security

מדוע ניתן היה לשחזר את הסיסמה של אבנר בקובץ ה־PCAP בעבודה 2?

1

שאלה #181167

		כי הסיסמה הוצפנה ב־TLS ונפלה להתקפת downgrade
		כי הסיסמה נכתבה בקוד JavaScript בדף אינטרנט
		כי הנתב של אבנר שמר את הסיסמה בזיכרון
		כי אבנר שלח את הסיסמה בטקסט גלוי ללא הצפנה

עבודה 2 – אבנר לא השתמש בשום הצפנה ולכן הסיסמה עברה בתקשורת כטקסט גלוי (Cleartext), וניתן היה לקרוא אותה ב־Wireshark.

מיין לפי

באיזו חולשה נעשה שימוש כדי לשחזר את הדגל מתוך ההצפנה בעבודה 2 (CBC)?

1

שאלה #181168

		ניתוח תהליך ההצפנה לפי בלוקים והפעלה של XOR עם IV ו־Cipher Blocks
		ניתוח תהליך ההצפנה לפי רצפים והפעלה של XOR עם IV ו־Cipher Blocks
		ניתוח תהליך ההצפנה לפי בלוקים והפעלה של XOR עם Key Expansion ו־Cipher Blocks
		שימוש ב־SQL Injection לחשיפת המפתח

עבודה 2 – לאחר קבלת ה־ciphertext, בוצע פיצול לבלוקים בגודל 16 בייט, ולאחר מכן XOR עם ה־IV ו־Cipher1 כדי לשחזר את ה־plaintext.

מיין לפי

מה הפעולה 'Rotate' בשיטת RotAES?

1

שאלה #181169

		שינוי סדר השורות עם מיסוך
		שינוי כל בתים בעזרת פונקציית hash
		הזזת מטריצת ה־state 90 מעלות נגד כיוון השעון
		היפוך ביטים בכל שורה

עבודה 2 – בשיטת RotAES מחליפים את MixColumns בפעולת Rotate של state בגודל 4x4 בזווית 90° נגד כיוון השעון.

מיין לפי

מהי מטרת שלב AddRoundKey באלגוריתם RotAES בעבודה 2?

1

שאלה #181170

		להכניס רנדומליות בעזרת IV
		לבצע פענוח של המצב
		לבצע XOR בין state לבין המפתח
		להמיר את המצב לקוד base64

עבודה 2 – AddRoundKey הוא שלב בסיסי גם ב־AES וגם ב־RotAES שמבצע XOR בין state לבין המפתח.

מיין לפי

באיזו טכניקת קריפטואנליזה נעשה שימוש לפיצוח Double RotAES בעבודה 2?

1

שאלה #181171

		Meet-in-the-Middle
		Chosen Ciphertext Attack
		Brute Force רגיל
		Rainbow Table Attack

עבודה 2 – ב־Double RotAES השתמשנו בטכניקה Meet-in-the-Middle שמבצעת חיפוש הפוך והצלבה בין קידודים.

מיין לפי

במקרה הראשון של RSA (Bob מצפין עם המפתח של עצמו) בעבודה 2, מדוע זה אינו נכון מתמטית?

1

שאלה #181172

		כי רק בוב יכול לפענח, ולכן אליס לא תוכל לקרוא את ההודעה
		כי רק אליס יכולה לפענח, ולכן בוב לא יוכל לקרוא את ההודעה
		כי נדרש תמיד מפתח ציבורי של אליס
		כי ההצפנה מתבצעת עם מפתח סימטרי

עבודה 2 – אם בוב מצפין עם המפתח הציבורי של עצמו, רק הוא יכול לפענח – ההודעה לא קריאה על ידי אליס ולכן לא מעשית להעברת מידע.

מיין לפי

מה ההבדל המרכזי בין התקפת Meet-in-the-Middle להתקפת Man-in-the-Middle?

1

שאלה #181173

		Meet-in-the-Middle מתבצעת בזמן אמת בין שני צדדים, בעוד Man-in-the-Middle מנתחת פונקציות הצפנה עם שני שלבים
		שתיהן מתבצעות על תקשורת מוצפנת, אך Meet-in-the-Middle דורשת התחברות לרשת בזמן שהצפנה מתבצעת
		Meet-in-the-Middle פוגעת בפרוטוקול בזמן ההעברה, Man-in-the-Middle תוקפת מפתח בקירוב סטטיסטי
		Meet-in-the-Middle תוקפת מבנה פנימי של אלגוריתם הצפנה עם שלבים מרובים, בעוד Man-in-the-Middle מיירט תקשורת בין שני צדדים

שאלה כללית על החומר - Meet-in-the-Middle היא טכניקה קריפטוגרפית שמטרתה לפצח הצפנה מרובת שלבים (כמו 5DES) ע״י הצלבת קלט ופלט ביניים. לעומתה, Man-in-the-Middle (MitM) היא התקפה תקשורתית שבה התוקף מיירט או משנה הודעות בין שני צדדים מבלי שהם ידעו על נוכחותו.

נערך לפני 10 חודשים

מיין לפי

איזה מהבאים אינו נחשב לדרישה חיונית למנגנון בקרת גישה תקין?

1

שאלה #181174

		Reliable Input
		Open Policy Only
		Least Privilege
		Separation of Duty

הרצאה 8 – דרישות בקרת גישה כוללות reliable input, least privilege, separation of duties, וכן תמיכה במדיניות פתוחה וסגורה, לא רק פתוחה.

מיין לפי

מה משמעות עקרון ה־Least Privilege?

1

שאלה #181175

		כל משתמש חייב להיות מוגבל לקובץ אחד בלבד
		כל משתמש מקבל הרשאות מלאות כברירת מחדל
		המשתמש מקבל את ההרשאות ההכרחיות בלבד לביצוע משימותיו
		כל משתמש מקבל גישה לכל רכיבי המערכת לצורכי תיעוד

הרצאה 8 – Least Privilege הוא עקרון קריטי בבקרת גישה המבטיח שהמשתמש יקבל רק את ההרשאות ההכרחיות לביצוע משימותיו, ללא הרשאות מיותרות.

מיין לפי

מה מאפיין את מנגנון DAC?

1

שאלה #181176

		הרשאות מוקצות על ידי תפקידים בלבד
		המשתמש לא יכול לתת הרשאות למשתמשים אחרים
		הבעלים של האובייקט קובע את ההרשאות
		המדיניות נאכפת אך ורק על ידי מערכת הפעלה

הרצאה 8 – DAC (Discretionary Access Control) מאפשר לבעלים של האובייקט לקבוע אילו משתמשים אחרים יכולים לגשת למשאב ובאילו דרכים.

מיין לפי

Discuss, Learn and be Happy דיון בשאלות

מדוע ניתן היה לשחזר את הסיסמה של אבנר בקובץ ה־PCAP בעבודה 2?

באיזו חולשה נעשה שימוש כדי לשחזר את הדגל מתוך ההצפנה בעבודה 2 (CBC)?

מה הפעולה 'Rotate' בשיטת RotAES?

מהי מטרת שלב AddRoundKey באלגוריתם RotAES בעבודה 2?

באיזו טכניקת קריפטואנליזה נעשה שימוש לפיצוח Double RotAES בעבודה 2?

במקרה הראשון של RSA (Bob מצפין עם המפתח של עצמו) בעבודה 2, מדוע זה אינו נכון מתמטית?

מה ההבדל המרכזי בין התקפת Meet-in-the-Middle להתקפת Man-in-the-Middle?

איזה מהבאים אינו נחשב לדרישה חיונית למנגנון בקרת גישה תקין?

מה משמעות עקרון ה־Least Privilege?

מה מאפיין את מנגנון DAC?

בקשה לשינוי התשובה / תיקון שאלה gavel

בקשה למחיקת השאלהmood_bad

בקשה לשינוי התשובה / תיקון שאלה

בקשה למחיקת השאלה