Arvutiteaduse instituut
  1. Kursused
  2. 2018/19 kevad
  3. Infoturve (MTAT.07.028)
EN
Logi sisse

Infoturve 2018/19 kevad

  • Pealeht
  • Loengud ja praktikumid
  • Kodutööd ja reeglid
  • Eksam
  • Uudised
  • Viited

Kodutöö #2

Tähtaeg: 28. aprill (lahendused tuleb esitada enne esmaspäeva)

Soovituslikud materjalid

  • Why the Web Needs Perfect Forward Secrecy More Than Ever
  • SSL Server Test
  • Küülikukasvatusest e-riigis
  • Announcing the first SHA1 collision
  • SHAttered

Kirjalikud ülesanded

PKC, PKI ja HTTPS

  1. Kirjeldage paari lausega, mis on räsifunktsioon. Mille poolest erinevad krüpteerimine ja räsimine? (1p)
  2. Leia veebilehe https://courses.cs.ut.ee sertifikaadist selle lehe avalik võti. Salvesta avalik võti (mitte terve sertifikaat) tekstifaili (.txt) ning esita see veebilehe lõpus oleva vormi kaudu. Võtame vastu ainult tekstikujul olevat avalikku võtit, sertifikaati või muus kodeeringus esitatud avaliku võtme eest punkte ei saa. Sertifikaadist avalikku võtit otsides kontrollige, et teie antiviirus ei ole sertifikaati muutnud, courses.cs.ut.ee sertifikaat peab olema välja antud TERENA SSL CA 3 poolt. Vihje: avalik võti lõpeb sümbolitega 18 50 2c cf (mõnes brauseris lisatakse võtme lõppu 02 03 01 00 01). (1p)
  3. Leidke järgnev info veebilehe https://www.eesti.ee/ kohta. (1p)
    1. Kes väljastas eesti.ee sertifikaadi?
    2. Missugust räsifunktsiooni ja krüptoalgoritmi kasutati eesti.ee sertifikaadi digiallkirjastamiseks?
    3. Kas vastav veebileht toetab tulevikukindla ühenduse loomist ehk PFS-i?
    4. Millal sertifikaat aegub?
  4. Küsimus tühistatud, kuna sõnastus oli vigane. Vastama ei pea, kõik saavad 3 punkti.
    Merkel, Trump ja Putin allkirjastavad ühisavalduse ning kasutavad allkirjastamiseks Eesti digiallkirjastamise süsteemi või siis süsteemi, mis on sellega väga sarnane. G8 lõpptseremoonia käigus avalikustatakse allkirjastatud dokument. Selgub, et sellel on Merkeli ja Trumpi allkiri, kuid Putini allkiri on puudu. Putin väidab, et ta allkirjastas selle dokumendi esimesena ning et tema allkiri on dokumendilt eemaldatud. Kas niisugune väide saab olla tõene? Lisage põhjendus! Kui väide on tõene, siis kuidas saaks Putin vastavat väidet tõestada? Selgitage, et kas sellisel juhul oleksid Merkeli ja Trumpi allkirjad kehtetud. Kui ülesande lahendamisel tekivad kahtlused, siis soovitame katsetada digiallkirjastamise tarkvara või siis uurida mõne digiallkirja konteineri sisu. (3p)

PGP ja Signal

  1. Saatke enda juhendajale PGP/GPG abil krüpteeritud ja signeeritud kiri. Tegu peab olema ühe kirjaga, mis on nii krüpteeritud kui signeeritud ning sisaldab teie nime. See ülesanne sai 2. praktikumis lahendatud. (3p)
    • Kui ülesanne on praktikumis tehtud, siis ei ole vaja seda uuesti esitada.
    • Laadige oma avalik võti võtmeserverisse (infsec.cs.ut.ee).
    • Praktikumijuhendaja avaliku võtme ID saate praktikumis, aga kirjutame selle ka siia: Kristjan Krips (5BFC8B9D), Toomas Krips (87096C42).
    • Kiri peab olema nii krüpteeritud kui ka signeeritud.
    • Kirjale tuleb lisada enda avalik võti.
    • Kindlasti lisage kirjale ka mingi sisu (näiteks enda nimi), sest muidu pole midagi signeerida.
  2. Valige ja lahendage üks kahest järgnevast ülesandest:
    1. Saatke Signali abil sõnum infoturbe testkontole. Juhised leiate teise praktikumi materjalidest. Selle jaoks tuleks ajutiselt lisada enda kontaktide hulka järgmine number: viis kuus seitse kaks kuus kaks null viis. Sõnumi sees peaks olema teie nimi, et oleks võimalik ülesande eest punkt kirja panna. (1p)
    2. Signali protokolli peetakse krüptograafiliselt turvaliseks, aga siiski leidub teatud võimalusi sõnumiprivaatsuse ründamiseks. Lugege järgnevalt viidatud kirjutist ning selgitage lühidalt, et kuidas oleks võimalik rünnata Signalit kasutava isiku sõnumiprivaatsust. (1p)
      • Cybersecurity for the People: How to Keep Your Chats Truly Private With Signal

ID-kaart, Mobiil-ID ja e-hääletamine

  1. Oma arvamusloos kirjutas Otto de Voogd sellest, et kas on võimalik, et Eesti riik teab oma kodanike ID-kaartide salajasi võtmeid. Vastuses sellele kirjatükile kirjeldas Agu Kivimägi, kuidas on tehniliselt lahendatud privaatvõtmete genereerimine. Nimetage kaks peamist põhjust selle kohta, et miks riik (ega ka keegi teine) ei saa omada koopiat teie ID-kaardil olevast salajasest võtmest? Antud küsimuse kontekstis ignoreerimine 2017 aastal avastatud turvaprobleemi. (1p)
  2. Alates 2017 aasta veebruarist on teada, et SHA-1 jaoks on võimalik leida kollisioone. Antud teemast on kirjutatud meie poolt viidatud soovituslikes lugemismaterjalides. Samuti käsitlesime seda teemat loengus.
    1. Kas selle demo tulemusena on nüüd võimalik võltsida varasemalt SHA-1 abil antud digiallkirju? Põhjendage enda vastust! (1p)
    2. Mida tuleks praegu teha olemasolevate digiallkirjadega, et tulevikus vältida vaidlusi juhul kui SHA-1 antud allkirju õnnestub kellegil võltsida? Võite eeldada, et teil on leping, mis on 2012 aastal digiallkirjastatud SHA-1 abil. Kuidas tagate, et selle üle ei teki tulevikus vaidlusi juhul kui kellegil õnnestub tulevikus SHA-1 tõttu allkirja võltsida? Lisaks eeldame, et paberil uue lepingu koostamine või notariaalse kinnituse saamine ei ole praktiline, sest asutus võib SHA-1 abil olla andnud miljoneid allkirju. Vastust tuleb põhjendada. (1p)

Plokiahel, Bitcoin, makselahendused

  • Tooge välja nn. krüptoraha eelised ja puudused võrreldes tavalise pangasüsteemi ja maksevahenditega. Vaja on kirjeldada lühidalt kahte eelist ja kahte puudust. (2p)

Kirjalike ülesannete esitamine

Lahendused tuleb esitada läbi selle veebilehe. Lahenduste esitamiseks tuleb ülikooli kasutajakontoga courses.cs.ut.ee lehele sisse logida. Vastused peavad olema esitatud PDF failina. Praktiliste ülesannete lahendused tuleb esitada eraldi nende jaoks ette nähtud vormidesse, mis asuvad lehe alumises osas.

Palume võimaluse korral lisada kommentaarina ülesannete lahendamisele kulunud aeg. Selle põhjal oskame järgmiste koduste ülesannete mahtu paremini planeerida.

2. 2. Kodune töö
Sellele ülesandele ei saa enam lahendusi esitada.

Praktilise ülesande lahendus

"PKC, PKI ja HTTPS" ploki teise küsimuse lahendus tuleks esitada läbi järgneva vormi.

Leia veebilehe https://courses.cs.ut.ee avalik võti. Salvesta ainult avalik võti (mitte terve sertifikaat) tekstifaili (.txt) ning esita see lahenduseks. Sertifikaadist avalikku võtit otsides kontrollige, et teie antiviirus ei ole sertifikaati muutnud, courses.cs.ut.ee sertifikaat peab olema välja antud TERENA SSL CA 3 poolt. (1p)

7. Avalik võti
Sellele ülesandele ei saa enam lahendusi esitada.
  • Arvutiteaduse instituut
  • Loodus- ja täppisteaduste valdkond
  • Tartu Ülikool
Tehniliste probleemide või küsimuste korral kirjuta:

Kursuse sisu ja korralduslike küsimustega pöörduge kursuse korraldajate poole.
Õppematerjalide varalised autoriõigused kuuluvad Tartu Ülikoolile. Õppematerjalide kasutamine on lubatud autoriõiguse seaduses ettenähtud teose vaba kasutamise eesmärkidel ja tingimustel. Õppematerjalide kasutamisel on kasutaja kohustatud viitama õppematerjalide autorile.
Õppematerjalide kasutamine muudel eesmärkidel on lubatud ainult Tartu Ülikooli eelneval kirjalikul nõusolekul.
Courses’i keskkonna kasutustingimused