Adatbiztonság a gazdaságinformatikában ZH december 7. Név: Neptun kód:

Átírás

1 Adatbiztonság a gazdaságinformatikában ZH 015. december 7. Név: Neptun kód: 1. Tekintsük a következő rejtjelező kódolást: nyílt üzenetek almaza {a,b}, kulcsok almaza {K1,K,K3,K4,K5}, rejtett üzenetek almaza {1,,3,4,5}. A kódolást a következő mátrix írja le: a b K1 1 K 4 K3 3 1 K4 5 3 K5 4 5 Pl. E k3 (a)= A kulcs valószínűségeloszlása P K ={/5, 1/5, 1/5, 1/10, 1/10}, az üzenet valószínűségeloszlása P X ={1/3, /3}. a.) Definiálja a tökéletes rejtjelezést (p) b.) Tökéletes rejtjelezést valósít meg a adott rejtjelezés? (4p). a) Definiálja az OFB blokk rejtjelezési módot (kódolás, dekódolás)! (p) b) Hitelesített rejtjelezést végzünk a következő módon: az üzenetet as-eljük, majd az üzenetet és a as-t együtt rejtjelezzük OFB módban K kulccsal és konstans 0 IV-t asználva: Formálisan, az m üzenetez tartozó itelesített és rejtjelezett üzenet a c = E K (m (m)), aol a rejtjelezés OFB módban történik (IV = 0). Mutassuk meg, ogy a a támadó ozzájut egy (m; c) nyílt szöveg rejtett szöveg pároz, akkor a K kulcsot is ki tudja számítani. (3p) c) Tetszőleges m-mel azonos osszúságú m üzenetez elő tudja-e állítani a c = E K (m (m )) itelesített rejtjelezést! (3p) a.) Definiálja a kriptográfiai as függvény ütközésellenálló tulajdonságát! ( n) ( n) ( n) b.) Tekintsük az alábbi H( xn, ) = 1 ( ( x) ) as függvényt, aol 1 illetve ( n) a 1 illetve as függvények n-szeres alkalmazását jelenti. Milyen n értékekre lesz biztonságos a H(x,n) konstrukció, a tudjuk, ogy b1.) 1 ütközés-ellenálló, de b.) 1 nem ütközés-ellenálló, de Válaszát, mindkét esetben Indokolja! nem ütközés-ellenálló tulajdonságú? (3p) ütközés-ellenálló tulajdonságú? (5p)

2 4. Tekintsük az alábbi /etc/passwd file részletet: root /vizsga1 #: cat /etc/passwd doris:x:1001:1001::/ome/doris:/bin/bas alex:x:100:100::/ome/alex:/bin/bas bob:x:1003:1004::/ome/bob:/bin/bas Az /etc/group fájl a fenti felasználókra vonatkozó része: root /vizsga1 #: cat /etc/group doris:x:1001: alex:x:100: teacer:x:1003:doris,alex bob:x:1004: works:x:1005:bob,doris A fájl ozzáférési jogosultságok az alábbiak: root /vizsga1 #: ls -al drwxr-xr-x 4 root root 4096 dec drwxr-xr-x 18 root root 4096 dec drwxrwsr-x alex teacer 4096 dec mat drwxrwxr-x doris works 4096 dec test root /vizsga1 #: ls -al mat drwxrwsr-x alex teacer 4096 dec drwxr-xr-x 4 root root 4096 dec r--rw-r-- 1 doris teacer 9 dec m1.txt -rw-rw-r-- 1 doris teacer 9 dec m.txt root /vizsga1 #: ls -al test drwxrwxr-x doris works 4096 dec drwxr-xr-x 4 root root 4096 dec w-r--r-- 1 alex doris 11 dec t1.txt -rw-r--r-- 1 doris doris 11 dec t.txt --w-rw-rw- 1 bob bob 11 dec ttxt A felasználók a vizsga1 directory-ban vannak (a mat és a test directory ez alatt van). a) Ki íratja a mat/m1.txt fájlt? ( p) b) Melyik felasználóknak sikeres a cp test/t1.txt mat/m.txt parancs ( p) c) Kik olvasatják a test/ttxt fájlt? ( p) d) Doris felasználó (doris aktív csoporttal) készít egy új fájlt a mat directory-ba (touc mat/m4.txt), Melyik csoport lesz a tulajdonosa a létrejövő új fájlnak? ( p)

3 5. Tűzfal feladat Az ábrán látató elrendezésben szeretnénk a Linux alapú tűzfalat bekonfigurálni. A belső álózaton a gépek a /4 álózatban vannak. A DMZ-ben ( /4) egy webszerver működik a es címen. A tűzfal lábai a következők: et0 kifelé, et1 befelé, et a DMZ irányába. Írjon iptables parancsokat a következő formátumban a részfeladatok megoldásáoz (a paraméterek sorrendjét leetőleg ne változtassa meg, az alapértelmezett szabályokra ne alapozzon): iptables [-t TÁBLANÉV] -A LÁNC [-p PROTOCOL] [-i INIF] [- o OUTIF] [-s SOURCE] [--sport SPORT] [-d DESTINATION] [-- dport DPORT][--to ADD:PORT] -j ACTION 1. A belső álózaton lévő gépek eléretik a webszerver HTTP portját (80-as port) a DMZ-ben, és az válaszolat is, a az interfészek és a címek megfelelőek (állapotmentes megoldást írjon, parancs) ( pont).. A tűzfalon futó SSH szerver (-es port) csak a belső álózatból kapasson csomagot, és a tűzfal mint feladó általában is csak a belső álózatnak küldessen csomagot (ügyeljen a megfelelő lánc választásra, az interfészeket nem kell megadni, 4 parancs) (3 pont). A webszerver a külső álózatból is elérető legyen a nyilvános cím megfelelő portjain (HTTP és HTTPS (443) forgalom is leetséges legyen, parancs) (3 pont) 4. A tűzfalon átaladó bármilyen LDAP-nak címzett forgalom (389-es port) logolva legyen (1 parancs). (1 pont) 5. Sorolja fel, ogy ingress szűrés esetén milyen szabályokra lenne szükség (elég mondatban, nem kell szabály, mondat). (1 pont) Pontozás: 1: 0-16, : 17-3, 3: 4-30, 4: 31-35, 5: 36-40

4 Megoldások Adatbiztonság a gazdaságinformatikában ZH 01 december b) Nem. Pl. P(Y=1 X=a)=/5 P(Y=1 X=b)=1/5, igy X nyilt szöveg es és Y rejtett szöveg valószínűségi változó nem független.. Lényegében kulcsfolyamos rejtjelezést végzünk, s tudjuk, ogy ekkor ismert nyílt szöveg rejtett szöveg pár esetén kiszámolató a k kulcsfolyam: m (m) k = c (m (m)). Ezzel a kulcsfolyammal tetszőleges más üzenet kódolató: m (m ) c = (m (m )) k. b1.) Semmilyen n-re nem lesz biztonságos, mivel a belső as leképezésre könnyű ütközést előállítani, amit a külső leképezés elyben agy. b.) Ugyan nem neéz feladat előállítani egy ütköző x, x 1-ősképpárt, de neéz feladat ezekből mint as értékekből -ősképeket előállítani (eez nem egyirányúnak kellene lennie -nek, azonban szokásos szűkítő leképezés dimenziók esetén az ütközésmentesség implikálja az egyirányúságot) 4. Megoldás: a) teacer csoportra van írási jog, de doris a tulajdonos! Csak alex (+ root) b) doris (+ root) (bob nem tud írni, alex nem tud olvasni) c) doris, alex (+ root) d) teacer a. iptables A FORWARD p tcp i et1 o et s /4 d dport 80 j ACCEPT b. iptables A FORWARD p tcp i et o et1 s sport 80 d /4 j ACCEPT

5 a. iptables A INPUT p tcp s /4 dport J ACCEPT b. iptables A INPUT p tcp dport J DROP c. iptables A OUTPUT d /4 J ACCEPT d. iptables A OUTPUT J DROP a. iptables t NAT A PREROUTING p tcp d dport 80 to :80 J DNAT b. iptables A PREROUTING p tcp d dport 443 to :443 J DNAT 4. a. iptables A FORWARD dport 389 j LOG 5. a. Külső interfészről nem érkezet csomag belső címes feladóval b. Külső interfészről nem érkezet csomag DMZ címes feladóval