Institute of Computer Science
  1. Courses
  2. 2017/18 spring
  3. Information security (MTAT.07.028)
ET
Log in

Information security 2017/18 spring

  • Pealeht
  • Loengud ja praktikumid
  • Ülesanded
  • Eksam
  • Uudised
  • Viited

Kodutöö #2

Tähtaeg: 28. aprill (lahendused tuleb esitada enne pühapäeva)

Soovituslikud materjalid

  • Digital Certificate Revocation
  • Why the Web Needs Perfect Forward Secrecy More Than Ever
  • SSL Server Test
  • Küülikukasvatusest e-riigis
  • Announcing the first SHA1 collision
  • SHAttered
  • The Future of Voting - End-To-End Verifiable Internet Voting

Kirjalikud ülesanded

PKC, PKI ja HTTPS

  1. Kirjeldage paari lausega, mis on räsifunktsioon. Mille poolest erinevad krüpteerimine ja räsimine? (1p)
  2. Leia veebilehe https://courses.cs.ut.ee sertifikaadist selle lehe avalik võti. Salvesta avalik võti (mitte terve sertifikaat) tekstifaili (.txt) ning esita see veebilehe lõpus oleva vormi kaudu. Sertifikaadist avalikku võtit otsides kontrollige, et teie antiviirus ei ole sertifikaati muutnud, courses.cs.ut.ee sertifikaat peab olema välja antud TERENA SSL CA 3 poolt. (1p)
  3. Missugused osapooled kasutavad PKI struktuuris nn. self-signed sertifikaati? Kui kasutada self-signed sertifikaati oma veebilehel, siis miks veebibrauser kuvab hoiatuse? (1p)
  4. Leidke järgnev info veebilehe https://www.wikipedia.org/ kohta. (1p)
    1. Kes väljastas wikipedia.org sertifikaadi?
    2. Missugust räsifunktsiooni kasutati wikipedia.org sertifikaadi digiallkirjastamiseks?
    3. Missugust krüptoalgoritmi kasutati wikipedia.org sertifikaadi digiallkirjastamiseks?
    4. Kas vastav veebileht toetab tulevikukindla ühenduse loomist?
  5. Kas sertifikaadi kehtivust saab lõpetada enne kui määratud kehtivusaeg läbi saab? Nimetage vähemalt kaks erinevat põhjust selle kohta, et miks seda vaja võib minna? Infoks: rohkem saate selle kohta teada soovitusliku lugemise juurest. (1p)

PGP

  1. Saatke enda juhendajale PGP/GPG abil krüpteeritud ja signeeritud kiri. Tegu peab olema ühe kirjaga, mis on nii krüpteeritud kui signeeritud ning sisaldab teie nime. Seda ülesannet tuleks lahendada praktikumis. (3p)
    • Kui ülesanne on praktikumis tehtud, siis ei ole vaja seda uuesti esitada.
    • Laadige oma avalik võti võtmeserverisse (infsec.cs.ut.ee).
    • Praktikumijuhendaja avaliku võtme ID saate praktikumis, aga kirjutame selle ka siia: Kristjan Krips (5BFC8B9D), Toomas Krips (AF8BCF4D).
    • Kiri peab olema nii krüpteeritud kui ka signeeritud.
    • Kirjale tuleb lisada enda avalik võti.
    • Kindlasti lisage kirjale ka mingi sisu (näiteks enda nimi), sest muidu pole midagi signeerida.

ID-kaart, Mobiil-ID ja e-hääletamine

  1. Oma arvamusloos kirjutas Otto de Voogd sellest, et kas on võimalik, et Eesti riik teab oma kodanike ID-kaartide salajasi võtmeid. Vastuses sellele kirjatükile kirjeldas Agu Kivimägi, kuidas on tehniliselt lahendatud privaatvõtmete genereerimine. Nimetage kaks peamist põhjust selle kohta, et miks riik (ega ka keegi teine) ei saa omada koopiat teie ID-kaardil olevast salajasest võtmest? (1p)
  2. Alates 2017 aasta veebruarist on teada, et SHA-1 jaoks on võimalik kollisioone leida. Antud teemast on kirjutatud meie poolt viidatud soovituslikes lugemismaterjalides.
    1. Kas selle demoründe tulemusena on nüüd võimalik ka SHA-1 abil antud digiallkirju võltsida? Põhjendage enda vastust! (1p)
    2. Mida tuleks praegu teha selleks, et tulevikus vältida SHA-1 põhinevate digiallkirjade võltsimise korral tekkivaid vaidlusi? Võite eeldada, et leping on sõlmitud 2012 aastal ning see on digiallkirjastatud SHA-1 abil - kuidas tagate, et selle üle ei teki tulevikus vaidlusi juhul kui kellegil õnnestub tulevikus SHA-1 tõttu allkirja võltsida? Vastust tuleb põhjendada. (1p)
  3. E-hääletamisel nutiseadmega hääle kontrollimine. Vastake järgnevatele küsimustele. (1p)
    • Miks ei kasutata hääle kontrollimiseks arvutit?
    • Selgitage lühidalt, kuidas on krüptograafiliselt võimalik nutiseadmel teada saada, kelle poolt hääletati? Nutiseade ei oska valimiste avaliku võtmega krüpteeritud häält dekrüpteerida ja sellel ei ole juurdepääsu valimiste salajasele võtmele.

Plokiahel, Bitcoin, makselahendused

  • Tooge välja nn. krüptoraha eelised ja puudused võrreldes tavalise pangasüsteemi ja maksevahenditega. Vaja on kirjeldada lühidalt kahte eelist ja kahte puudust. (2p)
  • Mis on ICO? Lugege Finantsinspektsiooni ülevaadet (https://www.fi.ee/index.php?id=21547) ja selle alamlehti ning loetlege, milliste seaduste ja regulatsioonidega peab ICO korraldaja potentsiaalselt arvestama? Mida peaks teadma Eesti maksekohuslasest eraisik, kes soovib krüptoraha eurodeks vahetada?
    Korrektne vastus sisaldab ICO selgitust ning kahe alamküsimuse vastuseid. Kindlasti uurige lehe vasakpoolses osas olevaid ICO kohta käivaid linke. (2p)

Kirjalike ülesannete esitamine

Lahendused tuleb esitada läbi selle veebilehe. Lahenduste esitamiseks tuleb ülikooli kasutajakontoga courses.cs.ut.ee lehele sisse logida. Vastused peavad olema esitatud PDF failina. Praktiliste ülesannete lahendused tuleb esitada eraldi nende jaoks ette nähtud vormidesse, mis asuvad lehe alumises osas.

Palume võimaluse korral lisada kommentaarina ülesannete lahendamisele kulunud aeg. Selle põhjal oskame järgmiste koduste ülesannete mahtu paremini planeerida.

2. 2. kodune töö
Solutions for this task can no longer be submitted.

Praktilise ülesande lahendus

"PKC, PKI ja HTTPS" ploki teise küsimuse lahendus tuleks esitada läbi järgneva vormi.

Leia veebilehe https://courses.cs.ut.ee avalik võti. Salvesta ainult avalik võti (mitte terve sertifikaat) tekstifaili (.txt) ning esita see lahenduseks. Sertifikaadist avalikku võtit otsides kontrollige, et teie antiviirus ei ole sertifikaati muutnud, courses.cs.ut.ee sertifikaat peab olema välja antud TERENA SSL CA 3 poolt. (1p)

7. Avalik võti
Solutions for this task can no longer be submitted.
  • Institute of Computer Science
  • Faculty of Science and Technology
  • University of Tartu
In case of technical problems or questions write to:

Contact the course organizers with the organizational and course content questions.
The proprietary copyrights of educational materials belong to the University of Tartu. The use of educational materials is permitted for the purposes and under the conditions provided for in the copyright law for the free use of a work. When using educational materials, the user is obligated to give credit to the author of the educational materials.
The use of educational materials for other purposes is allowed only with the prior written consent of the University of Tartu.
Terms of use for the Courses environment