Arvutiteaduse instituut
  1. Kursused
  2. 2019/20 kevad
  3. Infoturve (MTAT.07.028)
EN
Logi sisse

Infoturve 2019/20 kevad

  • Pealeht
  • Loengud ja praktikumid
  • Kodutööd ja reeglid
  • Eksam
  • Uudised
  • Viited

Kodutöö #2 (14p)

Tähtaeg: 3. mai (lahendused tuleb esitada enne esmaspäeva)

Soovituslikud materjalid

  • SSL Server Test
  • Küülikukasvatusest e-riigis
  • Announcing the first SHA1 collision
  • SHAttered
  • Praktilised näpunäited ja juhised
  • samuti ka kodutöös kaetud loengumaterjalid

Juhised

Mõne ülesande korral on vaja lahendus esitada kindlas failiformaadis ning täpselt sellises formaadis nagu ülesandes on nõutud. Põhjus seisneb selles, et osade ülesannete kontrollimine toimub automatiseeritult ning vale formaadi korral võib anda hindamisprogramm tulemuseks automaatselt 0 punkti.

  • Tärniga on tähistatud need ülesanded, mille lahendus tuleb esitada eraldi vormi kaudu. Nende ülesannete lahendused, mille juurde pole märgitud tärni tuleks esitada ühe lahendusfailina, mis on salvestatud PDF kujul.
  • Kui ülesandes on kirjas, et esitama peab .txt formaadis oleva dokumendi, siis muude formaatide esitamise korral on tulemuseks suure tõenäosusega 0 punkti. Tavalist tekstifaili (.txt) saab Windowsi operatsioonisüsteemiga arvutites luua näiteks Notepad tarkvara abil.
  • Kui ülesandes on kirjas, et vastus peab olema esitatud kindlas formaadis, siis järgige seda juhendit rangelt. Juhul kui teil on vastuse kohta kommmentaarid, siis kirjutage need lahendusvormis olevasse kommentaaride vormi.
  • Kui ülesandes on kirjas, et iga vastus peab olema eraldi real, siis kindlasti järgige juhist, sest muidu võib automatiseeritud kontrollsüsteem anda tulemuseks 0 punkti. Näiteks kui on kirjas, et iga alamküsimuse vastus tuleb kirjutada eraldi reale, siis peaks tulemus olema midagi sellist:
    vastus 1
    vastus 2
    vastus 3.

Kirjalikud ülesanded

PKC, PKI ja HTTPS

  1. Räsimine vs krüpteerimine
    1. Kirjeldage 2-3 lausega, mis on räsifunktsioon. (1p)
    2. Mille poolest erinevad krüpteerimine ja räsimine? Tooge välja kaks peamist erinevust. (1p)
  2. Leia veebilehe https://courses.cs.ut.ee sertifikaadist selle lehe avalik võti (mõnes brauseris võib selle tähiseks olla ka modulus). Salvesta avalik võti (mitte terve sertifikaat) tekstifaili (.txt) ning esita see veebilehe lõpus oleva lahendusvormi kaudu. Võtame vastu ainult tekstikujul (.txt failina) olevat avalikku võtit. Lahendust kontrollitakse automatiseeritult: sertifikaadi või kodeeringus esitatud avaliku võtme eest punkte ei saa, sama kehtib ka vale failiformaadi kohta (nt. docx faili korral on tulemuseks 0 punkti.). Sertifikaadist avalikku võtit otsides kontrollige, et teie antiviirus ei ole sertifikaati muutnud, courses.cs.ut.ee sertifikaat peab olema välja antud TERENA SSL CA 3 poolt. Vihje: avalik võti lõpeb sümbolitega 42:7E:B9:8A:5C:3B (mõnes brauseris lisatakse võtme lõppu 02:03:01:00:01). (1p*)
  3. Leidke järgnev info veebilehe https://www.eesti.ee/ kohta. Kirjutage vastus eraldi tekstifaili (.txt formaadis, docx korral on tulemuseks 0 punkti). Iga alamküsimuse vastus peab olema eraldi real ja iga üksik vastus peab mahtuma ühele reale. Seega on korrektses lahendusfailis täpselt neli rida. Esitage lahendus veebilehe lõpus oleva lahendusvormi kaudu. (1p*)
    1. Missugune sertifitseerimiskeskus väljastas eesti.ee sertifikaadi?
    2. Missugust räsifunktsiooni kasutati eesti.ee sertifikaadi digiallkirjastamiseks?
    3. Missugust krüptoalgoritmi kasutati eesti.ee sertifikaadi digiallkirjastamiseks?
    4. Millal sertifikaat aegub? Kirjutage vastus formaadis: pp.kk.aaaa. Näiteks 14.04.2020.
  4. Leidke kohalik veebileht, mis kasutab HTTPS-i, aga pole seda päris õigesti seadistanud. TLS seadistuse hindamiseks saab kasutada teenust: https://www.ssllabs.com/ssltest. Lahenduseks sobivad veebilehed, mis saavad viidatud veebilehel oleva testi tulemusena kehvema hinde kui B. Üritage põgusalt aru saada, et miks veebileht ei saanud parimat võimalikku hinnet. Olulised riiklikud teenused ja suurettevõtted tõenäoliselt ei oma niisuguseid probleeme, seega nende veebilehti ei tasu katsetada. Selleks, et testimist kiirendada on teil võimalik avada mitu brauseri akent / tab-i. (2p*)
    Vastusena esitage kas:
    • Ekraanitõmmis https://www.ssllabs.com/ssltest lehelt kus on näha testi tulemus ehk veebilehe aadress ja saadud hinne. Lahenduse esitamiseks on lehekülje lõpus eraldi lahendusvorm. Lõigake ekraanitõmmiselt välja muu ebavajalik info ja jätke alles ainult ssllabs.com poolt väljastatud info. Lahendus esitage pildifailina (nt. png, jpg).
    • Kui te pole 10 katse järel siiski leidnud tingimustele vastavat lehte, siis esitage lahenduseks tekstifail (.txt kujul), mis sisaldab nimekirja katsetatud domeenidest koos nendele omistatud hinnetega. Lahenduse esitamiseks on lehekülje lõpus eraldi lahendusvorm. Iga domeeni kohta käiv info peab lahendusfailis olema eraldi real ja olema järgnevas formaadis: domeen - hinne. Näide:
      courses.cs.ut.ee - A
      eesti.ee - A

ID-kaart, Mobiil-ID ja e-hääletamine

  1. Merkel, Trump ja Putin allkirjastavad ühisavalduse ning kasutavad allkirjastamiseks Eesti digiallkirjastamise süsteemi või siis süsteemi, mis on sellega väga sarnane. G8 lõpptseremoonia käigus avalikustatakse allkirjastatud dokument. Selgub, et sellel on Merkeli ja Trumpi allkiri, kuid Putini allkiri on puudu. Putin väidab, et ta allkirjastas selle dokumendi esimesena ning et tema allkiri on dokumendilt eemaldatud. Vastake allpool olevatele küsimustele. Vihje: Kui ülesande lahendamisel tekivad kahtlused, siis soovitame katsetada DigiDoc-i tarkvara ning uurida mõne mitme isiku poolt allkirjastatud digiallkirja konteineri sisu.
    • Kas niisugune väide saab olla tõene? Lisage tehniline põhjendus! (1p)
    • Kui väide on tõene, siis kuidas saaks Putin vastavat väidet tõestada? Video allkirjastamise hetkest ei ole sobiv tõend. Vaja oleks tehnilisemat tõendit, mis kinnitaks vastava väite paikapidavust. (1p)
    • Selgitage, et kas sellisel juhul oleksid Merkeli ja Trumpi digiallkirjad kehtetud. (1p)
  2. Oma arvamusloos kirjutas Otto de Voogd sellest, et kas on võimalik, et Eesti riik teab oma kodanike ID-kaartide salajasi võtmeid. Vastuses sellele kirjatükile kirjeldas Agu Kivimägi, kuidas on tehniliselt lahendatud privaatvõtmete genereerimine. Nimetage kaks peamist põhjust selle kohta, et miks riik (ega ka keegi teine) ei saa omada koopiat teie ID-kaardil olevast salajasest võtmest? Vastuses eristage selgelt väljatoodud kahte põhjust, näiteks vormistades vastuse loeteluna. Antud küsimuse kontekstis ignoreerimine 2017 aastal avastatud turvaprobleemi. (1p)
  3. Alates 2017 aasta veebruarist on teada, et SHA-1 jaoks on võimalik leida kollisioone. Mõelge nüüd selle peale, et kas ja kuidas see mõjutab varasemalt SHA-1 abil antud digiallkirju. Praegu pole enam SHA-1 abil uute kehtivate digiallkirjade andmine võimalik, aga kas tuvastatud nõrkus mõjutab minevikus antud allkirju? Oluline vihje: vaadake loengumaterjalidest / loengusalvestusest krüptograafiliste räsifunktsioonide turvanõudeid ning nende seost digiallkirjastamisega.
    1. Kas 2017 aastal tuvastatud SHA-1 nõrkuse tulemusena on nüüd võimalik võltsida näiteks 2010 aastal SHA-1 abil antud digiallkirju? Lisage enda sõnadega kirjutatud põhjendus! (1p)
    2. Mida tuleks praegu teha varasemalt SHA-1 abil antud digiallkirjadega, et tulevikus vältida vaidlusi juhul kui SHA-1 antud allkirju õnnestub kellegil tulevikus võltsida? Võite eeldada, et teil on leping, mis on 2010 aastal SHA-1 abil digiallkirjastatud. Kuidas tagate, et selle üle ei teki tulevikus vaidlusi juhul kui kellegil õnnestub tulevikus SHA-1 tõttu allkirja võltsida? Lisaks eeldame, et paberil uue lepingu koostamine või notariaalse kinnituse saamine ei ole praktiline, sest asutus võib SHA-1 abil olla andnud miljoneid allkirju. Seega peab lahendus olema tehniline (krüptograafiline). Vastust tuleb põhjendada. Riik on selle probleemi lahendamiseks loonud tööriista, mis antud probleemi lahendab. Võite vastuse leidmiseks uurida, et kuidas see tööriist toimib. (1p)

Plokiahel, Bitcoin, makselahendused

  • Tooge lühidalt välja nn. krüptoraha eelised ja puudused võrreldes tavalise pangasüsteemi ja maksevahenditega. Vaja on tuua välja kaks eelist ja kaks puudust. Selguse huvides võiks vastus olla esitatud loetelu kujul. (2p)

Teooriaülesannete lahenduste esitamine - kokku 10p

Lahendused tuleb esitada läbi selle veebilehe. Lahenduste esitamiseks tuleb ülikooli kasutajakontoga courses.cs.ut.ee lehele sisse logida. Vastused peavad olema esitatud PDF failina. Praktiliste ülesannete lahendused tuleb esitada eraldi nende jaoks ette nähtud vormidesse, mis asuvad lehe alumises osas.

Palume võimaluse korral lisada kommentaarina ülesannete lahendamisele kulunud aeg. Selle põhjal oskame järgmiste koduste ülesannete mahtu paremini planeerida.

2. 2. Kodune töö (esitage PDF)
Sellele ülesandele ei saa enam lahendusi esitada.

Avaliku võtme ülesande lahendus (1p)

"PKC, PKI ja HTTPS" ploki teise küsimuse lahendus tuleb esitada läbi järgneva vormi.

Leia veebilehe https://courses.cs.ut.ee avalik võti. Salvesta ainult avalik võti (mitte terve sertifikaat) .txt formaadis oleva tekstifailina ning esita see lahenduseks. Lahendust kontrollitakse automatiseeritult: sertifikaadi või kodeeringus esitatud avaliku võtme eest punkte ei saa, sama kehtib ka vale failiformaadi kohta (nt. docx faili korral on tulemuseks 0 punkti.). Sertifikaadist avalikku võtit otsides kontrollige, et teie antiviirus ei ole sertifikaati muutnud, courses.cs.ut.ee sertifikaat peab olema välja antud TERENA SSL CA 3 poolt. Vihje''': avalik võti lõpeb sümbolitega 42:7E:B9:8A:5C:3B (mõnes brauseris lisatakse võtme lõppu 02:03:01:00:01).

7. Sertifikaadis olev avalik võti
Sellele ülesandele ei saa enam lahendusi esitada.

Sertifikaadi info ülesande lahendus (1p)

"PKC, PKI ja HTTPS" ploki kolmanda küsimuse lahendus tuleb esitada läbi järgneva vormi.

Leidke järgnev info veebilehe https://www.eesti.ee/ kohta. Kirjutage vastus eraldi tekstifaili (.txt formaadis, docx korral on tulemuseks 0 punkti). Iga alamküsimuse vastus peab olema eraldi real ja iga üksik vastus peab mahtuma ühele reale. Seega on korrektses lahendusfailis täpselt neli rida. Esitage lahendus veebilehe lõpus oleva vormi kaudu.

  1. Missugune sertifitseerimiskeskus väljastas eesti.ee sertifikaadi?
  2. Missugust räsifunktsiooni kasutati eesti.ee sertifikaadi digiallkirjastamiseks?
  3. Missugust krüptoalgoritmi kasutati eesti.ee sertifikaadi digiallkirjastamiseks?
  4. Millal sertifikaat aegub? Kirjutage vastus formaadis: pp.kk.aaaa. Näiteks 14.04.2020.
11. eesti.ee sertifikaadi info
Sellele ülesandele ei saa enam lahendusi esitada.

TLS seadistuse kontrollimine (2p)

"PKC, PKI ja HTTPS" ploki neljanda küsimuse lahendus tuleb esitada läbi järgneva vormi.

Leidke kohalik veebileht, mis kasutab HTTPS-i, aga pole seda päris õigesti seadistanud. TLS seadistuse hindamiseks saab kasutada teenust: https://www.ssllabs.com/ssltest. Lahenduseks sobivad veebilehed, mis saavad viidatud veebilehel oleva testi tulemusena kehvema hinde kui B. Olulised riiklikud teenused ja suurettevõtted tõenäoliselt ei oma niisuguseid probleeme, seega nende veebilehti ei tasu katsetada. Selleks, et testimist kiirendada on teil võimalik avada mitu brauseri akent / tab-i. Vastusena esitage kas:

  • Ekraanitõmmis https://www.ssllabs.com/ssltest lehelt kus on näha testi tulemus ehk veebilehe aadress ja saadud hinne. Lõigake ekraanitõmmiselt välja muu ebavajalik info ja jätke alles ainult ssllabs.com poolt väljastatud info. Lahendus esitage pildifailina (nt. png, jpg).
  • Kui te pole 10 katse järel siiski leidnud tingimustele vastavat lehte, siis esitage lahenduseks tekstifail (.txt kujul), mis sisaldab nimekirja katsetatud domeenidest koos nendele omistatud hinnetega. Iga domeeni kohta käiv info peab lahendusfailis olema eraldi real ja olema järgnevas formaadis: domeen - hinne. Näide:
    courses.cs.ut.ee - A
    eesti.ee - A
12. TLS seadistuse kontrollimine
Sellele ülesandele ei saa enam lahendusi esitada.
  • Arvutiteaduse instituut
  • Loodus- ja täppisteaduste valdkond
  • Tartu Ülikool
Tehniliste probleemide või küsimuste korral kirjuta:

Kursuse sisu ja korralduslike küsimustega pöörduge kursuse korraldajate poole.
Õppematerjalide varalised autoriõigused kuuluvad Tartu Ülikoolile. Õppematerjalide kasutamine on lubatud autoriõiguse seaduses ettenähtud teose vaba kasutamise eesmärkidel ja tingimustel. Õppematerjalide kasutamisel on kasutaja kohustatud viitama õppematerjalide autorile.
Õppematerjalide kasutamine muudel eesmärkidel on lubatud ainult Tartu Ülikooli eelneval kirjalikul nõusolekul.
Courses’i keskkonna kasutustingimused