Frage 1: Welche der folgenden Hash-Funktionen Sollen sie Heute nicht mehr verwenden A) SHA2-256 B) SHA3-256 C) MD5 D) SHA2-384 E) SHA3-224
Frage 2: Welches kryptologische Verfahren ist am wenigsten resistent gegen einen
Quantencomputer? A) RSA B) SHA3 C) 3DES D) OTP E) Merkle Signaturen Frage 3: Welche Aussage ist falsch bzgl. der Aufgabe zur Erstellung eines signierten PDFs A) Sie mussten ein eigenes asymmetrisches Schlüsselpaar erzeugen. B) Die CA inklusive des privaten Schlüssels war vorgegeben. C) Zur Prüfung der PDF-Signatur musste das selbstsignierte Zertifikat der CA in den PDF-Reader eingebettet werden. D) OpenSSL konnte für die Erstellung der Schlüssel und die CSRs genutzt werden. E) Über die Signatur wird die Vertraulichkeit und Integrität des Inhalts geschützt Frage 4: Welche Aussage ist falsch bzgl. der Position von Sicherheitsprotokollen im OSI- Modell? A) SSL wird der Sitzungsschicht zugeordnet, liegt also zwischen der Anwendungsschicht und der Transportschicht. B) HTTP über SSL liegt in der Anwendungsschicht und verwendet den Standard- TCP-Port 443. C) SSH ist der Anwendungsschicht zuzuordnen und verwendet den Standard-TCP- Port 23. D) IPSec arbeitet auf der Vermittlungsschicht, oberhalb von IP und unterhalb der Transportschicht. E) WEP und WPA gehören zur Sicherungsschicht.
Frage 5: Was ist kein zwingender Bestandteil eines X.509v3-Zertifikats?
A) Eine digitale Signatur. B) Der öffentliche Schlüssel des Zertifikatsinhabers. C) Die Versionsnummer, konkret 3. D) Der Gültigkeitszeitraum. E) Die E-Mail-Adresse des Zertifikatinhabers im CN. Frage 6: Sie loggen sich zweimal hintereinander mit Ihrem Passwort auf der Seite https://studip.hochschule-trier.de ein. Die Konfiguration von Client und Server wird nicht verandert. Woran liegt es, dass das Passwort in beiden Fallen unterschiedlich verschlüsselt wird? A) Client und Server wählen im Handshake unterschiedliche Noncen. B) Client und Server wählen im Handshake unterschiedliche Hashfunktionen. C) SSL verwendet unterschiedliche Zertifikate. D) Client und Server wählen unterschiedliche Verschlüsselungschiffren. E) Die verwendete CA unterbindet dies durch das Online Certificate Status Protokoll.
Frage 7: Über wie viele Onion Router / TOR-Knoten wird in den Standardeinstellungen des TOR Browser Bundles eine Verbindung zu einer Web-Seite (kein Hidden Service) aufgebaut? A) 1 B) 2 C) 3 D) 4 E) 6
Frage 8: Sie empfangen eine per PGP verschlusselte und signierte E-Mail von Ihrem Professor und wollen diese prüfen und lesen. Welche Aussage ist richtig? Ich benotige seinen___________und meinen ________schlüssel dafür. A) öffentlichen, öffentlichen B) öffentlichen, privaten C) privaten, öffentlichen D) privaten, privaten E) Keine Aussage ist richtig. Frage 9: Welcher Begriff hat am wenigsten mit Zugriffskontrolle zu tun? A) Capabilities B) PFS C) RBAC D) ACL E) Discretionary Access Control
Frage 10: Was ist falsch in folgender SNORT-Regel zum Erkennen von Angriffen auf FTP? alert top any any -> any 21 (mmg:"FTP ROOT"; search:"user root";) A) Statt alert muss es warning heißen B) FTP verwendet UDP statt TCP. C) FTP verwendet den Kontrollport 23 statt 21. D) Statt search muss es content heißen. E) Im Header muss erst der Port und dann die IP-Adresse stehen.
11: Wie heißt der Hauptdarsteller in einem bekannten Witz über SQL-Injection? A) Robert'); DROP TABLES Students; -- B) Robert'); -- DROP TABLES Students; C) -- Robert'); DROP TABLES Students; D); DROP TABLES Students; E) Robert') ; UPDATE GRADES SET GRADE='A' WHERE STUDNAME = 'Robert' AND CLASS = 'IT Security'; Frage 12: Welche Aussage ist falsch bzgl. Shibboleth? A) Die drei beteiligten Parteien sind der User / Browser, SP und IdP B) Die URL des IdPs der Hochschule Trier lautet https://idp.hochschule-trier.de C) Shibboleth unterstützt SSO. D) Zur Autorisierung können sog. Attribute verwendet werden. E) Shibboleth verwendet SAML Assertions, die auf dem JSON-Format aufbauen.
Frage 13: Sie wollen in Ihrem Unternehmen einen Prozess zur Einhaltung und Verbesserung der Informationssicherheit etablieren. Welches Gesetz bzw. welcher Standard passt dazu am besten? A) Common Criteria B) BSI IT-Sicherheitsgesetz C) DSGVO D) ISO 20001 E) ISO 27002
Frage 14: Welche Aussage trifft nicht auf den Datenschutz zu? A) Eine bessere Bezeichnung für Datenschutz ist „informationelle Selbstbestimmung“. B) Hochschulen sind in Deutschland von der Erstellung von Datenschutzerklärungen für Ihre Webseiten befreit. C) IP-Adressen gelten als personenbezogene Daten. D) Privacy by Design ist ein Grundsatz des Datenschutzes nach DSGVO. E) Wollen Sie einen externen Cloud-Dienste zur Speicherung von personen- bezogenen Daten nutzen, ist ein Vertrag zur Auftragsdatenverarbeitung notwendig. 2. Kryptologie (7 Punkte) a) Skytale: Der Umfang des Stabes in Zeilen ist 5. Der Ciphertext lautet „OSNIPLCTEEYHELKMEREIPWSINIIPNG“. Wie lautet der Klartext?
b) Betriebsarten von Blockchiffren: Für einen Schlüssel K sei die Blockchiffre Ek(M) mit der Blocklänge 3 Bit durch die folgende Tabelle gegeben. Beispiel: Ek(7) = 5.
M 0 1 2 3 4 5 6 7 Ek(M) 7 1 0 4 3 2 6 5
Geben Sie die allgemeine Formel für die CTR-Entschlüsselung für die Blocklänge von 3 Bit an. Beachten Sie, dass der Ciphertext C1 mit IV+1 entschlüsselt wird.
1. Entschlüsseln Sie den Ciphertext „576“ mit der Blockchiffre Ek im Counter (CTR)-Mode mit dem Initialisierungsvektor „6“ und dem festen Schlüssel K. Jede der drei Zahlen im Ciphertext steht für 3 Bit, z.B. C1=5=101
2. Welchen Plaintext P erhalten Sie? Geben Sie
Ihre Berechnung an.
c) Verschlüsseln Sie den Klartext M=3 mit dem Schlüsselmaterial oben. Verwenden Sie die Methode des wiederholten Quadrierens.
d) Welche der folgenden Werte benötigt man beim RSA-Verfahren, um eine Signatur der Nachricht M zu verifizieren? Umkreisen Sie die jeweiligen Werte.
e d n M p q Signatur(M)
3. RSA Es ist der folgende öffentliche RSA-Schlüssel bekannt: n=91, e=11.
a) Geben Sie die Primfaktoren p und q von n=p*q an.
p=
q=
b) Zeigen Sie mittels des erweiterten Euklidischen Algorithmus, dass d = 59. Verwenden Sie dazu ein in der Vorlesung vorgestelltes Verfahren: „Rückeinsetzen“ oder „Tabelle mit s und t".
4. Gültigkeitsmodelle Die für die Bearbeitung der Aufgabe wesentlichen Daten der verwendeten Zertifikate sind nachfolgend dargestellt. Alle Signaturen sind gültig. Sie sind tatsächlich von dem Aussteller eines Zertifikats vorgenommen wurden. Es sind keine Zertifikate revoziert.
Certificate A Certificate B Certificate C
Serial Number 4711 4712 280815 Issuer RootCA RootCA SubCA NotBefore 1.2.2020 1.4.2020 1.6.2020 NotAfter 31.6.2022 31.4.2022 31.8.2022 Subject RootCA SubCA Alice Public Key key- key- key- 0x0815 OxFEED 0xAABB SignedBy RootCA RootCA SubCA with key- with key- with key- 0x0815 0x0815 0xFEED
a) Alice signiert Dokumente zu unterschiedlichen Zeitpunkten. Tragen Sie in der
folgenden Tabelle das Ergebnis der Signaturverifikation am 1.12.2022 ein. Mögliche Werte sind G für „gültig“ und U für „ungültig“.
b) Geben Sie für das Schalenmodell den maximalen Zeitraum an, in dem Alice eine gültige Signatur erstellen kann.
Von________ bis _____________
5. Protokolle (6P)
a) Diffie-Hellman: Alice und Bob wollen mit dem Diffie-Hellman-Verfahren einen
gemeinsamen Schlüssel K basierend auf der Primzahl p=7 aushandeln. Wählen Sie geeignete Zahlen und skizzieren Sie die ausgetauschten Nachrichten in der unten dargestellten Abbildung. Berechnen Sie die ausgetauschten Werte und den gemeinsamen Schlüssel K. Welche Voraussetzungen müssen für die gewählten Zahlen gelten?
Alice Bob
Voraussetzungen: b) Sie bekommen bei der ersten Anmeldung an den SSH-Server der Hochschule mit Putty den folgenden Warnhinweis angezeigt.
• Erklaren Sie, wie der Fingerprint kryptographisch berechnet wird.
• Wie verhalten Sie sich als sicherheitsbewusster Anwender? Was tun Sie?
c) RAID: Skizzieren Sie, wie bei einem RAID-Level 5 System mit vier Platten und neun Datenblöcken diese auf die Platten verteilt werden. Verwenden Sie dazu die Grafik. Markieren Sie auch einen „Stripe“
1 2 3 4 5 6 7 8 9
6. Computersicherheit (7 Punkte) a) Passwörter sollten nicht zu einfach gewählt werden, und gleichzeitig sollte man sie sich gut merken können. Welche Empfehlungen zur Passwortwahl wurden dazu in der Vorlesung gemacht?
b) Das Passwort-Cracking Tool John the Ripper kann in drei verschiedenen Modi verwendet werden, um gehashte Passwörter „zurückzurechnen“. Wie heißen die drei Modi, wie lange dauert deren Durchlauf in der Standardkonfiguration (1 = schnell, 2 = mittel, 3 = lang) und welches der drei Beispiel-Passwörter tRkmzXi, password, knorr2022 kann am schnellsten mit welchem Modus geknackt werden? Füllen Sie die folgende Tabelle passend aus Modus Dauer des Beispiel-Passwort Durchlaufs
7. Firewall
An einen statischen Paketfilter eines Unternehmens mit drei Netzinterfaces sind folgende Netze angebunden: · NIC1: Extranet mit dem externen Client (IP-Adresse „CE“) . NIC2: DMZ mit dem Web-Server (IP-Adresse „WS“) und dem Zeit-Server (IP-Adresse „TS") des Unternehmens . NIC3: Intranet mit dem internen Client (IP-Adresse „Cl“) Folgende Kommunikationsbeziehungen sollen am Paketfilter ermöglicht werden: (i) CE darf über NTP (Network-Time-Protocol):über den UDP-Port 123 mit TS kommunizieren (ii) WS darf über NTP (Network-Time-Protocol) über den UDP-Port 123 mit TS kommunizieren. (iii) Cl und CE dürfen über den Standard HTTPS-Port auf WS zugreifen. Die folgende Tabelle zeigt den Vorschlag des Firewall-Administrators für das aus den obigen Kommunikationsregeln resultierende Regelwerk des statischen Paketfilters. Markieren und verbessern Sie alle fehlerhaften Eintragungen. Fehlerhafte Verbesserungen führen zu Punktabzug.
Nr. NIC IP-SRC IP-Dest Port Src-PORT Dest-Port ACK Action Comment/ addressirte Regel 1 3 CE TS TCP <1023 123 ANY PERMIT (i) 2 2 TS CE TCP 123 <1023 YES PERMIT (ii) 3 2 WS TS TCP <1023 123 ANY PERMIT (ii) 4 2 TS WS TCP 123 <1023 YES PERMIT (iii) 5 3 CI WS TCP <1023 80 ANY PERMIT (iii) 6 2 WS CI TCP 80 <1023 NO PERMIT (iii) 7 3 CE WS TCP <1023 80 YES PERMIT (iii) 8 2 WS CE TCP 80 <1023 YES DENY (iii) 9 ANY ANY ANY ANY ANY ANY ANY PERMIT Drop all Regel
