Name:... Vorname:... Matrikel-Nr.:... Studienfach:...

Transkript

1 Stefan Lucks Medien Bauhaus-Univ. Weimar Probeklausur Name: Vorname: Matrikel-Nr.: Studienfach: Wichtige Hinweise: 1. Prüfen Sie Ihr Klausurexemplar auf Vollständigkeit (ein Deckblatt und Aufgabenblätter mit den Seitennummern 2 14). 2. Die Klausur dauert 90 Minuten. 3. Alle Aufgaben sind auf dem jeweils zugehörigen Aufgabenblatt zu bearbeiten. 4. Die Klausur ist komplett (mit Deckblatt und allen Aufgabenblättern) abzugeben. 5. Vermerken Sie Ihren Namen und Ihre Matrikelnummer auf jedem Aufgabenblatt! Nur so kann sichergestellt werden, dass einzelne von Ihnen bearbeitete Seiten der Klausur auch Ihnen zugeordnet werden. Punkte Aufgabe 1 8 Aufgabe 2 12 Aufgabe 3 8 Aufgabe 4 16 Aufgabe 5 12 Aufgabe 6 8 Aufgabe 7 16 Aufgabe 8 20 Gesamt 100 erreicht 6. Zugelassenes Hilfsmittel: 1 Blatt (Din A4) mit handschriftlichen Notizen (beidseitig); andere Hilfsmittel (z.b. Taschenrechner) sind nicht erlaubt! 7. Die Fragen sollen knapp und präzise in Stichpunkten beantwortet werden. Alle in Formeln vorkommenden Bezeichner müssen erklärt werden soweit die Aufgabenstellung nicht ausdrücklich etwas anderes aussagt. 8. Unterschreiben Sie die letzte Seite der Klausur!

2 Aufgabe 1 (Grundlagen) (8 Punkte) (a) Sei N eine natürliche Zahl. Beschreiben Sie kurz den Zusammenhang von ZZ N, ZZ N und ϕ(n). (b) Berechnen Sie mod 10. (c) Welche der Zahlen 15, 22 und 32 hat ein multiplikatives Inverses in ZZ 99? Begründen Sie Ihre Antwort! (d) Berechnen Sie die unter (b) auftretenden multiplikativen Inversen in ZZ 99 mit Hilfe des erweiterten euklidischen Algorithmus. Geben Sie die Zwischenergebnisse an! Auf der folgenden Seite haben Sie Platz zur Bearbeitung dieser Aufgabe. 2

3 Zusätzlicher Platz zur Bearbeitung von Aufgabe 1. 3

4 Aufgabe 2 (Lineare Feedback-Shift Register) Wir betrachten wir ein 5-bit LFSR mit dem Bildungsgesetz (12 Punkte) x 5 = f(x 0,..., x 4 ) = x 4 x 3 x 2 x 0. (a) Welche Bit-Sequenz wird dem LFSR erzeugt, wenn die Startbelegung (1, 1, 0, 0, 0) ist? Geben Sie die ersten 15 bit an. (b) Wie lang kann die Periode eines n-bit LFSR allgemein höchstens sein? Wie bei LFSRs üblich schließen wir die Startbelegung (0, 0,..., 0) aus. (c) Hat unser 5-bit LFSR maximale Periode? Auf der folgenden Seite haben Sie Platz zur Bearbeitung dieser Aufgabe. 4

5 Zusätzlicher Platz zur Bearbeitung von Aufgabe 2. 5

6 Aufgabe 3 (AES) (8 Punkte) (a) Beschreiben Sie die ShiftRows Operation des AES. (b) Erläutern Sie kurz, warum der AES ohne ShiftRows ein leichtes Angriffsziel wäre. (c) Was ist die Besonderheit der letzten AES-Runde? 6

7 Aufgabe 4 (Blockchiffren) Betrachten sie die rechts abgebildete 3-Runden Feistel- Chiffre, also die Permutation P : {0, 1} 2n {0, 1} 2n. Der Chiffretext (X, Y ) = P (L, R) ist definiert durch L (16 Punkte) R S := L f 1 (R), Y := R f 2 (S) und X := S f 3 (Y ). (a) Geben Sie einen Chosen Plaintext / Chosen Ciphertext Angriff auf diese Chiffre an. (b) Leider hat unser Angreifer noch zusätzliche Informationen. Er kann die Funktion f 3 selbst berechnen er weiss, dass für alle x {0, 1} n die Gleichung f 3 (x) = x gilt. Geben Sie einen Chosen Plaintext Angriff an, der dieses Zusatzwissen ausnutzt! Über die Funktionen f 1 und f 2 weiss der Angreifer allerdings nichts. S X f f 1 2 f 3 Y Für jeden der beiden Angriffe muss gelten, dass dem Angreifer nicht mehr als 4 Orakelfragen zur Verfügung stehen. Auf der folgenden Seite haben Sie Platz zur Bearbeitung dieser Aufgabe. 7

8 Zusätzlicher Platz zur Bearbeitung von Aufgabe 4. 8

9 Aufgabe 5 (Naiv eingesetzte Blockchiffren) Sei E eine n-bit Blockchiffre mit k-bit Schlüsseln. (12 Punkte) (a) Wie verschlüsselt man eine Nachricht M = (M 1,..., M L ) ({0, 1} n ) L im Electronic Codebook Modus (ECB)? (b) Geben Sie einen Angriff an (im Sinn von Angriffsmodell I)! (c) Wenn E eine sichere Blockchiffre und L = 1 ist, ist der ECB Modus dann (c1) sicher im Sinne von Angriffsmodell I bzw. (c2) sicher im sinne von Angriffsmodell II? Geben Sie jeweils eine kurze Begründung! 9

10 Aufgabe 6 (Message Authentication Codes Angriffsdefinitionen) (8 Punkte) (a) Beschreiben Sie kurz einen Chosen Message Existential Forgery Angriff auf einen Message Authentication Code. (b) Beschreiben Sie kurz einen Chosen Message Selective Forgery Angriff auf einen Message Authentication Code. 10

11 Aufgabe 7 (Message Authentication Codes) (16 Punkte) Sei E K eine Permutation {0, 1} b {0, 1} b, definiert durch eine b-bit Blockchiffre unter dem Schlüssel K. Sei M = (M 1,..., M n ) ({0, 1} b ) n eine nb-bit Nachricht. Wir interpretieren den Output von E K als ganze Zahl E K ( ) ZZ 2 b und definieren einen MAC wie folgt: MAC K (M) = (E K (M 1 ) E K (M 2 ) + E K (M 3 ) E K (M 4 ) ± E K (M n )) mod 2 b = E K (M i ) 1 i n i ungerade 2 i n i gerade E K (M i ) mod 2 b. (a) Man gebe einen immer erfolgreichen Angriff auf das MAC-Schema an, der ganz ohne Chosen Messages auskommt. D.h., gesucht ist nach einem Paar (M, A ) mit A = MAC K (M ). (b) Sei A 1 = MAC K (M 1, M 2,..., M n ). Man gebe A 2 = MAC K (M n,..., M 2, M 1 ) an. (Hinweis: Es kann für die beiden Fälle n gerade und n ungerade zwei verschiedene Lösungen geben.) Auf der folgenden Seite haben Sie Platz zur Bearbeitung dieser Aufgabe. 11

12 Zusätzlicher Platz zur Bearbeitung von Aufgabe 7. 12

13 Aufgabe 8 (Sicherheit im Zufallsorakelmodell) Das Kryptosystem Rabin-simple ist wie folgt definiert: (20 Punkte) Sei H ein Zufallsorakel der Ausgabegröße L + u bit. Dabei ist L die Klartextlänge und u ist ein zusätzlicher Sicherheitsparameter. Der öffentliche Schlüssel ist ein Modulus n, der geheime Schlüssel die Faktorisierung von n, bzw. die Information, die man braucht um effizient alle Quadratwurzeln modulo n einer Zahl y ZZ n zu berechnen. Zum Verschlüsseln einer Nachricht M {0, 1} L berechnet man M := M 0 u ( also M, gefolgt von u Null-Bits ), wählt r ZZ n zufällig und berechnet y = r 2 mod n und z = H(r) M. Der Chiffretext ist das Paar (y, z) (ZZ n {0, 1} L+u. Ergänzen Sie den folgenden Beweis, dass das Rabin-simple im Zufallsorakelmodell sicher gegen Chosen Plaintext Angriffe ist. Sei A ein Chosen-Plaintext Angreifer auf Rabin-simple. Wir benutzen A, um einen Algorithmus zu konstruieren, der, gegeben eine zufällige Zahl Y ZZ n einen Wert X liefert mit X 2 Y mod n falls ein solches X existiert. Als Angreifer soll A entscheiden, ob ein gegebener Chiffretext (y, z) die Verschlüsselung einer ihm bekannten Nachricht m ist, oder die Verschlüsselung einer Zufallsnachricht. Wir setzen (y, z) := (Y, Z), dabei ist Y der Wert, dessen Quadratwurzel wir berechnen wollen, und Z {0, 1} L+u ein zufälliger Bit-String der Länge L + U.... (Ab hier ergänzen!)... Auf der folgenden Seite haben Sie Platz zur Bearbeitung dieser Aufgabe. 13

14 Zusätzlicher Platz zur Bearbeitung von Aufgabe 8. 14