Prova scritta di Sicurezza Informatica

Matricola Cognome 20 Luglio 2012 Nome

Esercizio 1 In riferimento allo standard di cifratura multipla 3DES con due chiavi distinte, si richiede di (a.1) illustrare lo schema a blocchi della cifratura e della decifratura 3DES utilizzando le funzioni crittograche E() e D() di DES quali blocchi base; (a.2) spiegare le ragioni che hanno determinato la scelta di una particolare sequenza (e tipo) di funzioni crittograche per realizzare la cifratura 3DES. Supponendo di conoscere una coppia (m, c) dove c si ottiene cifrando il blocco in chiaro m con 3DES. (b.1) Se la cifratura 3DES utilizza tre chiavi distinte possibile, in linea di principio, individuare una terna di chiavi che permettono di mappare m in c? (b.2) Cosa succede se si usa invece 3DES con due chiavi distinte? Esercizio 2 In riferimento allalgoritmo RSA (a) descrivere la fase di generazione di una coppia P U, P R ove P U = e, n e P R = d, n; (b) fornire eventuali valori preferenziali per la quantit e motivandone la convenienza; (c) descrivere eventuali vulnerabilit e le relative misure protettive derivanti dalladozione dei valori preferenziali per e di cui al punto precedente. Esercizio 3 (a) Descrivere in cosa consiste e a cosa serve un certicato digitale emesso da una autoritit di certicazione. (b) A titolo di esempio, descrivere un protocollo di mutua autenticazione in cui richiesto luso di certicati digitali illustrando i conseguenti controlli che necessario espletare. Si assuma che ambo le parti conoscano la chiave pubblica dellautorit di certicazione. Esercizio 4 Nellambito dei sistemi operativi di tipo Unix, (a) che cosa si intende per File Permission Matrix ? A cosa serve? Sia /etc/secureprog un programma di sistema non modicale da alcun utente, (b.1) fornire un possibile output corrispondente allesecuzione del comando ls -la dalla directory /etc/. (b.2) Indicare quale comando deve digitare lutente proprietario di secureprog per rendere tale le, per qualunque utente e gruppo utente, accessibile in lettura, accessibile in scrittura e non eseguibile.

Esercizio 5 Con riferimento alla tabella donatori, in allegato, trovare limporto esatto della donazione di Mister X con un attacco indiretto di tipo media. Si hanno a disposizione le seguenti informazioni: (a) Mister X un medico nato in una citt diversa da Roma e Torino ed ha unet inferiore a 50 anni; (b) di tutti i medici di et inferiore a 50 anni nati in un luogo diverso da Roma e Torino hanno donato la stessa cifra ed noto lammontare complessivo delle loro donazioni. Si tenga conto, inoltre, che viene applicata la seguente politica di protezione dei dati sensibili: (1) lattributo donazione non pu essere divulgato direttamente e non pu essere utilizzato come criterio di ltraggio; (2) consentito soltanto luso delloperatore OR nella denizione dei criteri di ltraggio. TABELLA donatori cod-scale ... ... ... cognome ... ... ... nome ... ... ... eta ... ... ... luogo-nascita ... ... ... sesso ... ... ... impiego ... ... ... donazione ... ... ...

Esercizio 6 Nellambito della sicurezza del Web, descrivere un attacco di tipo Cross Site Scripting illustrando le contromisure necessarie a renderlo innocuo.