een geblindeerde RSA handtekening nog gebruik gemaakt worden van de hash? (Zo nee, waarom niet; zo ja, bewijs dat dit kan). (d) Op welke drie manieren kan Bob zorgen dat een blinde handtekening onder het juiste soort token gezet wordt? Oplossing: (a) S = M d dus geldt dat S e = M de (mod n). Omdat d is gekozen als e 1 in Z φ(m) kan dit herschreven worden tot M e e 1 = M. (b) Bob weet dat door de hash een existentiele aanval niet mogelijk is. Voor een hash moet wel gelden dat hij sterk botsingsvrij is. (De andere eisen volgen hieruit). (c) Dit kan door de hash te nemen van het bericht: h = H(M). Dit wordt geblindeerd met b = k e, dus Alice stuurt Bob h.b. Bob berekent (h.b) d = (H(M) k e ) d = H(M) d k ed = k H(M) d. (1) Alice deelt door k, dwz., vermenigvuldigt dit getal met k 1, nu houd ze de ondertekening van het gehashte bericht over. (d)er zijn volgens het dictaat drie mogelijkheden voor controle: Verschillende sleutels gebruiken voor verschillende soorten berichten of gebruik maken van de Cut-and-choose methode of werken met een zero knowledge proof. Beoordeling/Toelichting: Totaal 4pt: 1pt voor (a); 1pt voor (b) (0,5 per subvraag); 1,5pt voor (c); 0,5pt voor (d).

4 7. Digitale Handtekening: Bob wil informatie van Alice ontvangen, maar die moet ondertekend zijn met RSA; gelukkig kent Bob de public key (n, e) van Alice. (a) Alice maakt gebruik van een hash-functie om haar bericht te ondertekenen. Noem (twee) redenen waarom dit slimmer is dan het hele bericht in één keer te ondertekenen. (b) Hoe werkt ondertekening en verificatie met RSA? Welke functies (met welke parameters) worden hierbij gebruikt? (c) Alice ondertekent een bericht M dat is opgesteld door haar assistent Oscar. Oscar heeft ook een (ander) bericht M gemaakt met H(M ) = H(M); Oscar verstuurt dit bericht, samen met de handtekening voor M. Is de hashfunctie van Alice zwak bostingsvrij? Is hij sterk botsingsvrij? Oplossing: (a) Door hashen wordt de integriteit van het hele bericht gegarandeerd, niet alleen van losse blokken. Alice kan nu langere berichten ondertekenen. Daarnaast verdedigt deze hash haar tegen de existentile vervalsing. (b) Voor het ondertekenen bereken je S = F d (mod n). Verificatie: controleer dat S e gelijk is aan F (mod n). Hierbij (n, d) de geheime sleutel van Alice. F is de hash van het bericht, die aan beide kanten berekend wordt. (c) Het is Oscar gelukt een botsing te creëren, dwz twee berichten met dezelfde hash, wat in strijd is met de sterke botsingsvrijheid. Hij heeft hier namelijk beide berichten mogen opstellen. Het creëren van een botsing met een bestaand bericht is veel moeilijker, maar er is geen aanwijzing dat Oscar dat heeft gedaan. Dus geen bewijs voor inbreuk op zwakke botsingsvrijheid. Beoordeling/Toelichting: Totaal 3pt, namelijk 1 per deelvraag. V = Vertrouwelijkheid is geen issue voor een handtekening.

5 8. RSA met Hashing: Om een boodschap te ondertekenen met RSA, wordt meestal eerst een hash van die boodschap berekend, en wordt de hash ondertekend. (a) Noem twee redenen waarom het ondertekenen via een hash gaat. (b) Waarom moet de hashfunctie sterk botsingsvrij zijn? (c) Van Android apps wordt een hash van het APK (installatie) bestand berekend en gesigned. Waarom is de gebruikte procedure kwetsbaar voor malware? Oplossing: (a) Hier zijn er drie. Ongeacht de lengte van het bericht kan de hash met een enkele RSA-berekening worden gesigned. Het hashen voorkomt dat uit delen van een getekend bericht een nieuw vals bericht wordt samengesteld. Het hashen maakt existentiële vervalsingen zinloos omdat de aanvaller bij de valse handtekening over F, een bericht moet vinden met hashwaarde F. En vooruit een vierde: het hashen houdt het bericht verborgen voor wie de handtekening ziet. Wordt ook meegerekend, al is geheimhouding niet het eerste doel van een handtekening. (b) Sterk botsingsvrij betekent dat je geen twee berichten kunt vinden met dezelfde hashwaarde. Als dat wel kan, kun je een van die berichten laten ondertekenen (door iemand die dat een goed bericht vindt), waarna de handtekening ook geldig is voor het andere bericht. Het gaat hierbij dus om een actieve aanval. (c) Zo n APK is een zip archief met meerdere bestanden erin. Er zit een bug in Android bij de behandeling van een zip waarin meerdere bestanden met dezelfde naam zitten. De hash wordt dan berekend over het ene bestand, maar bij het uitpakken wordt het andere gebruikt. Daardoor kan een aanvaller een vals bestand laten gebruiken, door het op de goede plek in de zip in te voegen en het originele te laten staan (Bluebox attack). Beoordeling/Toelichting: Max 3, voor elke deelvraag een punt. Beoordeling: A = Het moet bij (b) wel duidelijk gemaakt worden dat het hier een Actieve aanval is, zoniet 1/2. B = Boodschap blijft onbekend voor signer; zonder uitleg waarom je dit zou willen geen punt. E = Noemt Een reden ipv. 2; 1/2. K = Knoeien met bericht verandert de hash; geen argument voor hashen, want het verandert ook de handtekening. M = Hash is Makkelijk te berekenen; ook geen argument want niets berekenen is altijd nog makkelijker. 9. RSA met Hashing: Voor de ondertekening van berichten wordt meestal SHA2RSA gebruikt, dwz., RSA signing in combinatie met (SHA2) hashes. (a) Beschrijf de controle van een ontvangen bericht M met signature S. (b) Noem (minstens twee) voordelen van het hashen (ten opzichte van pure RSA signatures). (c) Boris Boef wil een bestaande app in Google Play vervangen door zijn spyware, maar zo, dat de signature op de app geldig blijft. Welke eigenschap van de hashfunctie moet dit voorkomen? Oplossing: (a) (Haal modulus m uit het certificaat van de afzender.) Bereken F 1 = H(M) en F 2 = S e ; er moet gelden F 1 = F 2. (b) Je kunt langere berichten in een keer tekenen. Hashen beschermt tegen existentiële vervalsing. (c) Boris zoekt een bericht (met inhoud spyware) waarvan de hash gelijk is aan de hash van een bestaand bericht. Het is de zwakke botsingsvrijheid die hiertegen beschermt. Beoordeling/Toelichting: Tot 3pt, een per deelvraag.

6 10. RSA Handtekening met Certificaat: Alice ontvangt een bestand F, met een SHA1/RSAhandtekening S en een PKI-certificaat, van Bob. Beschrijf kort de stappen die Alice doet om de geldigheid van F te controleren. Oplossing: Certificaatcontrole: Het certificaat moet geldig zijn (dwz., getekend door een CA, waarvan ook weer een certificaat aanwezig moet zijn, tot een chain of trust tot root certificate), niet verlopen of ingetrokken, en op naam van Bob staan. Zoja, neem public key (n, e) uit certificaat. Hashing: Bereken de hashwaarde H van F met SHA1: H = SHA1(F ). RSA Verify: Reken na dat H = S e. Beoordeling/Toelichting: Max 2pt. B = Ik zie een zin met veel Bekende woorden erin maar te weinig betekenis. C = Mist beschrijving Chain of Trust. D = Checkt met H d = S, is functioneel hetzelfde maar Alice heeft d niet. H = Mist beschrijving van Hashing. P = Alice checkt met haar Private key; onjuist. R = Mist hoe RSA verificatie werkt. V = Te Vaag omschreven.

7 11. Code Signing: Martin wil een malafide, creditcardstelende app MM in de ipad Appstore plaatsen. Helaas voor Martin worden alle apps eerst door Apple bekeken, en alleen apps die geen creditcards stelen worden ondertekend (met een Hash plus RSA mechanisme). De controle op de inhoud van de apps is vrij goed, en de RSA handtekening van Apple kan Martin niet namaken. Martin probeert een goedgekeurde, bonafide app BB te vervangen door MM, maar zo dat de signature onder BB nu geldig is voor MM. (a) Eerst probeert Martin, zelf een goeie app BB te maken naast zijn eigen MM. Welke eigenschap van de gebruikte hashfunctie zal moeten voorkomen dat Martin slaagt? Leg uit. (b) Martin probeert, een reeds bestaande veelgebruikte app BB te vervangen door MM. Welke eigenschap van de gebruikte hashfunctie zal moeten voorkomen dat Martin slaagt? Leg uit. (c) Schat hoeveel werk de aanvallen in (a) en (b) zijn, als Apple een hashwaarde van 192 bits gebruikt. Oplossing: (a) Elke bestaande handtekening S is maar voor een enkele hash geldig, namelijk H = S e. Martin kan dus alleen slagen als BB en MM dezelfde hashwaarde hebben. In zijn eerste poging heeft Martin controle over BB en hij probeert twee strings te produceren (BB en MM) met dezelfde hash. Dit is onmogelijk wegens de sterke botsingsvrijheid. (b) In de tweede poging beschouwt Martin de BB als gegeven en probeert bij die BB een string MM te vinden met dezelfde hash. Dit is onmogelijk wegens de zwakke botsingsvrijheid. (c) Martin kan een soort van BruteForcen door zijn code (BB en/of MM) van commentaar met lange random strings te voorzien. Als hij BB als gegeven beschouwt, moet hij naar verwachting ongeveer waarden van x proberen om te bereiken dat H(MM, x) = H(BB). Als hij met MM en BB mag variëren, heeft hij aan ongeveer 2 96 waarden van x en evenzoveel van y genoeg om een botsing te vinden tussen H(mm, x) en H(bb, y). Het is dus makkelijker voor martin om zijn eigen bonafide app te maken! Beoordeling/Toelichting: Totaal 3, 1 voor elke deelvraag. A = Alleen de complexiteit van (b) is te weinig voor punten bij (c), want dit is wat te vanzelfsprekend. D = Met het maken van twee apps hebben die nog lang niet Dezelfde hash, M = Je moet bij (c) wel inzien dat de eerste aanval Makkelijker is. T = Onterechte deling door Twee; een aanval op zwakke botsingsvrijheid kost verwacht 2 k hashes, en niet 2 k /2. W = De One Way eigenschap is hier (iha bij Signing) nauwelijks relevant, de apps staan immers open en bloot in de Appstore.

8 12. Signature en Hash: Een veelgebruikte manier om berichten te ondertekenen is SHA2RSA, wat wil zeggen dat van het bericht eerst een SHA2 hash wordt berekend, en dat die hash wordt gesigned met RSA. Oscar wil Alice s handtekening vervalsen onder bericht M, door eerst een existentiële vervalsing (F, S) te produceren, en dan M zo te veranderen dat SHA2(M) = F. (a) Is het mogelijk een existentiële vervalsing te maken? Zoja hoe, zonee waarom niet? (b) Is het mogelijk om M zo te veranderen dat de hash F is? Zoja hoe, zonee waarom niet? (c) Is voor SHA2RSA het Signen of het Verifiëren het duurst? Maakt het hierbij verschil of het bericht lang of kort is? Leg uit. Oplossing: (a) EF (Existential Forgery) is voor RSA heel makkelijk. Neem een random getal S en bereken (met de public key) de bijbehorende F als F = S e. Het paar (F, S) is een geldig getekend RSA paar. (b) SHA2 is One Way, dat betekent dat het voor gegeven F, onmogelijk is een bericht te vinden dat op F hasht. De extra wens van Oscar dat het bericht lijkt op M maakt het zeker niet makkelijker, dus nee, dit kan niet. (c) Voor Signen moet je het bericht hashen en de private RSA-functie aanroepen op de hash. Voor Verifiëren moet je ook het bericht hashen en dan de publieke functie aanroepen op de handtekening. Hashen is duurder voor een lang bericht, maar omdat dit voor beide handelingen nodig is, maakt dat voor het antwoord niet uit. De RSA publieke functie is heel goedkoop en de private functie is duur (kwadratisch versus kubisch), dus ondertekenen is flink duurder dan controleren, ongeacht de berichtlengte. Beoordeling/Toelichting: Per deelvraag 1pt dus totaal te halen 3. Hashing is een manier om existentiële vervalsing van je complete schema onmogelijk te maken. De EV waar Oscar mee wil beginnen is een paar (F, S), dus alleen een EV van het RSA-deel. B = Het overnemen van een Bestaand bericht geldt niet als vervalsing. C = Zelfs met de CRT blijft signen veruit het duurst. H = Het Hashen kost wel tijd (afhankelijk van de lengte) en dit gebeurt ook bij verifieren! M = Geen of onjuiste Motivatie. P = Oscar zoekt een Pre-image van F, geen botsing! S = Redeneren met Sterk botsingsvrij is niet goed, want Oscar zoekt geen botsing. V = Als je bij (a) Vast het antwoord voor (b) geeft telt dat voor (b). Z = Redeneren met Zwak botsingsvrij is niet goed, omdat de hash van het gewijzigde bericht juist verschilt van die waar Oscar mee begint.