Hausübung ist online

marco_ghiglieri
Mausschubser
Mausschubser
Beiträge: 46
Registriert: 6. Jun 2011 09:29

Hausübung ist online

Beitrag von marco_ghiglieri »

Hallo zusammen,

die Hausübung ist auf unserer Seite nun online.

Fragen können hier oder auch in unserer Sprechstunde, die wir noch ankündigen, gestellt werden.

Wie bei jeder Hausübung werden Lösungen hier im Forum direkt und ohne Vorwarnung gelöscht !

Viele Grüße,
Marco

f_jakob
Mausschubser
Mausschubser
Beiträge: 50
Registriert: 27. Okt 2009 14:05

Frage zu Aufgabe 1 (Cryptography)

Beitrag von f_jakob »

Hallo,

sollen wir AES und RSA komplett selbst implementieren, oder dürfen wir auf die Klassen in javax.crypto zurückgreifen?
Falls wir es komplett selbst implementieren sollen: Müssen wir die S-Box selbst generieren und uns auch selbst um die Berechnungen in \(GF(2^8\)) kümmern, oder dürfen wir diese von extern beziehen und unter Quellenangabe verwenden?

Viele Grüße
Florian

marco_ghiglieri
Mausschubser
Mausschubser
Beiträge: 46
Registriert: 6. Jun 2011 09:29

Re: Hausübung ist online

Beitrag von marco_ghiglieri »

Hallo,

es dürfen und sollen die javax.crypto Klassen implementiert werden.
Eine komplette Implementierung ist nicht Ziel dieser Aufgabe und wäre mehr als das reine Verständnis der Verfahren.

Der Link auf dem Aufgabenblatt funktioniert nicht. Wird am Dienstag korrigiert, hier schonmal der funktionierende und noch ein zusätzlicher:
http://download.oracle.com/javase/6/doc ... mmary.html
http://download.oracle.com/javase/6/doc ... mmary.html

Viele Grüße,
Marco

f_jakob
Mausschubser
Mausschubser
Beiträge: 50
Registriert: 27. Okt 2009 14:05

Problem Aufgabe 2.1 (Buffer Overflow mit suid)

Beitrag von f_jakob »

Ich nutze Archlinux und schaffe es trotz setuid-bit und uid=0 keine Shell mit Root-Rechten durch den Puffer-Überlauf zu starten. Beliebige Programme über overflow mit meinen Rechten zu starten ist kein Problem. Denke es liegt an folgendem Sachverhalt:
'man 3 system, v3.32, 2010-09-10' hat geschrieben:Do not use system() from a program with set-user-ID or set-group-ID privileges, .... [it] will not ... work properly from programs with set-user-ID or set-group-ID privileges on systems on which /bin/sh is bash version 2, since bash 2 drops privileges on startup. (Debian uses a modified bash which does not do this when invoked as sh.)
Bin allerdings zu faul mir extra Debian oder Ubuntu zu besorgen um das zu verifizieren. Gibt es weitere Nicht-Debian-Nutzer mit gleichen Problemen?

Benutzeravatar
aiQon
Windoof-User
Windoof-User
Beiträge: 32
Registriert: 9. Dez 2010 18:23
Wohnort: Darmstadt

Re: Hausübung ist online

Beitrag von aiQon »

welche blocklänge soll bei der AES und RSA-geschichte verwendet werden? Und welche Modi? Soll RSA naiv implementiert werden oder mit oaep?
weeks of coding can save hours of planing

marco_ghiglieri
Mausschubser
Mausschubser
Beiträge: 46
Registriert: 6. Jun 2011 09:29

Re: Hausübung ist online

Beitrag von marco_ghiglieri »

aiQon hat geschrieben:welche blocklänge soll bei der AES und RSA-geschichte verwendet werden? Und welche Modi? Soll RSA naiv implementiert werden oder mit oaep?
die Blocklänge kann beliebig - im Rahmen des möglichen bei den Verfahren - gewählt werden. Als Tipp noch, mehr wie die Nachricht, die derzeit übertragen wird, muss auch nicht übertragen werden. Es reicht die Instance jeweils nur mit den Verfahren ohne Modi zu instanzieren.
Es geht im hauptsächlichen darum zu implementieren, wie sich die beiden Verfahren unterscheiden bei den Keys. Funktionieren sollte es natürlich dann mit der Nachricht auch :)

lukas_kalabis
Windoof-User
Windoof-User
Beiträge: 35
Registriert: 8. Apr 2011 13:39

Re: Hausübung ist online

Beitrag von lukas_kalabis »

@f_jakob: Also ich hab grad mal Arch-Linux in ner VM installiert und bei mir klappt es ohne Probleme...

f_jakob
Mausschubser
Mausschubser
Beiträge: 50
Registriert: 27. Okt 2009 14:05

Re: Hausübung ist online

Beitrag von f_jakob »

lukas_kalabis hat geschrieben:@f_jakob: Also ich hab grad mal Arch-Linux in ner VM installiert und bei mir klappt es ohne Probleme...
Welche Version von der bash verwendest du? Meine ist:

Code: Alles auswählen

$ bash --version
GNU bash, version 4.2.10(2)-release (i686-pc-linux-gnu)
Ich habe das Problem auch mittlerweile wirklich auf die bash eingeschränkt. Wenn ich /bin/sh auf /bin/zsh umbiege, wird das setuid-bit berücksichtigt und ich darf mit root-Rechten weitermachen. Habe das ganze über Aufruf von whoami verifiziert. Ich nehme aber mal an wenn ich in der Lösung beschreibe wie ich ein beliebiges Programm ausführen kann und damit theoretisch an eine root-Shell komme reicht das aus, oder? Denke das Knacken von Sicherheitsmechanismen der bash ist hier nicht gefordert. :mrgreen:

Thorsten Peter
Windoof-User
Windoof-User
Beiträge: 27
Registriert: 18. Mai 2009 23:40

Re: Hausübung ist online

Beitrag von Thorsten Peter »

Kann man davon ausgehen, dass Methodenparameter hinzugefügt werden dürfen/müssen? Laut Aufgabenstellung soll der Schlüssel ja für jedes Paket entsprechend der ID generiert werden. Die Methode AESpms.generateKey() hat jedoch bisher keine Chance an diese ID ran zu kommen. Übersehe ich was?

Viele Grüße

marco_ghiglieri
Mausschubser
Mausschubser
Beiträge: 46
Registriert: 6. Jun 2011 09:29

Re: Hausübung ist online

Beitrag von marco_ghiglieri »

Die Formulierung ist etwas unglücklich geraten.

Beides ist demnach zulässig:
1. Schlüssel wird mit Hilfe der ID erzeugt und die jeweilige Methoden mit den nötigen Parametern erweitert
2. Schlüssel wird mit einem Random erzeugt.

Bei beiden Verfahren sollte jedes Paket in AES mit einem anderen Key übertragen werden.

lukas_kalabis
Windoof-User
Windoof-User
Beiträge: 35
Registriert: 8. Apr 2011 13:39

Re: Hausübung ist online

Beitrag von lukas_kalabis »

f_jakob hat geschrieben:
lukas_kalabis hat geschrieben:@f_jakob: Also ich hab grad mal Arch-Linux in ner VM installiert und bei mir klappt es ohne Probleme...
Welche Version von der bash verwendest du? Meine ist:

Code: Alles auswählen

$ bash --version
GNU bash, version 4.2.10(2)-release (i686-pc-linux-gnu)
Ich habe das Problem auch mittlerweile wirklich auf die bash eingeschränkt. Wenn ich /bin/sh auf /bin/zsh umbiege, wird das setuid-bit berücksichtigt und ich darf mit root-Rechten weitermachen. Habe das ganze über Aufruf von whoami verifiziert. Ich nehme aber mal an wenn ich in der Lösung beschreibe wie ich ein beliebiges Programm ausführen kann und damit theoretisch an eine root-Shell komme reicht das aus, oder? Denke das Knacken von Sicherheitsmechanismen der bash ist hier nicht gefordert. :mrgreen:
Also bei mir gibts:

Code: Alles auswählen

$ bash --version
GNU bash, version 4.2.5(2)-release (i686-pc-linux-gnu)
Aber du hast recht-es scheint Probleme damit zu geben. Unter Ubuntu klappt es sofort. Naja ich sag mal, dass solange du es schaffst eine Shell aufzumachen und den Weg beschreibst reicht mir das.
Interessiert an einer root-shell wäre ich natürlich trotzdem :)

mister_tt
Kernelcompilierer
Kernelcompilierer
Beiträge: 502
Registriert: 29. Sep 2008 15:54

Re: Hausübung ist online

Beitrag von mister_tt »

Es wäre toll, wenn nicht nur allgemein hinter den Hausübungs-Downloads stehen würde, wann etwas geupdated wurde, sondern welche Datei genau geändert wurde. Ist es "nur" die Aufgabenstellung oder wurde auch was in den Sourcecodes verändert? Im Optimalfall steht dann auch dabei, was genau geändert wurde...

Viele Grüße,
Simon

marco_ghiglieri
Mausschubser
Mausschubser
Beiträge: 46
Registriert: 6. Jun 2011 09:29

Re: Hausübung ist online

Beitrag von marco_ghiglieri »

Ja, das ist natürlich richtig.
Geupdated wurde lediglich das Aufgabenblatt mit einigen Informationen, die hier im Forum stehen oder per E-Mail kamen.

mister_tt
Kernelcompilierer
Kernelcompilierer
Beiträge: 502
Registriert: 29. Sep 2008 15:54

Re: Hausübung ist online

Beitrag von mister_tt »

Okay, Danke.
marco_ghiglieri hat geschrieben:[...], die hier im Forum stehen oder per E-Mail kamen.
Per E-Mail? Habe ich was verpasst? Gibt es da einen Verteiler? :o

Benutzeravatar
hymGo
Sonntagsinformatiker
Sonntagsinformatiker
Beiträge: 209
Registriert: 4. Okt 2009 23:17

Re: Hausübung ist online

Beitrag von hymGo »

Ich glaube es sind Mails, die direkt an die Veranstalter gingen, gemeint :wink:

Antworten

Zurück zu „Archiv“