Kursusgang 4: Hashing. RSA.

Transkript

1 Kursusgang 4: Hashing. RSA. 1. Toms oplæg om top Hashing - herunder studenteroplæg om password security 3. RSA - herunder studenteroplæg om privacy 4. Introduktion til næste gang

2 Buffer overflow (vulnerable.c) void f(int i) { char small[30]; gets(small); printf("%s\n",small); } int main() { f(1); } Når f kaldes, allokeres plads på stakken til 30 tegn med start ved small. Alle tegn gets() læser fra skærmen, skrives med start ved small.

3 Model 1 & 2 Alice Trudy Bob 1: 2: Hej, det er Alice :-) Trudy?? Bob

4 Model 2: adgangskontrol Services udbudt af Bob/server: login service rlogin, rsh: forbudt!! ssh: pålidelig andre services http, ftp, finger,.. dynamisk svar: hjælpeprogram skal validere input Hej, det er Alice :-) Trudy?? Bob

5 Proces: adresserum + procestabelpost stak (procedurestak + miljøvariable) tekst (program) data (alle simple og sammensatte objekter undtagen de som er lokale til procedurer) pid uid filer.. tid... Procestabel Post: Procesdata i kerne

6 Stak indeholder returadresse til brug ved afslutning af procedurekald data (forudset længde) falsk returadr. ny kode Returadresse CALL p ramme stak tekst ny kode er lukket ind i systemet i den tro at det var data data

7 Kursusgang 4: Hashing. RSA. 1. Toms oplæg om top Hashing - herunder studenteroplæg om password security 3. RSA - herunder studenteroplæg om privacy 4. Introduktion til næste gang

8 Kaufman kapitel 5, opgave 2. Antag hashmetode er simpel xor samt en god kryptografisk hashfunktion, fx SHA-256. M= blok1 blok 2.. blok m H = Hash(M) = SHA-256(blok1 + blok blok m ) Kan dette bruges som kryptografish hashmetode?

9 Kaufman kapitel 5, opgave 2 (svar) M= blok1 blok 2.. blok m H = Hash(M) = SHA-256(blok1 + blok blok m ) Denne hashmetode er også alt for simpel. Kollision mellem M M M M fx M = I øvrigt foreslår jeg at Carol forfremmes og får lønforhøjelse Fordi: Hash(M M M ) = Hash(M + M + M ) = Hash(M + 0) = Hash(M)

10 Kaufman kapitel 5, opgave 18 Hvorledes dekrypteres en ciffertekst, der er skabt af en hash-genereret one time-pad? Kryptering - af p 1, p 2,.. med hjælp af delt, hemmelig nøgle K AB og initialiseringsvektor IV. b 1 = hash(k AB IV) c 1 = p 1 xor b 1 b 2 = hash(k AB c 1 ) c 2 = p 2 xor b 2

11 Kaufman kapitel 5, opgave 18 Kryptering - af p 1, p 2,.. med hjælp af delt, hemmelig nøgle K AB og initialiseringsvektor IV. b 1 = hash(k AB IV) c 1 = p 1 xor b 1 b 2 = hash(k AB c 1 ) c 2 = p 2 xor b 2 Dekryptering: b 1 = hash(k AB IV) p 1 = c 1 xor b 1 b 2 = hash(k AB c 1 ) p 1 = c 2 xor b 2 Modtager beregner samme b-værdier (one time-pad).

12 Hvad er en hashfunktion En hashværdi er et fingeraftryk af en tekst eller et objekt. En hashfunktion skal beregne fingeraftrykket. Hashfunktioner bruges blandt andet i sikkerhedsteknologien i datastrukturer til lagring og søgning (hashede arrays) i kommunikationsteknologien (checksum, paritetsbit, o.l.)

13 Anvendelser Hej Bank. Jeg overfører 1000 kr. til min mors konto. Alice. Hej Bank. Her er listen over månedens lønudbetalinger. Personaleafdelingen. Hej Niklas. Jeg byder 14 mia. kr. for Skype. Mvh. Meg Whitman, ebay.

14 Sikkerhedsmål Autentificering (authentication) Fortrolighed (confidentiality) Integritet (integrity) Uafviselighed (nonrepudiation) Tilgængelighed (availability)

15 Fordel: Blokkædning med CBC: bedre hemmeligholdelse, men øget behov for integritet Eliminerer ECB's svagheder i relation til hemmeligholdelse Ulemper: Fortsat svagheder i relation til integritet modifikation af ciffertekst giver forudsigelig ændring med (muligvis) negligerbare sideeffekter P 1 P 2 P 3 = P 1 IV E k E k E k C 1 C 2 C 3 <> C 1

16 Simple integritets-check: Hashing uden nøgle-baseret autentificering Jar-filen bcprov-jdk jar har checksummen (sha-1): 4a3aeba0 7c3e711c 23bd5131 fd d2de6f00 Anvendelse forudsætter at man har en pålidelig kilde til checksummen simpel læsning fx af website beskytter ikke mod fusk med checksummen nok i mange sammenhænge ikke nok til kryptografisk applikation

17 Svage hash-funktioner: Analyse af DES-nøglens paritetsbits Hvorfor er 8 bits for lidt? Antag at en DES-nøgle er sendt til os, men undervejs ændres den til 64 helt tilfældige bits. I hver byte vil paritetsbitten være: korrekt med sandsynligheden ½ forkert med sandsynligheden ½ Sandsynligheden for at vi tror vi har modtaget den rigtige DES-nøgle er ½*½*..*½ = 1/(256) Konklusion: Hvis vi er nervøse for at nøglen ændres under distributionen, bør vi foretage et stærkere integritetscheck.

18 Krav til kryptografisk hashfunktion (1) Tre elementære krav - for at en hashfunktion overhovedet er praktisk brugbar: 1. variabel inputlængde 2. fast outputlængde (fx 128, 160 eller 256 bit) 3. overkommelig at beregne

19 Krav til kryptografisk hashfunktion (2) Tre ikke-elementære krav, hvor må ikke kunne findes betyder må ikke kunne findes undtagen ved udtømmende søgning (antal bits i hashværdi: n) 4. envejs-egenskab: Givet h, må man ikke kunne finde x, så H(x) = h. udtømmende søgning for at gætte x: ~ cirka 2 n 5. svag kollisions-modstandsdygtighed: Givet x, må man ikke kunne finde y hvor H(x) = H(y) ellers kan besked forvandskes (omend ikke arbitrært) udtømmende søgning for at gætte y: ~ cirka 2 n 6. stærk kollisions-modstandsdygtighed Der må ikke kunne findes x og y hvor H(x) = H(y). jf. fødselsdagsangreb (omend ikke arbitrær forvandskning) udtømmende søgning for at gætte x og y: ~ cirka 2 (n/2) dvs. kræver dobbelt længde af hashværdi

20 Sammenligning med kravene til krypteringsalgoritmer Lighedspunkt: eneste angrebsmulighed skal være udtømmende søgning ved hashing gættes besked i stedet for nøgle lavineeffekt/randomisering ønskværdig Forskel: ikke injektivitet kollisionsproblematik ikke ønske om inverterbarhed

21 Princip: tilfældighed Måden at leve op til kravene er ved randomisering. Vælg cirka 1000 beskeder, beregn alle hash-værdierne, og test for tre egenskaber: 1. alle pladser, fx plads nr. 17 i hashværdien, skal være 0 hhv. 1 i ca. halvdelen af hashværdierne 2. alle hash-værdier skal have cirka lige mange 0 og 1 3. selv om to beskeder ligner hinanden, skal deres hashværdier være forskellige i cirka halvdelen af hashværdiens bits.

22 SHA-1 Er den mest hyppigt anvendte hash-algoritme i forbindelse med digital signatur Standardiseret af NIST i 1995 som korrektion af SHA-0 hvori der var fundet svaghed I familje med MD4 og MD5 (designet af bl.a. Ron Rivest). SHA-1 blokstørrelse 512 bits hashværdi 160 bits og betragtes nu som delvist knækket men der er 'storesøskende' med hashværdi på 256+ bits

23 Hashing ved "iterativ kompression" Blok 1 Blok 2 Blok n I.V. Kom pressi on Kom pressi on... Kom pressi on Hashværdi Konstant I.V. = initialiseringsvektor (eksempel SHA-1) efcdab89 98badcfe c3dwe1f0 (antal bits?) Størrelser (eksempel: SHA-1): Blokstørrelse 512 bit Størrelse af hashværdi 160 bit "Kompressions-funktion" komprimerer 512 -> 160 bit SHA-1: 80 iterationer per blok

24 SHA-1: overblik A B C D E Blok Kompression + Kompression (bidrag af den enkelte blok): 1. oppust fra 512 til 5*512 bits 2. for (t=0; t<80; t++) { opdater ABCDE} Oppustet blok A B C D E

25 Simpel udskiftning : målsætning Bud: Hej Niklas. Jeg byder 14 mia. kr. for Skype. Mvh. Meg Whitman, ebay. Skypes konkurrence vil ændre besked til: Bud': Hej Niklas. Jeg byder ikke 14 mia. kr. for Skype. Mvh. Meg Whitman, ebay.

26 Angreb som muliggøres af m kollisioner hash Meg Whitman Niklas m MAC K krypter ing MAC = E K (hash(m)) Hvis hash(m) = hash(m') opdages udskiftningen ikke ved integritetschecket

27 Simpel udskiftning: metode Bud: Hej Niklas. Jeg byder 14 mia. kr. for Skype. Mvh. Meg Whitman, ebay. Bud': {Hej Hejsa} Niklas. Jeg {vil kan} ikke købe Skype. Jeres tilbud er for {dyrt højt}. Mvh. Meg Whitman, ebay. Hvor mange alternativer skal afprøves, for at bryde en 64-bit hashfunktion?

28 ad 6: Fødselsdagsangreb på besked med 64 bits MAC Hos ebay har direktøren en svigefuld sekretær, M, som vil sende et forfalsket besked til Skype. M kender ikke direktørens nøgle, men kan opsnappe og modificere beskeden foreslå en formulering til direktøren (som skal virke rimelig) M A B

29 Fødselsdags-angreb: metode Bud: {Hej Hejsa} Niklas, min {gamle gode} ven. Jeg {tilbyder byder} 14 mia. kr. for Skype. Mvh. Meg Whitman, ebay. Bud': {Hej Hejsa} Niklas. Jeg {vil kan} ikke købe Skype. Jeres tilbud er for {dyrt højt}. Mvh. Meg Whitman, ebay.

30 Fødselsdags-angreb Bud Bud Bud' Niklas: Besked er sendt af Meg og uændret. hash RSA Mac Mac 64 bit hashværdi (n,d)

31 Sandsynlighed for sammenfaldende fødselsdag Analogi: Hvad er sandsynligheden for at der i et lokale med k personer er mindst to med samme fødselsdag (f.eks. 25. februar)? Allerede med k=23 er sandsynligheden > 50%! Morale: Hvis 64 bit er nok til at sikre svag kollisionsmodstandsdygtighed, skal der bruges 128 bit til at sikre stærk kollisionsmodstandsdygtighed.

32 X. Wang, Y. L. Jin, and H. Yu. Collisions Search Attacks on SHA februar, (3 sider). 13. februar 2005: Hash-algoritmen SHA-1 er knækket af en gruppe kinesiske forskere. Gruppen har fundet en metode til at finde kollisioner, som er væsentligt hurtigere end udtømmende søgning: antal søgninger = 2 69 i stedet for 2 80 Metoden har allerede fundet konkrete kollisioner i SHA-0 reduceret udgave af SHA-1 (58 iterationer isf. 80) SHA-1 skal derfor udfases eksisterende applikationer kan stadig bruges da 2 69 formentlig ikke er praktisk muligt (pt)

33 Wangs angreb og fødselsdagsangrebet de Simple angreb sværeste Wangs angreb angreb Fødselsdagsangreb sværhedsgrad Hvis man kan finde to kollisioner, kan man måske også finde to kollisioner, der er tæt på et udgangspunkt

34 Artikel til studenterfremlæggelse Morris & Thompson. "Password security: A Case History."

35 MAC - med hashing og/eller kryptering Andre måder at lave en MAC: (1) MAC = Hash + 1-nøgle kryptering i øvrigt som hash + 2-nøgle kryptering kræver distribution af hemmelig nøgle giver ikke uafviselighed (2) MAC = Sidste cifferblok i 1-nøgle kryptering med CBC langsommere end hashing ikke 'gratis' selv om der alligevel skal krypteres (3) Meta-metode : HMAC: kombinerer hashing og nøgle i flere omgange MAC uden kryptering Besked

36 ad (3): MAC: hashværdi af besked+nøgle?? Besked Besked Nøgle hash MAC

37 Sårbarhed af hash af besked+nøgle Besked Besked Nøgle hash MAC PS: Løn! Viser sig at være sårbart over for at forfalske beskeden til en besked, der har noget ekstra bagerst (Kaufman s. 124).

38 HMAC for vilkårlig hashmetode Princip: to iterationer med hashing af besked+nøgle Besked Besked hash hash Padding af nøgle + MAC MAC Nøgle + 5c5c..5c

39 Kryptering vs. hashing - afrunding Hashfunktion kan erstatte kryptering (5.2.3). ved at generere en one-time-pad ud fra initialiseringsvektor og bruge ciffertekst som nyt input Kryptering kan erstatte hashfunktion (5.2.4) også på anden vis end ved at bruge CBC-residual Forslagene i Kaufman er spidsfindigheder bortset fra hashing af unix-password vhja. kryptering.

40 Kursusgang 4: Hashing. RSA. 1. Toms oplæg om top Hashing - herunder studenteroplæg om password security 3. RSA - herunder studenteroplæg om privacy 4. Introduktion til næste gang

41 RSA-opgave Beregn RSA-nøglepar ud fra primtallene 3 og 11.

42 5. Den private nøgle er (n,d), hvor: e*d mod f(n) = 1 d = 7 fordi 3*7=21 og 21 mod 20 = 1. (n,d) = (33,7) RSA-algoritmen: Generering 1. Find to primtal p og q, passende store (fx 512 bits) (p <> q) 2. Udregn n = p*q n = 3*11 = Udregn f(n) = (p-1)(q-1) f(33) = 2*10 = Den offentlige nøgle er (n,e) hvor: 1 < e < f(n) gcd(e,f(n)) = 1 e = 3 (eller 7,11,13,17,19) (n,e) = (33,3)

43 2-nøgle kryptering 2 forskellige nøgler i nøglepar, hvoraf den ene kan være offentlig. 2 nøgle kryptering = assymmetrisk kryptering = offentlig nøgle kryptering (som dog er et lidt bredere begreb) Øverste tegning viser kryptrering fx af symmetrisk nøgle. Nederste tegning viser signering fx af MAC/hashværdi. M kryptering C dekryptering M offentlig nøgle privat nøgle M dekryptering C kryptering M

44 2-nøgle vs. 1-nøgle kryptering 2-nøgle kryptering: langsommere ikke mere sikkert vær altid opmærksom på.. hvilken form for angreb? (kendt klartekst? valgt klartekst? kendt ciffertekst?) M kryptering C dekryptering M offentlig nøgle privat nøgle

45 2-nøgle vs. 1-nøgle kryptering Vær altid opmærksom på.. hvilken form for angreb? Valgt klartekst: angriberen kan få krypteret klartekst efter eget valg idet angriben jo har den offentlige nøgle jf. Kaufman eksempel med 14 ministre (s. 153) M kryptering C dekryptering M offentlig nøgle privat nøgle

46 MAC Meg Whitman m MAC Niklas Zennström m = Hej Niklas. Jeg byder 14 mia. kr. for Skype. Mvh. Meg, ebay.

47 MAC med 2-nøgle kryptering: m digital signatur hash Meg Whitman Niklas m MAC K pr krypter ing MAC = E Kpr (hash(m)) Afsenders private nøgle bruges til en digital signering af m hash-operationen reducerer mængden af data til kryptering Da den private nøgle kun kendes af afsender, opnås uafviselighed

48 Angreb som muliggøres af m kollisioner hash Meg Whitman Niklas m' MAC K krypter ing MAC = E K (hash(m)) Hvis hash(m) = hash(m') opdages udskiftningen ikke ved integritetschecket

49 Baggrunden for udviklingen af 2-nøgle kryptering Primær anvendelse og historisk årsag til forskningsinteressen: udveksling/distribution af nøgler til symmetrisk kryptering Sekundær anvendelse, med stigende betydning autentificering og signering Nøgledistributionsproblemet ikke fuldstændig løst certifikater m.v. nødvendige for autentificering ved distribution problemer med standardisering, brugervenlighed, m.v. Standardisering padding: brug for standard blokbehandling: kun standard for hvordan data anbringes i 1 blok format for certifikat format for signaturfil..

50 Krav til 2-nøgle kryptering 1. Overkommeligt at generere nøglepar, f.eks. for B: e b og d b (e for encrypt, d for decrypt). 2. Overkommeligt for A at kryptere: C = E(e b,m) 3. Overkommeligt for B at dekypretere: M = D(d b,c) 4. Uoverkommeligt for modstander at generere d b ud fra e b. 5. Uoverkommeligt for modstander at generere M ud fra C=E(e b,m) og e b. (6. e b og d b kan bytte roller) Formuleret af Diffie og Hellman før de havde en løsning.

51 Historisk om 2-nøgle kryptering. Daværende direktør for National Security Agency (NSA) i USA hævdede NSA havde PKI i 1960erne James Ellis fra en engelsk militær forskningsgruppe opfandt en PKIvariant i starten af 70erne som modforholdsregel mod et eksploderende antal hemmelige nøgler til symmetrisk kryptering af militær kommunikation n enheder skal bruge og distribuere (n 2 )/2 hemmelige nøgler Ellis inspireret af manuskript fra Bell Labs fra 40erne om hemmeligholdelsen af indhold af telefonsamtaler: Alice ringer til Bob for at give beskeden M Bob genererer støj (S) som gør det samlede signal (M+S) uforståeligt (OBS: Dette er specielt for analog telefonforbindelse) Bob optager (M+S) Bob kender S og kan derfor fjerne det fra (M+S) Tydede på at hemmeligholdelse var mulig uden (delt) hemmelig nøgle

52 RSA: generering 1. Find to primtal p og q af passende størrelse (fx 512 bits) (p <> q) 2. Udregn n = p*q 3. Udregn f(n) = (p-1)(q-1) 4. Den offentlige nøgle er (n,e) hvor: 1 < e < f(n) gcd(e,f(n)) = 1 5. Den private nøgle er (n,d), hvor: e*d mod f(n) = 1

53 RSA: brug Offentlig nøgle: (n,e) Privat nøgle: (n,d) Kryptering (af besked M som kan repræsenteres ved tal som er mindre end n): Kryptering af besked M til krypteret besked C (0 <= M,C <= n): C = M e mod n Dekryptering: Udregn C d mod n Signering: Omvendt brug af nøgleparret.

54 RSA opgave: Krypter "E" A = 1, B = 2, C = 3, D = 4, E = 5,... Offentlig nøgle = (33,3) dvs. n = 33 Klartekst: M = 5

55 RSA opgave: Krypter "E" A = 1, B = 2, C = 3, D = 4, E = 5,... Offentlig nøgle = (33,3) dvs. n = 33 Klartekst: M = 5 C = 5 3 mod 33: 5 2 mod 33 = 5*5 = mod 33 = 125 mod 33 = 26 Krypteret tekst: C = 26

56 RSA-opgave Knækning af RSA-nøgle: offentlig nøgle = (33,3), hvad er den private nøgle (33,d)?

57 RSA-opgave Knækning af RSA-nøgle: offentlig nøgle = (33,3), hvad er den private nøgle (33,d)? 33 = 3*11, dvs p=3 og q=11. f(33) = (3-1)(11-1) = 2*10 = 20. 3*7 = 1 mod 20, dvs. 7 er den multiplikativt inverse til 3. Dvs. den private nøgle er (33,7). Ny opgave: Prøv at dekyptere E(5)=26 med den fundne private nøgle!

58 RSA hvorfor virker det? Dekryptering giver M fordi (Me ) d mod n = M e*d mod n = M på grund af den måde n, e og d er valgt: e*d=1 mod f(n) (n,e) (n,d) M M e (mod n) = C C C d (mod n) = M M

59 RSA: effektivitet Hvor lang tid tager det at udregne M e mod n hvis e~512 bits og n~1024 bits? To metoder bruges til at reducere tiden: 1. Der tages modulus n efter hvert skridt. 2. Antallet af multiplikationer nedbringes ved at kvadrere (antal multiplikationer bliver maks. 2 for hver bit i nøglen) I princippet udnyttes at: M 64 = M 2*2*2*2*2*2 = (((((((M 2 ) 2 ) 2 ) 2 ) 2 ) 2

60 RSA: hvorfor er algoritmen sikker? Knækning af RSA-nøglepar: fx. offentlig nøgle = (33,3), hvad er den private nøgle (33,d)? Sikkerheden ved RSA beror på, at faktorisering af store tal er uoverkommelig (selv om man ved der er præcis to primtalsfaktorer) Trial-and-error metode har eksponentiel kompleksitet Visse moderne metoder har bedre kompleksitet: subeksponentiel k., der intuitivt er "næsten-eksponentiel". Bedste kendte hedder Tallegeme-sien (Number Field Sieve) fra ca Der eksisterer ikke bevis for, at der ikke findes bedre algoritmer.

61 RSA: generering (fortsat) Hvad skal man være opmærksom på i forbindelse med generering af RSA nøglepar?

62 RSA: generering (fortsat) Hvad skal man være opmærksom på i forbindelse med generering af RSA nøglepar? At de to primtal, p og q, vælges på tilfældig måde. så en angriber ikke kan rekonstruere udvælgelsen I praksis: 1. vælg størrelse fx 512 bits. 2. vælg et tilfældigt tal X i intervallet test om X, X+1, X+2,.. er et primtal ad 3: der bruges probabilistisk metode (samme procedure for det andet primtal, husk at vælge nyt X) Det er tilladt at vælge e til at være den samme, lille konstant fx 3 eller = (binært) brug af offentlig nøgle meget hurtigere ved 512 bits nøgler: over hundrede gange hurtigere

63 Artikel til studenterfremlæggelse Günter Müller. "Personalization in privacy-aware highly dynamic systems."

64 RSA: primtalstest M. Agrawal, N. Kayal, N. Saxena - tre indiske matematikere har fundet en ny, hurtig måde at teste om et tal er et primtal (primalitetstest). Metoden er polynomiel, hvor bedste metode hidtil krævede en form for udtømmende søgning (bortset fra de probabilistiske metoder). Er dette en potentiel trussel mod RSA?? Se M. Agrawal, N. Kayal, N. Saxena: Primes is in P. URL:

65 Kaufman kapitel 6.2: 2-nøgle kryptering med addition mod n? Offentlig nøgle (n,e) E(M) = M + e mod n Privat nøgle (n,d) d er altid lig med -e. d er den additivt inverse til e (dvs. subtraktion) D(C) = C + d mod n = (M + e ) - e mod n = M mod n = M Fordel: Modulær addition er injektiv Ulempe: Den private nøgle er let at gætte (hvordan?) (n,e) (n,d) M M+e (mod n) = C C C-d (mod n) = M M

66 Offentlig nøgle (n,e) E(M) = M*e mod n 2-nøgle kryptering med modulær multiplikation?!? Privat nøgle (n,d) d opfylder d*e mod n = 1. d er den multiplikativt inverse til e D(C) = C*d mod n = (M*e )*d mod n = M*(e*d) mod n = M Fordel: Injektiv, hvis e er relativt primisk med n Ulemper: Den private nøgle er relativt let at gætte (n,e) (n,d) M M*e (mod n) = C C C*d (mod n) = M M

67 Modulær eksponentiering Er lig med RSA den private eksponent d er den eksponentiative (?) inverse til e mod n (M e ) d mod n = M e*d mod n = M når e*d=1 mod f(n) og her kan d ikke findes selv om man kender e (n,e) (n,d) M M e (mod n) = C C C d (mod n) = M M

68 Kursusgang 4: Hashing. RSA. 1. Toms oplæg om top Hashing - herunder studenteroplæg om password security 3. RSA - herunder studenteroplæg om privacy 4. Introduktion til næste gang

69 Netværksanvendelse (1): Chip-Dankortet Ægthed af kortet: to metoder bruges på chip-dankortet Dankort A/S vil ikke sige hvornår / under hvilke betingelser 1. Statisk metode: Static Data Autentication (SDA) Samme data sendes hver gang Kortdata: kontonummer, kortnummer, navn,.. kan kopieres til nyt kort men produktion af nyt kort er vanskelig signering viser at kortdata er originale 2. Dynamisk metode: Dynamic Data Authentication (DDA) samme som SDA plus challenge-response challenge: terminalen sender tilfældigt tal response: kortet svarer med signering af tallet produktion af nyt kort kræver at privat nøgle læses (tampering)

70 Netværksanvendelse (2) Bank Kunde Genererer challenge M offentlig nøgle privat nøgle M dekryptering C kryptering M Banken dekrypterer med kundens offentlige nøgle. Hvis resultatet stemmer, er kunden autentificeret.

71 Udkast til syv eksamensspørgsmål 1. Gør rede for principperne i DES og fordele og ulemper ved DES. 2. Skitser principperne i Rijndael og gør rede for fordele og ulemper ved algoritmen. 3. Gør rede for fælles træk og forskelle mellem symmetrisk og asymmetrisk kryptering. 4. Gør rede for fordele og ulemper ved forskellige metoder til blokbehandling, fx ECB og CBC (Electronic Code Book og Block Cipher Chaining). 5. Skitser principperne i RSA og gør rede for fordele og ulemper ved algoritmen. 6. Gør rede for kravene til kryptografisk hashing, og beskriv SHA 1 overordnet. 7. Gør rede for principper og udfordringer for brugen af passwords til autentificering af brugere over for servere.

72 Test på femte kursusgang d. 13. oktober Simpel skriftlig test ca. 20 min. Eventuelt kan I være anonyme. Formål: måle hvad I har fået ud af kurset indtil nu anspore jer til at samle op på stoffet indtil nu