Upload
jermaine-riviere
View
205
Download
0
Embed Size (px)
DESCRIPTION
PKI 技术——测试答案讲解. 选择题. PKI 具有如下的特点( AC) A、 普适性 B、 基于对称密码算法 C、 基于非对称密码算法 D、 专用于 RSA 算法. 选择题. PKI 能够为 ABCD 提供安全服务 A、 数据链路层 B、IP 层 C、 应用层 D、 会话层 E、 以上都不是. 选择题. 关于 CA, 下面说法那些是正确的( AC) A、CA 负责签发订户的数字证书 B、CA 没有自己的数字证书 C、CA 是 PKI 的核心部件 D、CA 和 CA 之间不能相互认证、相互签发证书. 选择题. - PowerPoint PPT Presentation
Citation preview
PKI 技术——测试答案讲解
2
选择题 PKI 具有如下的特点( AC )
A 、普适性 B 、基于对称密码算法 C 、基于非对称密码算法 D 、专用于 RSA 算法
3
选择题 PKI 能够为 ABCD 提供安全服务
A 、数据链路层 B 、 IP 层 C 、应用层 D 、会话层 E 、以上都不是
4
选择题 关于 CA ,下面说法那些是正确的
( AC ) A 、 CA 负责签发订户的数字证书 B 、 CA 没有自己的数字证书 C 、 CA 是 PKI 的核心部件 D 、 CA 和 CA 之间不能相互认证、相互
签发证书
5
选择题 一般认为,信息安全可以在哪些层提供
( ABCDE ) A 应用层 B 数据链路层 C 网络层 D 会话层 E 物理层-防搭线窃听、防电磁辐射
6
选择题 PKI 可以提供如下的信息安全服务
ABCD A 机密性 B 完整性 C 非否认 D 真实性 E 可用性-不行
7
选择题 在 TCP/IP 网络上, IP 地址是 IP 层的通
信地址, TCP 层的通信地址是 A A 、端口号 B 、数据长度 C 、校验和 D 、证书序列号
8
选择题 CA 交叉认证的结果是 B
A 、产生订户证书 B 、产生交叉证书 C 、产生 CRL D 、产生 OCSP
9
选择题 在 Issuer Alternative Name 中,可以
包括 ×××× CA 的 Email CA 的网站 订户的 Email CA 的营业执照号码 CA 的 IP 地址
10
选择题 证书策略 CP 在证书中的表现形式是 ××××
OID 时间段 URL X.500 DN 密码算法 CPS 内容
在证书中,仅仅是列出了 CP 的 OID 还可以给出相应 CPS 的 URL (可选的)
11
选择题 命名限制 Name Constraints 扩展同时
对证书的 ×××× 对起作用 Issuer Subject Subject Alternative Name Issuer Alternative Name
12
选择题 在 CRL 中,每个 Entry 表示了 ××××
个被撤销的证书 1 个 单证书 PKI 系统是 1 个、双证书 PKI 系统是
2 个 任意个 个数由 CA 在扩展中确定
13
选择题 如果证书中有 Private Key Usage Period 扩展,
其 Key Usage 扩展必须包括 ×××× 用法 dataEncipherment digitalSignature encipherOnly keyAgreement
Private Key Usage Period 扩展是因为数字签名的特殊性提出的 一次签名、永远验证
14
选择题 彻底地实现双证书体系,需要如下措施 ×××
× 建设 KMC 密钥管理中心 使用非关键的 Key Usage 扩展 使用关键的 Key Usage 扩展 实现合格的 PKI 应用系统 支持双证书的证书申请流程 专用的密码算法 遵纪守法的 PKI 使用者
15
选择题 X.500 目录中, Attribute Type 是用
×××× 表示的 OBJECT IDENTIFIER INTEGER BIT STRING ASCII
16
选择题 哪些证书的序列号应该出现在 CRL 上
( D ) A 、有效期内的正常证书 B 、过期的证书 C 、尚未生效的证书 D 、相应私钥泄漏的、有效期内的 CA 证书
17
选择题 IETF PKIX 的模型中,包括了如下的部
件( ABCDEF ) A 、终端实体 B 、 CA C 、 RA D 、 CRL Issuer E 、资料库 F 、 PKI User
18
选择题 资料库的形式可以是( ABCDEFG )
A 、 HTTP B 、 FTP C 、电子邮件 D 、 OCSP E 、 X.500 F 、 LDAP G 、关系数据库
19
选择题 以下哪些是非对称密码算法( BCF )
A 、 DES B 、 RSA C 、 ECC D 、 IDEA E 、 MD4 F 、 ElGamal G 、移位密码
20
选择题 PKI 中,哪个部件负责审核订户提交信息
的真实性( D ) A 、 CA B 、 OCSP C 、 End Entity D 、 RA E 、密钥管理机构
21
选择题 在 PKI 中,以下哪些信息是可以公开的
( ABCDEG ) A 、最新的 CRL B 、过期的订户证书 C 、 CA 的公钥 D 、订户的公钥 E 、签发证书时,所用的 HASH 算法 F 、订户私钥 G 、交叉证书
22
选择题 公钥密码算法又称为( ACDE )
A 、 Public Key Cryptography
B 、分组密码算法 C 、 Asymmetric Cryptography D 、双钥密码算法 E 、非对称密码算法
23
选择题 下面哪些操作系统上是可以使用 PKI 的
?
24
选择题 PKI 可用于保护如下事务的安全性
登录研究生院的选课系统 网上购物 电子邮件加密 网上投票系统 建设高安全的 VPN 电子公文办公系统 电子护照
25
选择题 ElGamal 算法和 ECC 算法的安全性是
基于 离散对数
RSA 算法的安全性是基于 因子分解
26
选择题 关于 HASH 算法,哪些说法是正确的
( BC ) A 、一般, HASH 算法的速度要慢于公钥算法 B 、一般, HASH 算法的速度要快于公钥算法 C 、改变HASH 算法输入的少量比特,会引起输
出的巨大变化 D 、改变HASH 算法输入的少量比特,不会引
起输出的变化
27
判断题 根据《中华人民共和国电子签名法》基于 PKI 的
数字签名是唯一合法有效的电子签名。 FALSE 第十三条 电子签名同时符合下列条件的,视为可靠的
电子签名: (一)电子签名制作数据用于电子签名时,属于电子签名人专
有; (二)签署时电子签名制作数据仅由电子签名人控制; (三)签署后对电子签名的任何改动能够被发现; (四)签署后对数据电文内容和形式的任何改动能够被发现。
当事人也可以选择使用符合其约定的可靠条件的电子签名。
28
判断题 IETF PKIX 的 PKI 的标准和 ITU-T X.509标准
是截然不同、互不兼容的。 N 对称密码算法的加密密钥和解密密钥是不同的、
相互推导在计算上是不可行的。 N 订户要将自己的公钥和私钥都同时交给
CA , CA才能签发数字证书。 N CA 使用 ECC 签名算法给订户签发了一张含有
RSA 算法公钥的证书。 Y 从技术角度而言,实现单证书 /单密钥的 PKI
系统是不可能的。 N
29
判断题 订户证书对应的密钥对,只能由订户自己来生成。 N
按证书 Subject 的不同,可以将数字证书分为2种: CA 证书、订户证书。 Y
2005年 4月 1日,《中华人民共和国电子签名法》正式实施。 Y
相同的消息、使用不同的 HASH 算法,产生的结果都是一样的。 N
流密码算法是非对称密码算法的一种。 N
30
判断题 按照目前的计算机处理能力, 256 bit 的 RSA
算法密钥是安全的。 N 按照目前的计算机处理能力, 128 bit 的 IDEA
算法密钥是安全的。 Y
31
判断题 如果我们找到了快速的因子分解算法,就能够破解 RSA 算法。 Y
CA 必须保持 24小时在线服务, PKI才可能提供非否认服务。 N
CA 必须公开自己的公钥,用户才能验证其他订户证书的真伪。 Y
根据现有标准,证书有扩展,而 CRL 没有扩展。 N
一个实体 A 信任另一个实体 B 是指, A 认为 B的行为恰如 A 所预期的。 Y
32
判断题 证书需要签发者进行数字签名, CRL 不需要
签发者进行数字签名。 N 检查证书撤销状态时,要同时进行 OCSP 和
CRL检查,才是足够安全的。 N IE浏览器不支持 PKI 。 N 基于 TCP/IP协议的计算机网络是实现 PKI 的前提条件。 N
33
判断题 中国的 PKI/CA 建设是在《中国人民共和国电子签名法》实施后才开始的。 N
对一个密码算法而言,最重要的、最需要保密的是解密过程所用算法。 N
每一个 PKI 订户都应该秘密地保护好自己的数字证书。 N
34
问答题 简述口令 Password与密码
Cryptography 的不同。 Cryptography指一系列变换算法,由 key参数确定,从明文到密文的一一映射
口令仅仅是一串信息,和算法无关。表明用户知道某些信息。
35
问答题 使用相同密钥 key 、不同的明文 a和
b ,进行 DES加密计算(最简单的 ECB模式),加密分别得到 a’ 和 b’ ,那么,a’ 有没有可能等于 b’?为什么? 不可能。 反证法:否则,不能解密。 加密算法是一一映射的。
36
问答题 因为资源的考虑,目前一般使用概率算法来得到素数,也就是说,得到 2 个“很可能”是素数的 p 、 q。那么,如果一旦p和 q中,有 1 个不是素数,这时, RSA算法的加解密等式有没有可能成立? 可能。 反证。如果不可能。则,非素数= >不成立。 逆否命题就是:成立= >素数。
素性检验就不需要使用概率算法了。
37
问答题 写出 RSA 算法的密钥生成过程、以及加
解密过程的表达式。 素数 p和 q , n = p×q Ø =( p-1 ) × ( q-1 ) 取 e与 Ø互素, n和 e公开,公钥 计算 d×e = 1 mod Ø ,私钥 加密 c=pe mod n 解密 p=cd mod n
38
问答题 简述一下 PKI 用户( PKI User )和 PKI
订户( PKI Subscriber )的不同。 是否拥有自己的证书密钥对
39
问答题 Alice 有 1 个证书,专门用于进行数字签
名(在证书扩展中标明)。 Alice 不慎将该证书相应的私钥销毁了, Alice决定推迟数天再进行证书撤销,是否会有问题?如果是专门用于密钥协商的证书呢? 签名的可以。以前的签名照样可以验证。 密钥协商的有问题,导致密钥协商进行不了。
40
问答题 有个 CA ,在其系统运行的初始阶段,其所签发的所有证书都没有出现问题(也就是,都不需要撤销),这时候,有没有必要签发 CRL?为什么? 需要 即使是所有的证书都没有问题,也应该明确
地告诉所有的 PKI 用户 没有被撤销的证书,空列表的 CRL
41
问答题 证书策略( Certificate Policies )扩展
出现在订户证书和 CA 中,分别表示了什么意义? CA 证书:该 CA所能够签发的订户证书级别
订户证书:订户证书的安全级别和使用范围
42
问答题 在 Authority Key Identifier 证书扩展中,可
以有 2 种形式:( 1 ) Key Identifier 、( 2 ) Authority Cert Issuer 和 Authority Cert Serial Number。但是,在 Subject Key Identifier 证书扩展中,却只有 1 种形式:Key Identifier。请说明其中的理由。 对于 Authority Key Identifier ,用形式( 2 )是
有意义的; 对于 Subject Key Identifier ,用形式( 2 )是多余的。
43
问答题 根据 X.509 的标准,在数字证书中,包括了
tbsCertificate 、 signatureAlgorithm 和signatureValue。其中,在 tbsCertificate 的里面,又有 signature。事实上, signature 和signatureAlgorithm 表示的内容是一致的,都是 CA签发证书时所用的签名算法。为什么同样的内容需要重复 2 次?
参考 Gutman 的文章, X.509 Style。 有可能存在一种潜在的攻击。
改变外面的算法 OID 改成一种已经被攻破的算法 有限度的攻破(攻击者不能改变被签名数据的内容,也就是里面
的算法 OID )
44
问答题 请从 2 个方面的需求说明,为什么要建
设双证书体系? 一方面:政府希望加密是可控的,私钥应该
在政府备份; 另一方面:电子签名法规定,数字签名的私
钥应该仅有订户掌握。 2 个方面有不同的需求,所以,必须不能将
同一个密钥用于 2 个方面,就要采用双证书。