ZH Flashcards
I/H? Homomorf titkosítással a felhő szolgáltató bizonyos műveleteket végezhet a titkosított adatokon, és megszerezheti a titkosított eredményt anélkül, hogy bármikor hozzáférne az adatokhoz.
Igaz. Így működik a google is pl (no idea)
Milyen biztonsági szolgáltatást nyújt a rejtjelezés?
Bizalmasság
Mi a különbség a packet filtering és a stateful tűzfalak között?
A stateful tűzfal a kapcsolatok állapotát is követi, és így a védelem jobb lehet.
Milyen tényezők határozzák meg az informatikai biztonsági kockázatot?
* javítás
* ellenintézkedések
* fenyegetések
* sebezhetőségek
- ellenintézkedések
- fenyegetések
- sebezhetőségek
Publikus kulcs hozzákötése jogosult felhasználóhoz hogyan működik?
- A felhasználó tudja kiválasztani a számára megfelelő nyilvános kulcsot
- A név és a nyilvános kulcs összekapcsolódik egy hitelesített hitelesítő egység digitális aláírásával
- Automatikusan már együtt generálódik le a felhasználó azonosító és a nyilvános kulcs
- A felhasználóhoz a privát kulcs megadásával rendelődik hozzá a nyilvános kulcs
A név és a nyilvános kulcs összekapcsolódik egy hitelesített hitelesítő egység digitális aláírásával
Időbélyegek esetén az órákat szinkronizálni kell
Igaz. Szinkronizálni kell mert különben nem lenne szinkronizálva
Milyen célt szolgál egy kriptográfiai hash függvény?
* Gyors keresés rejtjelezett adatokban
* Üzenet lenyomat számítás
* Integritásvédelem
* Üzenethitelesítés
Üzenet lenyomat számítás
Melyik lehet hatásos védelem ROP ellen?
* NX bit
* Harvard arch
* ASLR: véletlen címek -> nem tudja előre a gadget címeket
* DEP
ASLR: véletlen címek -> nem tudja előre a gadget címeket
Nonces (megjósolhatatlan valós számok) esetén nem szükséges extra üzenetet küldeni.
Hamis
Szükséges mert köszönni illik :)
Aláírási hibák akkor jelentkeznek, amikor az aláírással rendelkező változó aláírásként értelmezhető, vagy ha az aláírt változót aláírják.
Hamis
Akkor is keletkeznek ha hülye vagy
Milyen célt szolgál a kriptográfiai hash-függvény?
* Egy hash függvény olyan függvény, amely tetszőleges hosszú üzeneteket rögzített hosszú kimenetre (n bitekre)
* Hash táblába menti az adatokat
* Gyorsítja a jelszó azonosítást
* Lassítja a jelszó azonosítást
Egy hash függvény olyan függvény, amely tetszőleges hosszú üzeneteket rögzített hosszú kimenetre (n bitekre)
Nincs szükség tanúsítvány visszavonásra, ha a tanúsítványban szereplő személyes adatok között változás történik.
Hamis
De szükség van visszavonásra, ha nem vonnánk vissza az muy risky
Nonces (megjósolhatatlan valós számok) esetén szikronizálni kell az órákat.
Hamis
Nem kell szinkronizálni mivel úgy sem jósolod meg
(foggalmam sincs miről beszélek de megmarad így)
Az alábbiak közül melyik blokkrejtjelezési mód nem rejti jól az üzenet tartalmát?
* CTR
* CBC
* ECB
* OFB
ECB
Egg Cooking Boiler
(Still no idea de megmarad)
Mi az a rövid jelszótanúsítvány?
* Digitálisan aláírt adatstruktúra mely elválaszthatatlanul összeköti a publikus kulcsot a privát kukcsal
* A publikus kulccsal létrehozott aláírás O c. A publikus kulcshoz tartozó privát kulcs
* A publikus kulcshoz tartozó privát kulcs
* Digitálisan aláírt adatstruktúra, mely elválaszthatatlanul összeköti a publikus kulcsot a tulajdonosával
Digitálisan aláírt adatstruktúra, mely elválaszthatatlanul összeköti a publikus kulcsot a tulajdonosával
Az oldalcsatornás támadások olyan információkon alapulnak, amelyeket a kriptográfiai algoritmus tényleges végrehajtása okozott (az algoritmus szivárogtatta ki).
Igaz
Algoritmus ilyen: rósz 🤮🤮
Mi egy előnye egy anomália alapú iDS-nek?
* Ismeretlen támadásokat is tud detektálni.
* Soha nem követ el false pozitív hibát.
* Jelentősen csokkenti a rendszergazda terhelését.
* Soha nem követ el false negatív detekciót.
Ismeretlen támadásokat is tud detektálni.
Mi a MAC?
* egyedi azonosító
* úgy lehet tekinteni, mint egy hash függvény egy további bemenettel (a kulcs)
* a hash függvény a MAC által mutatott címen található
* az apple bizonyos termékeinek megnevezése
úgy lehet tekinteni, mint egy hash függvény egy további bemenettel (a kulcs)
Nonces (megjósolhatatlan valós számok) esetén elég lokálisan mérni az időt.
Igaz
Elég, nem kell szinkronizálni
Mely az AES blokkmérete?
128
Jegyezd meg h minecraftban 2 stack AESphalt kell
Mi az a tanúsítvány visszavonási lista (CLR)?
* A tanúsítvány visszavonása során követendő lépések sorozata
* Az érvényesség lejárata után visszavont tanúsítványok listája
* Az érvényességi idejüket hamarosan elveszítő tanúsítványok listája
* Az érvényesség lejárata elött visszavont tanúsítványok listája
Az érvényesség lejárata elött visszavont tanúsítványok listája
Az alábbiak közül a gyakorlatban melyik lehet a legkisebb valószínűséggel egy kripto rendszer elleni támadás alapja?
* A használt kriptográfiai primitív feltörése
* Protokoll hiba
* Side channel támadási lehetőség az implementáció ellen
* Gyenge kulcsmenedzsment
A használt kriptográfiai primitív feltörése
Mit takar a MAC függvény kifejezés?
* Mandatory Access Control alapú hozzáférésvédelmet
* Közeghozzáférés (Medium Access Control) protokollt
* Üzenet hitelesító kód (Message Authentication Code) számítást
* Kulcsgenerálást Apple MacBook számítógépen
Üzenet hitelesító kód (Message Authentication Code) számítást
A Linux nem diszkrecionális hozzáférés-vezérlési (DAC) rendszert valósít meg.
Hamis
De pontosan azt valósítja meg
Mely az AES kulcsmérete? (Több jó válasz is lehet)
* 256
* 128
* 192
All of em
Mi a különbség a safety és a security között?
A security (mint a tárgy neve) info biztonság
A safety inkább hardware
A hibakeresési rendszer egy adatbázis hibákról, ami tartalmazza az adatvédelemmel kapcsolatos információkat.
Igaz
Ez olyan mint a kisbetűs részek
Milyen nehéz matematikai problémához köthető az RSA rejtjelező biztonsága?
* Diszkrét logaritmus számítás
* Hatványozás modulo egy nagy összetett szám
* Lineáris kódok dekódolása
* Faktorizáció
Faktorizáció
Becsapós mert sztem faszság
Mi a különbség MAC és DAC között?
* DAC esetén a hozzáférésvédelem diszkrét, MAC esetén folytonos.
* MAC esetén nem megbízható felhasználók is adhatnak hozzáférési jogosultságokat, DAC esetén nem lehetséges
* MAC esetén a referencia monitornak minden hozzáférést kötelező ellenőriznie, DAC esetén ezt a felhasználó állítja be.
* DAC esetén nem megbízható felhasználók is adhatnak hozzáférési jogosultságokat, MAC esetén nem lehetséges
DAC esetén nem megbízható felhasználók is adhatnak hozzáférési jogosultságokat, MAC esetén nem lehetséges
A hozzáférés modelljében, mi a referencia monitor?
* Az az entitás ami a hozzáférésvédelmi szabályokat definiálja.
* Az az entitás, ami az objektumokra létező hivatkozásokat tartja számon a garbage collector számára
* Az az entitás ami a hozzáférésvédelmi politikáját betartja.
* Az a dashboard felület, melyen a hozzáférésvédelmi rendszer működését nyomonkövethetjük.
Az az entitás ami a hozzáférésvédelmi politikáját betartja.
Ellenintézkedés az oldalcsatornás támadások ellen, hogy pl: megszüntetjük a kiszivárgott információ és a titkos adatok közötti kapcsolatot.
Igaz
Ezzel megszűntetjük a szart
Mik a monoalphabetic substitution cipher jellemzői? (több válasz is jó lehet)
* előnye: kevés tárhelyet foglal
* a betűk cseréjét permutáció határozza meg
* a Caesar titkosítás generalizálása
* hátránya: nagyon könnyen feltörhető megfelelő technikai eszközökkel
* a kulcs a permutáció, melynek területe 26!
- a Caesar titkosítás generalizálása
- a betűk cseréjét permutáció határozza meg
- a kulcs a permutáció, melynek területe 26!
Milyen típusú ellenintézkedések léteznek, amelyek csökkentik a kockázatot? (Több jó válasz is lehet)
* semmilyen
* technikai
* fizikai
* hálózati
technikai
fizikai
No hálózat :(
Az Oracle támadás lehetővé teszi a támadó számára, hogy hatékonyan minden kódolt CBC titkosított üzenetet visszafejtsen (adaptív módon) formázott titkosított szövegekkel a kiszolgálónak és megfigyelje annak válaszát.
Yes
Muy veszélyes
Mi történik stack overflow esetén?
* Elfogy a stack memória (betelik a stack)
* Nagy adatot írunk a stackre, ami így eléri és felülírja a heap tetejét
* Felülíródik egy függvény visszatérési értéke a stacken
* Nem várt módon felülíródik a stack egy része
Nem várt módon felülíródik a stack egy része
Mi NEM tartozik a leggyakoribb támadások közé a böngészőkkel szemben?
* Use-after-free
* Stack/Heap overflow
* Integer overflow
* ASLR kompromittálás
ASLR kompromittálás
Melyek oldalcsatorna információ típusok? (több jó válasz is lehet)
* időzítési
* emberi
* energiafogyasztás
* hálózati
energiafogysztás
időzítés
Mire lehet a pénzügyi forrásokat átalakítani? (több jó válasz is lehet)
* mélyíteni a műszaki szakértelmet
* hozzájutni a fejlett támadási eszközökhöz és módszerekhez
* megfelelő hőmérséklettel rendelkező hely bérlése
* növelni az információgyűjtő képességeket
növelni az információgyűjtő képességeket
hozzájutni a fejlett támadási eszközökhöz és módszerekhez
mélyíteni a műszaki szakértelmet
MInden csak nem a klímás szoba …naszép
Időbélyegek esetén a visszajátszás csak egy kis időablakon belül működhet.
Igaz
ha nagy időablak lenne ki lehetne játszani
Milyen szempontok vannak a fenyegetés (threat) osztályozásában? (Több jó válasz is lehet)
(erő)források mértéke
technikai szakértelem szintje
motivációk
információgyűjtési képességek
(erő)források mértéke
technikai szakértelem szintje
motivációk
információgyűjtési képességek
A CA-k jellemzően hierarchiába vannak rendezve, ahol az alárendelt CA kulcsát egy másik, magasabb szintű CA tanúsítja.
Igaz
CA CA CACA