Fragen zu netsec (3DES, diffie hellman, MAC)

system · 12. Februar 2008 um 21:58

Disclaimer: Dieser Thread wurde aus dem alten Forum importiert. Daher werden eventuell nicht alle Formatierungen richtig angezeigt. Der ursprüngliche Thread beginnt im zweiten Post dieses Threads.

PoLL · 12. Februar 2008 um 21:58

Fragen zu netsec (3DES, diffie hellman, MAC)
Hi, fuer alle die morgen prüfung haben kommt das sicher zu später,
aber vielleicht kann mir jmd der das ganze am donnerstag hat paar sachen erklären.

DES

warum hat 2DES ne komplexität von 2^56 durch den meet in the middle attack?
ich weis wie es funktioniert aber irgendwie wird mir nicht klar wie sich die 2^56 herausbilden
Das selbe mit den 2^55 bei 1DES … die schlüssel länge ist doch 2^56
wieso kann man bei 3DES den ersten und den letzten key gleichsetzen? weil des weder pure noch closed ist?
ist das D decrypt bei 3DES nur drinnen damit man duch K1=K2=K3 auch mit 1DES peers arbeiten kann?
worauf ich hinaus will ist ob 3 mal encrypten auch funktionieren würde.

MAC

Das ist auf seite 5.5 im skript … ich versteh nicht ganz wie eve es schafft ne nachricht zu erzeugen die den selben mac hat

Diffie hellman

Das interlock protokoll beim man in the middle attack … wieso kann ich den attacker erkennen
wenn er oder sie erfundene nachrichten stücke sendet um fehlenden stücke von alice und bob zu kriegen?

Falls jmd morgen lust auf einen wissens sync hat kann er/sie mich ja übers forum mal anschreiben.

Naja das wars dann schon wieder. Allen die morgen schon haben viel glück!!

mfg PoLL

mute · 12. Februar 2008 um 22:09

ot: wann hast du pruefung?

ichbinder · 13. Februar 2008 um 00:50

[1]
Ich denke es funktioniert so:

du hast einen plaintext und dazu seinen ciphertext.
das tolle is nu, dass wir X = E(K1, P) = D(K2, C) haben. Das heißt: wir probieren einmal alle 2^56 möglichen Ks durch und generieren uns 2 Tabellen daraus, wie in den Folien beschrieben.
jetzt kenn wir alle (K1, K2)-Paare, bei denen E(K1, P) = X = D(K2, C) gilt; das sind die, die uns interessieren.
der Rest is ja dann dieses Wahrscheinlichkeitsgeschubse mit den 2^112 / 2^64…
Das tolle is eben, dass wir nur einmal alle Werte von K durchlaufen aber damit K1 und K2 gleichzeitig simulieren, sozusagen.
So hab’s ich zumindest verstanden… bitte klärt mich auf, falls das anders is. Ich hab heut Nachmittag Prüfung…
Wegen dem 1DES und den 2^55: da lässt er sich doch gar nich weiter drüber aus, oder? Das erwähnt er doch bloß auf Folie 3.25 bzgl. der „Differential cryptanalysis“. Ich hoff mal das is nich relevant.

[2]
Hm, naja… wenn du dir die Mühe sparen willst, dir 3 Schlüssel auszudenken oder auszutauschen und nur 2 machen willst, dann kannst du den 1. und den 3. gleichsetzen, weil wenn dus anders machst (K1=K2 || K2=K3) wär’s ned so doll, weil du dann ja nur einfach verschlüsselt. Ich hoff mal das is im Grunde begründung genug für morgen und ich muss ihm nicht die mathematischen Hintergründe liefern…

[3]
Ich glaube schon, wüsst zumindest spontan ned, warums ned gehn sollt, oder? Zumindest hab ich auf die Schnelle nix gefunden…

[4]
Naja, nimm einfach an, Eve is vollkommen schnuppe, was später wirklich in m’ drinsteht, zumindest der Schluß. Nur y_1 bis y_(n-1) sind für Eve relevant. So, Eve kennt jetzt C_k(m) aus der Nachricht die sie abgefangen hat, also den Endwert davon. Eve will jetzt einfach bloß, dass bei seinem m’ das gleiche rauskommt, das auch beim richtigen m rauskommt, wenn man es mit E_k verschlüßelt. Dabei weiß Eve nicht was k is, is ja auch egal, weils ja im Endeffekt bloß drauf ankommt, was E_k übergeben wird, nämlich das XOR aus allen Teilstücken der Nachricht. Und da kommt halt bei m’=(y_1, …, y_n) das Gleiche raus wie bei m=(x_1, …, x_n). \delta m kann halt frei gewählt werden, das steht hier einfach bloß als Platzhalter dafür, dass genau noch das ins XOR gesteckt wird, was fehlt, damit m’ wirkt wie m.
Ich hoff es war verständlich und auch richtig?

[5]
wiki (engl.) beschreibt das ganz gut, eigentlich.
Eve will ja folgendes:
E fängt die Nachricht von A an B ab, entschlüsselt sie mit nem gemeinsamen Geheimnis s_AE(dass E vorher durch die man-in-the-middle-attack mit A ausgemacht hat) verschlüsselt sie wieder mit dem gemeinsamen Geheimnis s_EB und schickts weiter an B. Und das ganze Spiel geht in die andere Richtung ja genauso.
Was macht aber E jetzt, wenn die Nachricht, die von A kommt, eben unvollständig is, bzw. halt die zweite Hälfte der Gesamtnachricht? A schickt den Rest erst dann los, wenn B den Erhalt bestätigt. Zwischendrin kann aber nicht entschlüsselt werden. Also muss E sich irgendwas ausdenken, was aber wohl auffällt.
Dabei bin ich mir allerdings wirklich ned ganz sicher!

Bitte sagt, ob das alles falsch oder richtig is! Ich bin heut Nachmittag wie gesagt dran…

rob · 13. Februar 2008 um 01:43

[3] Ja, da hat er in der Vorlesung gesagt, dass das für Systeme ist, die nur 1DES können. Genauer wird er es nicht haben wollen denk ich.

PoLL · 13. Februar 2008 um 09:35

[1] das klingt richtig! 2^56 vergleiche mit T1 & T2.
2^55 wegen den choosen plaintext attack. Dieser funktioniert weil
DES ne komplement eigenschaft besitzt. DES(K, m) = not(DES(K,m))
Kannst den Suchraum also halbieren …

[2] hmmm … irgendwie hab ich das gefühl das steck noch mehr dahinter.

[3] okay …

[4] ich glaub ich schaus mir noch mal an … das klingt trivialer als ich dachte.

[5] naja das klärt immernoch net warum eve entdeckt wird … woher sollen bob oder alice wissen
ob die gefälschten stücke nicht doch richtig sind. der witz ist ja das sowohl alice & eve als auch bob & eve
nen secret key sharen … bob und alice kennen sich ja nicht … das ganze ist ja anonym.

ich darf morgen um 14 uhr als letzter ran weil meine anmeldung untergegangen ist …

ichbinder · 13. Februar 2008 um 10:20

[1] ok, gut zu wissen.
[5] hm, in den Folien steht dazu ja: „The content of these messages has to be checkable by A and B“. Ich denk mal, das is genau das was du meinst. Also einfach davon ausgehen, dass Alice und Bob was schicken, was beiden bekannt sein muss.

PoLL · 13. Februar 2008 um 12:42

also ich kann mir nur erklaeren das eve nicht weis
das bob & alice zuerst den 2ten teil schicken und dann
mit dem 1sten teil antworten.
… was ja quasi n preshared secret ist … allerdings eins worauf man schnell kommen kann …
bei wikipedia wurde das interlock protocol auch sofort zerlegt …

also falls jmd was besseres weis …

mute · 13. Februar 2008 um 14:13

vergesst nicht ein pruefungsprotokoll fuers forum zu erstellen bitte

PoLL · 13. Februar 2008 um 20:17

mach ich immer.

ichbinder · 14. Februar 2008 um 01:13

Jo, also die Sachen die er mich gefragt hat, waren (Fragen/Aufgabenstellungen sind fett, “Antworten” kursiv):

Zertifikate (hab mich bissl vertan und hab angefangen Needham-Schröder zu erklären, hab dann aber doch gemerkt, dass was schief läuft und ne umständliche Art von Zertifikat erklärt, ne Art Zwitter aus Needham-Schröder und Zertifikat… weshalb er dann auch gewechselt hat zu…)
Needham-Schröder (so grob erklären wer wem schickt und wer die Arbeit dabei hat, nämlich vor allem A und nicht die TTP, damit kein Denial-of-Service und so…)
dann wollt er wissen, was ich nehm um ne Nachricht m die A an B schickt zu authentifizieren und die Nachrichten-Integrität zu sichern (sprich dass nix dran geändert wurde und das immer noch die original Nachricht is.) Ich meinte zum authentifizieren kann ich z.B. DES oder RSA benutzen, weil das den Vorteil hat, dass es auch gleichzeitig ordentlich verschlüsselt. Is ja dann sichergestellt, dass das von mir kommt, weil ja ich nen Schlüssel benutz, den nur ich kennen kann… Und für die Integrität hab ich halt MD5 gesagt. Dann hat er gemeint, dass ja nach DES m verschlüsselt is, also E(k, m) und was jetzt durch MD5 betroffen is. Ich meinte, dass das wohl m selbst wäre, und nicht m’ = E(k, m), weil das ja auf nem anderen Layer stattfinden kann als MD5. Hat ihm wohl getaugt.
dann sollte ich grob MD5 erklären; hab ungefähr die Grafik mit |A|B|C|D| hingemalt, wo dann eben A mit meinem Messageblock ver-XOR-t wird und so… und gesagt dass halt Hashfunktionen benutzt werden, die eben immer einen Wert einer bestimmten größe erzeugen.
als nächstes wollte er zu was praktischem kommen: IPSec; da hat er gemeint, dass das ja so ungefähr alles kann und wollte wissen, was ich für Einstellungen bei IPSec nehmen würd um Verschlüsselung, Datenintegrität, Authentifizierung sicherzustellen. Ich hab erstmal erklärt, was bei IPSec passiert, also eben SA, Tunnel- vs. Transaction-Mode, AH und ESP (also überall kurz gesagt, was passiert…); Er malte dann so einen IPSec Block hin: |IP|AH|ESP|Data|ESP-T| und fragte, was daran authentifiziert und was verschlüsselt is. Data is verschlüsselt, evtl. durch ESP auch authentifiziert, aber unnötig, weil AH ja den ganzen Block (inkl. IP!) authentifiziert. Die Antwort auf seine Frage is halt, ne Kombo aus AH und ESP.

Außerdem hab ich dann noch kurz mit ihnen darüber geredet, dass MAC auch zur Sicherstellung der Datenintegrität taugt (weil, wenn man was an der orig. Nachricht verändert, auch die MAC anders wird), warum man AH braucht, wenn doch auch ESP authentifiziert (AH nimmt den IP-Header am Anfang mit, ESP nicht) und dass ja das Interlock-Protokoll ziemlich schwierig anzuwenden is, weil A und B ja schon vor dem Anwenden was wissen müssen und was das sein könnte (z.B. aus ner alten Session nen Key oder eben eine bestimmte Protokollspezifikation, die durchgewechselt wird oder sowas; kam halt dann im Grunde drauf raus, dass das Protokoll nix bringt, wenn A und B sich absolut nich kennen.
Die letzten Sachen gingen aber ned in die Bewertung wirklich ein, denk ich.

Insgesamt hab ich mich halt anfangs voll vertan, was dazu führte, dass ich die ganze Prüfung über sehr unsicher war und dumme kleine Fehler gemacht haben. Das hat sie aber glücklicherweise ned gestört und sie ham nirgends auf Details oder sowas rumgehackt, waren sehr freundlich und es war ne lockere Atmosphäre. Sie helfen dir zwar ned raus, wenn du dich wo vertan hast, indem Sinn, dass sie dir die Lösung sagen, aber sie geben dir die Chance, es später nochmal selbst zu verbessern, indem Sie dich zwischendrin was anderes machen lassen oder halt auf deinen Fehler stoßen.
Insgesamt hat meine Prüfung wohl effektiv ca. 20 Minuten gedauert, wenn man bissl Smalltalk und Überprüfung der Daten am Anfang und das Gespräch am Ende abzieht.

So, hoff das is ausführlich genug… Viel Glück für alle die noch Prüfung haben, ich muss ins Bett!

PoLL · 14. Februar 2008 um 01:47

stells doch einfach da http://fsi.informatik.uni-erlangen.de/dw/pruefungen/hauptstudium/ls7 rein.
dann muss keiner suchen.

ichbinder · 14. Februar 2008 um 09:34

ich kenn die Seite und ich machs auch irgendwann hoffentlich, aber jetzt muss ich erstmal physik lernen.

sitomtom · 15. Februar 2008 um 14:06

sehr hilfreiche thema.
Gib’s noch jemand,die auch an NetSec schein-pruefung dieses semesters teilgenommen haben.
was gefragt darueber ,ausserdem was oben nette guys genannt?

rob · 15. Februar 2008 um 19:28

Woran ich mich noch erinnere:

Anfang: A/B/E Bild
Wie können A und B sich
        - Authentifizieren?
        - Vertraulichkeit erreichen?
        - Integrität erreichen?

Needham-Schroeder (incl Nachrichten aufschreiben), Ottway-Rees


SSL-Verbindungsaufbau

Handshake, Zertifikate


SSL-Keymaterial herstellen

Aus Pre-Master-Secret


2 DoS Angriffe beschreiben, und sagen wie man sie verhindern kann.

SMURF, TCP-Syn-Flood
Redirection, Ingres/Egres Filtering, TCP-Syn Cookies