Übungen Ausgewertet

Was hätten wir besser nicht gefragt?

Das mit der CRL
2
33%
Das mit dem RSA-Signaturblock
3
50%
Das mit dem RIPEMD160 Fingerprint
1
17%
Das mit dem Hash über TbsCert
0
Keine Stimmen
Das mit PGP
0
Keine Stimmen
 
Abstimmungen insgesamt: 6

erik.tews
Computerversteher
Computerversteher
Beiträge: 326
Registriert: 5. Jan 2004 20:48

Übungen Ausgewertet

Beitrag von erik.tews »

Hallo

Die Übungen sind jetzt nicht mehr editierbar und fertig ausgewertet. So weit ich das bisher überblicken konnte, haben die meisten Leute relativ gut abgeschnitten.

Die Tutoren werden diese Woche in den Übungen noch mal eine Liste mit Details zu ihren Antworten dabei haben, können also genau erklären was richtig war, und was falsch.

Zu der Aufgabe mit der CRL. Wenn CA MasterCA ein Zertifikat mit Seriennummer 5 ausstellt, und ebenfalls RootCA ein Zertifikat mit Seriennummer 5 revoziert, dann hat das genau welche Auswirkungen auf das Zertifikat der MasterCA? :roll: Die entsprechende Problematik trat aber nicht bei allen Leuten auf, jeder hatte unterschiedliche Daten vorliegen. Vielleicht will hier ein Student mal seine Gedanken dazu vorstellen...

Nachtrag: Wer will kann mal seine Lösungswege vorstellen. Wir selber haben die Aufgaben ausschließlich mit dem Flexiprovider sowie Bouncycastle erstellt. Viele Leute haben aber wohl auch OpenSSL zur Lösung verwendet.

Tomi
BASIC-Programmierer
BASIC-Programmierer
Beiträge: 122
Registriert: 22. Jan 2005 15:51

Beitrag von Tomi »

---EDIT---
23:37 Lösungswege vervollständigt
---EDIT---


Hallo,

hier nun mein vollständiger Lösungsweg:


Aufgabe 1 (die habe ich übrigens falsch, also hier alle Angaben nur bedingt mit Gewähr ;)):
$ openssl x509 -inform DER -in <CERTIFICATE>.der -serial -dates -noout # Seriennummer + Gültigkeitsdauer feststellen
$ openssl crl -inform -DER -in <CRL>.der -text -noout # Nach Seriennummer suchen, "Plausibilitätscheck"

Aufgabe 2:
$ openssl asn1parse -inform DER -in <WHATEVER>.der -out /dev/stdout -noout -strparse 4 | openssl sha1

Aufgabe 3:
$ openssl dgst -ripemd160 <WHATEVER>.der

Aufgabe 4:
$ openssl asn1parse -inform DER -in <WHATEVER>.der -out /dev/stdout -noout -strparse 4 | openssl md5

Aufgabe 5:
$ gpg --import <WHATEVER>.pub
$ gpg --list-sigs fred | grep ^sig | grep -v fred | sort -u | wc -l


Grüße,
Tomi
Zuletzt geändert von Tomi am 3. Jul 2007 23:38, insgesamt 1-mal geändert.

RomanSoldier
Sonntagsinformatiker
Sonntagsinformatiker
Beiträge: 220
Registriert: 1. Dez 2005 20:32

Beitrag von RomanSoldier »

Hier meine Lösung (habe ich mir beim Lösen die Befehle mit geschrieben):
Aufgabe1:
Fragen zur RFC3280
Sie sollen herausfinden, ob ein Zertifikat inzwischen von einer CA revoked wurde. Ihnen liegt einmal das Zertifikat der CA unter
http://www.cdc.informatik.tu-darmstadt. ... e828fb.der vor, sowie das
Zertifikat selber unter
http://www.cdc.informatik.tu-darmstadt. ... 91d3c1.der. Zusätzlich haben
sie noch eine CRL unter
http://www.cdc.informatik.tu-darmstadt. ... 4d0fb3.der gefunden. Weitere
Quellen für Sperrinformationen, wie z. B. ein OCSP oder LDAP-Server liegen ihnen nicht vor. Wurde das Zertifikat von Alice inzwischen von der
MasterCA revoked? Sollten sie in der CRL keinen Eintrag finden, der aussagt, dass das die MasterCA das Zertifikat revoked hat, so können sie
davon ausgehen, dass die korrekte Antwort nein lautet.

Lösungsweg:
(kein Lösungsweg, da Aufgabe nicht richtig bearbeitet)


Aufgabe2:
Bei der Prüfung einer RSA-Signatur entsteht nach der s^e mod n operation ein Signaturblock. Wie lautet dieser Signaturblock für das Zertifikat
unter http://www.cdc.informatik.tu-darmstadt. ... 3d1c0e.der?
Hinweis: Dieser Block wird durch die Funktion EMSA-PKCS1-v1_5-ENCODE berechnet, die in RFC3447 spezifiziert wird. Diese RFC ist
inhaltsidentisch zu PKCS1 Version 2.1.

Lösungsweg:
openssl x509 -inform DER -in 67a9917646a6fba099dfc9eb4c3d1c0e.der -outform PEM -out A2_cert.pem
openssl asn1parse -in A2_cert.pem -out A2_cert.sig -noout -strparse 275
openssl rsautl -in A2_cert.sig -pkcs -inkey A2_cert.pem -certin -hexdump -raw


Aufgabe 3:
Welches ist der korrekte RIPEMD160-Fingerprint des Zertifikates, dass sie auf
http://www.cdc.informatik.tu-darmstadt. ... 29f5ba.der finden?

Lösungsweg:
openssl x509 -certopt no_sigdump -noout -inform DER -in 3b3bd467c8f3201e40cdf4f69529f5ba.der -outform DER -out A3_solve.der -hash
openssl dgst -ripemd160 A3_solve.der


Aufgabe 4:
Angenommen sie würden das Zertifikat, dass sie unter
http://www.cdc.informatik.tu-darmstadt. ... 215211.der finden, verifizieren.
Welchen Hashwert wird dabei für die Verifikation berechnet?

Lösungsweg:
openssl x509 -inform DER -in 1d49f226f7aa51dbf4df9de47b215211.der -outform PEM -out A4_cert.pem
openssl asn1parse -in A4_cert.pem -out A4_cert.sig -noout -strparse 275
openssl rsautl -in A4_cert.sig -inkey A4_cert.pem -certin -hexdump


Aufgabe 5:
Fragen zu PGP
Wieviele Signaturen gibt auf dem PGP public key, den sie unter
http://www.cdc.informatik.tu-darmstadt. ... 2cfdb1.pub finden? Die
selbstsignatur wird nicht mitgezählt.

Lösungsweg:
gpg --import edd3649209ab8f11c4e0635c542cfdb1.pub
gpg --list-sigs
Ich hoffe, ich darf das so hier hinein stellen (bezüglich der Fragestellung).

erik.tews
Computerversteher
Computerversteher
Beiträge: 326
Registriert: 5. Jan 2004 20:48

Beitrag von erik.tews »

Ja, genau das war gewünscht.

Gibt es noch einen Lösungsvorschlag zur 1. Aufgabe, oder traut sich nach meinem letzten Posting hier niemand mehr?

rico
Windoof-User
Windoof-User
Beiträge: 37
Registriert: 25. Aug 2006 12:10

Re: Übungen Ausgewertet

Beitrag von rico »

erik.tews hat geschrieben: Zu der Aufgabe mit der CRL. Wenn CA MasterCA ein Zertifikat mit Seriennummer 5 ausstellt, und ebenfalls RootCA ein Zertifikat mit Seriennummer 5 revoziert, dann hat das genau welche Auswirkungen auf das Zertifikat der MasterCA?
ich würde für "gar keine" stimmen.
dazu gleich mal ne frage rangehängt: die namen der CAs sind völlig frei zu wählen oder? sprich, aus dem namen allein kann man über hierarchie nichts ableiten?!

erik.tews
Computerversteher
Computerversteher
Beiträge: 326
Registriert: 5. Jan 2004 20:48

Beitrag von erik.tews »

Korrekt.

Also, Namen können frei gewählt sein, eine SuperCA muss nicht zwingend über einer TinyCA stehen, bzw. müssen diese beiden CAs irgendwie zueinander im Verhältnis stehen.

Bei bisher allen Aufgaben wurden die Namen aber so gewählt, dass sie irgendwie zu der Hirachie passten. Ebenso auch bei der CRL Aufgabe.

Antworten

Zurück zu „Archiv“