107年 - 107 教育部公費留學考試試題：資訊安全概論#125731

一、概念題
(一)請說明公開金鑰密碼系統(如RSA)相對於對稱式密碼系統(如AES)之特性,並有何優缺點。

(二)請說明利用白名單(whitelisting)或黑名單(blacklisting)偵測惡意軟體之優點和缺點。

(三)請說明何謂雙重認證(two-factor authentication),並舉出一生活中之例子。

(四)比特幣(Bitcoin)和以太幣(Ethereum)為知名的密碼貨幣(cryptocurrencies)。請說明密碼貨幣如何運用密碼學。

(五)SHA-1 為一種雜湊(hash)演算法,常用於檢驗資料之完整性。在2017年初,一組資安研究員提出一個找尋SHA-1碰撞(collision)的方法,並成功構造出兩份內容不同、但SHA- 1雜湊值相同的PDF文件。他們指出此攻擊影響了許多資安機制之安全性,包括Digital Certificate signatures、Email PGP/GPG signatures、Software vendor signatures、Software updates、ISO checksums、Backup systems、Deduplication systems、GIT。請挑選上述其中一個機制,具體說明為什麼SHA-1碰撞會影響其安全性。

(一)請說明何謂 secure PRF。

(二)假設F(k,x)為一個 secure PRF,請說明F'(k, k) = F(k, x) || 0不是 secure PRF的原因。

(一)加強資訊安全保護有時會影響原有使用的便利性。相較於原有的雲端儲存服務,試舉一例說明上述「加密雲端儲存服務」較難實現之功能。

(二)你/妳的指導教授希望能調查現今的各種「加密雲端儲存服務」。為了提供客觀的比較標準,請你/妳列出至少兩項針對「加密雲端儲存服務」的重要評估指標(evaluation metrics),並說明應如何進行分析評估。

(一)實驗設計一和實驗設計二各有其限制。請舉出一個網路審查的例子,只有實驗設計一或實驗設計二其中之一能偵測出來。

(二)研究倫理的基本要求之一為不能讓使用者暴露在風險之中。請就研究倫理委員會的角度,分析這兩種實驗設計是否有違反研究倫理的風險。如果有的話,請提出修正的建議。

(三)請舉出兩種繞過網路審查的技術,並比較其效能和適用情況。

(一)請說明何謂旁通道攻擊(side-channel attacks)。

(二)請說明上方Meltdown 範例程式的運作原理。

(三)請提出兩種防範或緩解 Meltdown 漏洞的方法,並討論其可行性。