Hausübung ist online

[marco_ghiglieri]

Hallo zusammen,

die Hausübung ist auf unserer Seite nun online.

Fragen können hier oder auch in unserer Sprechstunde, die wir noch ankündigen, gestellt werden.

Wie bei jeder Hausübung werden Lösungen hier im Forum direkt und ohne Vorwarnung gelöscht !

Viele Grüße,
Marco

[f_jakob]

Hallo,

sollen wir AES und RSA komplett selbst implementieren, oder dürfen wir auf die Klassen in javax.crypto zurückgreifen?
Falls wir es komplett selbst implementieren sollen: Müssen wir die S-Box selbst generieren und uns auch selbst um die Berechnungen in \(GF(2^8\)) kümmern, oder dürfen wir diese von extern beziehen und unter Quellenangabe verwenden?

Viele Grüße
Florian

[marco_ghiglieri]

Hallo,

es dürfen und sollen die javax.crypto Klassen implementiert werden.
Eine komplette Implementierung ist nicht Ziel dieser Aufgabe und wäre mehr als das reine Verständnis der Verfahren.

Der Link auf dem Aufgabenblatt funktioniert nicht. Wird am Dienstag korrigiert, hier schonmal der funktionierende und noch ein zusätzlicher:
http://download.oracle.com/javase/6/doc ... mmary.html
http://download.oracle.com/javase/6/doc ... mmary.html

Viele Grüße,
Marco

[f_jakob]

Ich nutze Archlinux und schaffe es trotz setuid-bit und uid=0 keine Shell mit Root-Rechten durch den Puffer-Überlauf zu starten. Beliebige Programme über overflow mit meinen Rechten zu starten ist kein Problem. Denke es liegt an folgendem Sachverhalt:

Do not use system() from a program with set-user-ID or set-group-ID privileges, .... [it] will not ... work properly from programs with set-user-ID or set-group-ID privileges on systems on which /bin/sh is bash version 2, since bash 2 drops privileges on startup. (Debian uses a modified bash which does not do this when invoked as sh.)

Bin allerdings zu faul mir extra Debian oder Ubuntu zu besorgen um das zu verifizieren. Gibt es weitere Nicht-Debian-Nutzer mit gleichen Problemen?

[aiQon]

welche blocklänge soll bei der AES und RSA-geschichte verwendet werden? Und welche Modi? Soll RSA naiv implementiert werden oder mit oaep?

[marco_ghiglieri]

welche blocklänge soll bei der AES und RSA-geschichte verwendet werden? Und welche Modi? Soll RSA naiv implementiert werden oder mit oaep?

die Blocklänge kann beliebig - im Rahmen des möglichen bei den Verfahren - gewählt werden. Als Tipp noch, mehr wie die Nachricht, die derzeit übertragen wird, muss auch nicht übertragen werden. Es reicht die Instance jeweils nur mit den Verfahren ohne Modi zu instanzieren.
Es geht im hauptsächlichen darum zu implementieren, wie sich die beiden Verfahren unterscheiden bei den Keys. Funktionieren sollte es natürlich dann mit der Nachricht auch

[lukas_kalabis]

@f_jakob: Also ich hab grad mal Arch-Linux in ner VM installiert und bei mir klappt es ohne Probleme...

[f_jakob]

@f_jakob: Also ich hab grad mal Arch-Linux in ner VM installiert und bei mir klappt es ohne Probleme...

Welche Version von der bash verwendest du? Meine ist:

Code: Alles auswählen

$ bash --version
GNU bash, version 4.2.10(2)-release (i686-pc-linux-gnu)

Ich habe das Problem auch mittlerweile wirklich auf die bash eingeschränkt. Wenn ich /bin/sh auf /bin/zsh umbiege, wird das setuid-bit berücksichtigt und ich darf mit root-Rechten weitermachen. Habe das ganze über Aufruf von whoami verifiziert. Ich nehme aber mal an wenn ich in der Lösung beschreibe wie ich ein beliebiges Programm ausführen kann und damit theoretisch an eine root-Shell komme reicht das aus, oder? Denke das Knacken von Sicherheitsmechanismen der bash ist hier nicht gefordert.

[Thorsten Peter]

Kann man davon ausgehen, dass Methodenparameter hinzugefügt werden dürfen/müssen? Laut Aufgabenstellung soll der Schlüssel ja für jedes Paket entsprechend der ID generiert werden. Die Methode AESpms.generateKey() hat jedoch bisher keine Chance an diese ID ran zu kommen. Übersehe ich was?

Viele Grüße

[marco_ghiglieri]

Die Formulierung ist etwas unglücklich geraten.

Beides ist demnach zulässig:
1. Schlüssel wird mit Hilfe der ID erzeugt und die jeweilige Methoden mit den nötigen Parametern erweitert
2. Schlüssel wird mit einem Random erzeugt.

Bei beiden Verfahren sollte jedes Paket in AES mit einem anderen Key übertragen werden.

[lukas_kalabis]

@f_jakob: Also ich hab grad mal Arch-Linux in ner VM installiert und bei mir klappt es ohne Probleme...

Welche Version von der bash verwendest du? Meine ist:

Code: Alles auswählen

$ bash --version
GNU bash, version 4.2.10(2)-release (i686-pc-linux-gnu)

Ich habe das Problem auch mittlerweile wirklich auf die bash eingeschränkt. Wenn ich /bin/sh auf /bin/zsh umbiege, wird das setuid-bit berücksichtigt und ich darf mit root-Rechten weitermachen. Habe das ganze über Aufruf von whoami verifiziert. Ich nehme aber mal an wenn ich in der Lösung beschreibe wie ich ein beliebiges Programm ausführen kann und damit theoretisch an eine root-Shell komme reicht das aus, oder? Denke das Knacken von Sicherheitsmechanismen der bash ist hier nicht gefordert.

Also bei mir gibts:

Code: Alles auswählen

$ bash --version
GNU bash, version 4.2.5(2)-release (i686-pc-linux-gnu)

Aber du hast recht-es scheint Probleme damit zu geben. Unter Ubuntu klappt es sofort. Naja ich sag mal, dass solange du es schaffst eine Shell aufzumachen und den Weg beschreibst reicht mir das.
Interessiert an einer root-shell wäre ich natürlich trotzdem

[mister_tt]

Es wäre toll, wenn nicht nur allgemein hinter den Hausübungs-Downloads stehen würde, wann etwas geupdated wurde, sondern welche Datei genau geändert wurde. Ist es "nur" die Aufgabenstellung oder wurde auch was in den Sourcecodes verändert? Im Optimalfall steht dann auch dabei, was genau geändert wurde...

Viele Grüße,
Simon

[marco_ghiglieri]

Ja, das ist natürlich richtig.
Geupdated wurde lediglich das Aufgabenblatt mit einigen Informationen, die hier im Forum stehen oder per E-Mail kamen.

[mister_tt]

Okay, Danke.

[...], die hier im Forum stehen oder per E-Mail kamen.

Per E-Mail? Habe ich was verpasst? Gibt es da einen Verteiler?

[hymGo]

Ich glaube es sind Mails, die direkt an die Veranstalter gingen, gemeint