Klausur SS 07

Benutzeravatar
E.d.u.
Nerd
Nerd
Beiträge: 633
Registriert: 3. Feb 2004 17:01
Wohnort: Darmstadt
Kontaktdaten:

Klausur SS 07

Beitrag von E.d.u. »

Hallo,

ich habe 2 Fragen bzgl. die Klausur SS 07

Aufgabe 1 d) welche sind "standard" Erweiterungen? wo sind die Standard-Erweiterungen definiert?
Und ist "Freshest CRL" wirklich in einem Zertifikat drin (wie in der Musterlösung)? oder ist das ein Fehler ? In den Folien stand dass das eine CRL -Erweiterung ist aber keine Zertifikat-Erweiterung oder?

Aufgabe 4.c)
wäre das auch eine gültige Kombination?
CRLNumber(CRLD) = 321
BaseCRLNumber(CRLD) = 234
CRLNumber(CRLE) = 324

also fast wie die erste Kombination von der Musterlösung bis auf CRLNumber(CRLE) = 324 , aber ich sehe nicht warum das falsch sein sollte. Weiß das jemand?

Danke!

Sebastian Hartte
Sonntagsinformatiker
Sonntagsinformatiker
Beiträge: 236
Registriert: 15. Apr 2004 17:57

Re: Klausur SS 07

Beitrag von Sebastian Hartte »

E.d.u. hat geschrieben: Aufgabe 1 d) welche sind "standard" Erweiterungen? wo sind die Standard-Erweiterungen definiert?
Und ist "Freshest CRL" wirklich in einem Zertifikat drin (wie in der Musterlösung)? oder ist das ein Fehler ? In den Folien stand dass das eine CRL -Erweiterung ist aber keine Zertifikat-Erweiterung oder?
RFC 3280 ist hier wohl gemeint. Hier werden einige X.509 Extensions behandelt die in der Internet PKI als Standard angesehen werden können.

Zu Freshest CRL steht hierzu in RFC 3280:
* Four additional extensions are specified: three certificate
extensions and one CRL extension. The certificate extensions are
subject info access, inhibit any-policy, and freshest CRL. The
freshest CRL extension is also defined as a CRL extension.
Freshest CRL kann also sowohl in CRls als auch in Zertifikaten vorkommen.
Aufgabe 4.c)
wäre das auch eine gültige Kombination?
CRLNumber(CRLD) = 321
BaseCRLNumber(CRLD) = 234
CRLNumber(CRLE) = 324
In Chapter 7, Folie 23 steht folgendes:
If a delta CRL and a complete CRL that cover the same scope are
issued at the same time, they MUST have the same CRL
number and provide the same revocation information.
Da CRLD und CRLE den gleichen Ausstellungszeitpunkt haben, müssen sie auch die gleiche CRL Number haben.
Daher wäre das keine gültige Kombination.

gruß,
Sebastian

AhGuGu
Mausschubser
Mausschubser
Beiträge: 99
Registriert: 8. Dez 2005 13:21

Re: Klausur SS 07

Beitrag von AhGuGu »

Hi,

ich hänge mich mal gerade mit meiner Frage dran:
In Aufgabe 3 e) habe ich nicht die Variante gewählt, die in der Musterlösung angegeben wurde. Sondern ich habe die Knoten gelöscht, bei denen die Policy nicht hingehauen hat (rekursiv), also: Auf Ebene 3 die Knoten White und Yellow. Auf Ebene 2 die Knoten Red und Gold und auf Ebene 1 den Knoten Gold. Anschließend habe ich noch den Knoten Green an das Any rechts gehängt. Fertig.
Warum muss ich denn den blauen löschen und den an Any hängen?
Hat mich ganz schön Punkt gekostet. ;)

gruß Ahgugu

Benutzeravatar
E.d.u.
Nerd
Nerd
Beiträge: 633
Registriert: 3. Feb 2004 17:01
Wohnort: Darmstadt
Kontaktdaten:

Re: Klausur SS 07

Beitrag von E.d.u. »

Sebastian Hartte hat geschrieben:
Da CRLD und CRLE den gleichen Ausstellungszeitpunkt haben, müssen sie auch die gleiche CRL Number haben.
Daher wäre das keine gültige Kombination.
Danke! daran habe ich nciht gedacht :-)
äähm aber eine Delta-CRL die am gleichen Tag erstellt wird wie ihre Base-CRL? :-D naja

Benutzeravatar
E.d.u.
Nerd
Nerd
Beiträge: 633
Registriert: 3. Feb 2004 17:01
Wohnort: Darmstadt
Kontaktdaten:

Re: Klausur SS 07

Beitrag von E.d.u. »

AhGuGu hat geschrieben:Hi,

ich hänge mich mal gerade mit meiner Frage dran:
In Aufgabe 3 e) habe ich nicht die Variante gewählt, die in der Musterlösung angegeben wurde. Sondern ich habe die Knoten gelöscht, bei denen die Policy nicht hingehauen hat (rekursiv), also: Auf Ebene 3 die Knoten White und Yellow. Auf Ebene 2 die Knoten Red und Gold und auf Ebene 1 den Knoten Gold. Anschließend habe ich noch den Knoten Green an das Any rechts gehängt. Fertig.
Warum muss ich denn den blauen löschen und den an Any hängen?
Hat mich ganz schön Punkt gekostet. ;)

gruß Ahgugu
Hallo,

Im Wrap-up Algorithmus steht: "valid_policy_node_set= set of nodes whose parent nodes have valid_policy==any" und das sind die Knoten cyan und gold (ebene 2). also valid_policy_node_set = {gold, cyan}
uips = {blue,green} (vorgegeben)
keiner der Knoten in valid_policy_set ist in uips, also werden diese knoten und alle kinder gelöscht. Der baum sieht dann so aus:
Any
|
Any
|
Any
|
Any

Warum sagst du dass du "die variante nicht gewählt hast"? ich denke nach dem Algorithmus ist eindeutig was man löschen muss oder? oder verstehe ich was falsch? :)

Der nächste Schritt:
"If v_pol_t includes a node N of depth n ...."
Ja, er hat so einen Node N of depth 3: der unterste Any-Knoten. Dann muss man die Knoten hinzufügen in uips, die nicht in valid_policy_set waren, also blue und green. Dann den Any-Knoten mit depth 3 löschen. Es entsteht der Baum von der Musterlösung :)

Wo hast du einen anderen Schritt gewählt?

Sebastian Hartte
Sonntagsinformatiker
Sonntagsinformatiker
Beiträge: 236
Registriert: 15. Apr 2004 17:57

Re: Klausur SS 07

Beitrag von Sebastian Hartte »

E.d.u. hat geschrieben:
Sebastian Hartte hat geschrieben:
Da CRLD und CRLE den gleichen Ausstellungszeitpunkt haben, müssen sie auch die gleiche CRL Number haben.
Daher wäre das keine gültige Kombination.
Danke! daran habe ich nciht gedacht :-)
äähm aber eine Delta-CRL die am gleichen Tag erstellt wird wie ihre Base-CRL? :-D naja
Die Delta CRL die am gleichen Tag wie eine Full CRL erstellt wird, kann ja auch eine vorhergehende CRL als Basis CRL haben.

gruß,
Sebastian

ABD
Mausschubser
Mausschubser
Beiträge: 43
Registriert: 15. Feb 2006 23:21
Wohnort: nähe Bad Homburg
Kontaktdaten:

Re: Klausur SS 07

Beitrag von ABD »

Ich habe auch noch eine Frage zu der Musterlösung der Klausur

Aufgabe 2 a)

Ergebnis für Alice. Kann mir jemand erklären, warum die Einträge im Kettenmodell alle ungültig sind? Für mich sind alle bis auf den 15.03.2006 gültig.

Benutzeravatar
E.d.u.
Nerd
Nerd
Beiträge: 633
Registriert: 3. Feb 2004 17:01
Wohnort: Darmstadt
Kontaktdaten:

Re: Klausur SS 07

Beitrag von E.d.u. »

Sebastian Hartte hat geschrieben:
Die Delta CRL die am gleichen Tag wie eine Full CRL erstellt wird, kann ja auch eine vorhergehende CRL als Basis CRL haben.
hi,

ja , aber in diesem Fall ist die base CRL = 234 also die , die am gleichen Tag erstellt wird, oder ? Die hat ja dann CRLNumber = 234

Benutzeravatar
E.d.u.
Nerd
Nerd
Beiträge: 633
Registriert: 3. Feb 2004 17:01
Wohnort: Darmstadt
Kontaktdaten:

Re: Klausur SS 07

Beitrag von E.d.u. »

ABD hat geschrieben:Ich habe auch noch eine Frage zu der Musterlösung der Klausur

Aufgabe 2 a)

Ergebnis für Alice. Kann mir jemand erklären, warum die Einträge im Kettenmodell alle ungültig sind? Für mich sind alle bis auf den 15.03.2006 gültig.
In der Zeitpunkt, wo Alices Zertifikat erstellt wird, ist das SubCA Zertifikat nicht gültig ( siehe Zeitendiagramm in der Musterlösung). Von daher kann kein Zertifikat von Alice nach dem Kettenmodell gültig sein.

ABD
Mausschubser
Mausschubser
Beiträge: 43
Registriert: 15. Feb 2006 23:21
Wohnort: nähe Bad Homburg
Kontaktdaten:

Re: Klausur SS 07

Beitrag von ABD »

In der Zeitpunkt, wo Alices Zertifikat erstellt wird, ist das SubCA Zertifikat nicht gültig ( siehe Zeitendiagramm in der Musterlösung). Von daher kann kein Zertifikat von Alice nach dem Kettenmodell gültig sein.
Ah ok, das Kettenmodell erfordert eine "treppenartige" erzeugung der Zertifikate in einer Timeline?!

Dann ergeben auch die anderen Lösungen einen Sinn.

Wie verhält es sich bei Aufgabe d) ?
Wie ist das Ergebnis der Verifikation am 20.10.2009, falls alle abgelaufenen Zertifikate von der
CRL der SubCA entfernt werden (Lean-CRL).
Was ist damit gemeint? Werden alle revokierten Zertifikate aus der CRL gelöscht und werden dann wieder gültig? Als wäre nie etwas gewesen?

Benutzeravatar
E.d.u.
Nerd
Nerd
Beiträge: 633
Registriert: 3. Feb 2004 17:01
Wohnort: Darmstadt
Kontaktdaten:

Re: Klausur SS 07

Beitrag von E.d.u. »

ABD hat geschrieben: Ah ok, das Kettenmodell erfordert eine "treppenartige" erzeugung der Zertifikate in einer Timeline?!

Dann ergeben auch die anderen Lösungen einen Sinn.
ja:)
ABD hat geschrieben: Was ist damit gemeint? Werden alle revokierten Zertifikate aus der CRL gelöscht und werden dann wieder gültig? Als wäre nie etwas gewesen?
so habe ichs verstanden und die musterlösung sagt das auch, also scheint so zu sein :)

ABD
Mausschubser
Mausschubser
Beiträge: 43
Registriert: 15. Feb 2006 23:21
Wohnort: nähe Bad Homburg
Kontaktdaten:

Re: Klausur SS 07

Beitrag von ABD »

Aufgabe 5 c)
c) Person F hat den Schlüssel der Person G signiert. Ergänzen Sie ViewA um das entsprechende
Prädikat.
Wie kann ViewA nun ergänzt werden, so dass Alice AutG herleiten kann, ohne dass Alice
irgendein TrustX,i hinzufügen muss. Zeigen Sie die Herleitungen.
Angebliche Lösung:

CertC,F muss hinzugefügt werden. Die Person D kann eine Recommendation für F erzeugen
(RecD,F,1). Dann gilt:
AutD,TrustD,2, RecD,F,1 ` TrustF,1 Regel 2
AutF ,TrustF,1, CertF,G ` AutG Regel 1



---

leider habe ich das nicht ganz nachvollziehen können was nun damit gemeint ist.
Mein Ansatz:

Ich brauche -> AUT(G)
Ich habe -> AUT (F) & CERT(F,G)
Mir fehlt -> TRUST (F,1)

Laut Aufgabenstellung darf ich es nicht hinzufügen, also muss ich es über Umwege erzeugen:

Ich brauche -> TRUST(F,1)
Ich habe -> AUT(D), TRUST(D,2)
Mir fehlt -> REC(D,F,1)


Warum soll ich nun laut Lösung CertC,F hinzufügen, was ich schon in Teil b) getan habe?
Was wie kann ich mit D eine RecD,F,1 ERZEUGEN? Ich kann doch nur mit Regel (4) eine REC aus einer höheren REC herleiten.

AhGuGu
Mausschubser
Mausschubser
Beiträge: 99
Registriert: 8. Dez 2005 13:21

Re: Klausur SS 07

Beitrag von AhGuGu »

Hallo,
E.d.u. hat geschrieben: Warum sagst du dass du "die variante nicht gewählt hast"? ich denke nach dem Algorithmus ist eindeutig was man löschen muss oder? oder verstehe ich was falsch? :)
Ich bin, nachdem ich dachte, dass ich den Algorithmus verstanden habe, einfach nur intuitiv vorgegangen. Richtig ist natürlich, dass der Algorithmus eindeutig ist. ;)

Mittlerweile habe ich auch verstanden, wo mein Denkfehler war. Ich hatte (ohne nochmal in den Algorithmus zu schauen) angenommen, dass Knoten auf der untersten Ebene, die korrekt sind, auch nicht gelöscht werden. Das hatte ich falscherweise noch von Folie 49 in Kapitel 8b im Hinterkopf. Aber dort zieht sich Gold ja von oben nach unten durch, und wird auch nie gelöscht.
Vielen Dank für deine Erklärung, jetzt werde ich es hoffentlich am Dienstag nicht falsch machen. :)
ABD hat geschrieben:CertC,F muss hinzugefügt werden.
Da bin ich davon ausgegangen, dass die Musterlösung an der Stelle falsch ist. Wenn F ein Zertifikat für G ausstellt, ist doch C komplett aus dem Spiel. Weiter unten wird dann ja auch Cert_F,G verwendet.

gruß Ahgugu

Antworten

Zurück zu „Archiv“