Eksamenssett logo
eksamenssett.noTren målrettet
  • Ungdomsskole/VGS
  • Høyskole
  • Ressurser
  • Skolenyttig
  • Forum
eksamenssett.noTren målrettet

Komplett samling av eksamensoppgaver og løsninger for norsk skole.

Om ossPrivatundervisningSlik bruker du sidenFAQPersonvernVilkårAngrerettKontakt

© 2026 Eksamenssett.no · Alle rettigheter forbeholdt

Innholdet er utviklet med AI-verktøy og kvalitetssikres kontinuerlig. Slik jobber vi med kvalitet →

Eksamenssett.no eies og drives av Studenthjelp Privatundervisning AS

Eksamenssett logo
eksamenssett.noTren målrettet
  • Ungdomsskole/VGS
  • Høyskole
  • Ressurser
  • Skolenyttig
  • Forum
eksamenssett.noTren målrettet

Komplett samling av eksamensoppgaver og løsninger for norsk skole.

Om ossPrivatundervisningSlik bruker du sidenFAQPersonvernVilkårAngrerettKontakt

© 2026 Eksamenssett.no · Alle rettigheter forbeholdt

Innholdet er utviklet med AI-verktøy og kvalitetssikres kontinuerlig. Slik jobber vi med kvalitet →

Eksamenssett.no eies og drives av Studenthjelp Privatundervisning AS

Eksamenssett logo
eksamenssett.noTren målrettet
  • Ungdomsskole/VGS
  • Høyskole
  • Ressurser
  • Skolenyttig
  • Forum
eksamenssett.noTren målrettet

Komplett samling av eksamensoppgaver og løsninger for norsk skole.

Om ossPrivatundervisningSlik bruker du sidenFAQPersonvernVilkårAngrerettKontakt

© 2026 Eksamenssett.no · Alle rettigheter forbeholdt

Innholdet er utviklet med AI-verktøy og kvalitetssikres kontinuerlig. Slik jobber vi med kvalitet →

Eksamenssett.no eies og drives av Studenthjelp Privatundervisning AS

TTM4135

Cheat Sheet

Formler, begreper og oppsummering
Anvendt kryptografi og nettverksikkerhet
eksamenssett.no

Nøkkelformler per tema

Klassisk kryptografi og tallteori

  • •C=(P+k) mod 26C = (P + k) \bmod 26C=(P+k)mod26 — Caesar-kryptering
  • •gcd⁡(a,b)=gcd⁡(b,a mod b)\gcd(a, b) = \gcd(b, a \bmod b)gcd(a,b)=gcd(b,amodb) — Euklids algoritme

Vanlige feil å unngå

Klassisk kryptografi og tallteori

  • •Glemmer at modulær invers a−1 mod na^{-1} \bmod na−1modn kun eksisterer når gcd⁡(a,n)=1\gcd(a, n) = 1gcd(a,n)=1 — ellers er det ingen løsning
  • •Forveksler Fermats teorem med Eulers teorem — Fermat er spesialtilfellet for primtall (ϕ(p)=p−1\phi(p) = p-1ϕ(p)=p−1)

Eksamenstips

Klassisk kryptografi og tallteori

  • •Flervalg Q1–Q2 er nesten alltid tallteori: modulær invers (f.eks. 2−1 mod n2^{-1} \bmod n2−1modn — husk at for oddetall nnn er 2−1=(n+1)/22^{-1} = (n+1)/22−1=(n+1)/2) og generator-test i Zp∗\mathbb{Z}_p^*Zp∗​. Tren disse til reflekshastighet.
eksamenssett.no · TTM4135 Anvendt kryptografi og nettverksikkerhet
  • •s⋅a+t⋅b=gcd⁡(a,b)s \cdot a + t \cdot b = \gcd(a, b)s⋅a+t⋅b=gcd(a,b) — Bézout / utvidet Euklid (brukes for modulær invers)
  • •ap−1≡1(modp)a^{p-1} \equiv 1 \pmod{p}ap−1≡1(modp) — Fermats lille teorem (p primtall)
  • •aϕ(n)≡1(modn)a^{\phi(n)} \equiv 1 \pmod{n}aϕ(n)≡1(modn) — Eulers teorem
  • •ϕ(p⋅q)=(p−1)(q−1)\phi(p \cdot q) = (p-1)(q-1)ϕ(p⋅q)=(p−1)(q−1) — Eulers totientfunksjon for RSA-modulen
  • Symmetrisk blokkryptering (DES og AES)

    • •CBC kryptering: Ci=Ek(Pi⊕Ci−1)C_i = E_k(P_i \oplus C_{i-1})Ci​=Ek​(Pi​⊕Ci−1​), C0=C_0 =C0​= IV
    • •CBC dekryptering: Pi=Dk(Ci)⊕Ci−1P_i = D_k(C_i) \oplus C_{i-1}Pi​=Dk​(Ci​)⊕Ci−1​
    • •CTR kryptering: Ci=Pi⊕Ek(nonce∥i)C_i = P_i \oplus E_k(\text{nonce} \| i)Ci​=Pi​⊕Ek​(nonce∥i)
    • •DES Feistel: Li+1=RiL_{i+1} = R_iLi+1​=Ri​, Ri+1=Li⊕f(Ri,Ki)R_{i+1} = L_i \oplus f(R_i, K_i)Ri+1​=Li​⊕f(Ri​,Ki​)
    • •3DES (EDE): C=Ek1(Dk2(Ek1(P)))C = E_{k_1}(D_{k_2}(E_{k_1}(P)))C=Ek1​​(Dk2​​(Ek1​​(P)))

    Strømchiffer, PRNG og engangsblokk

    • •OTP: C=P⊕KC = P \oplus KC=P⊕K; P=C⊕KP = C \oplus KP=C⊕K (nøkkel like lang som melding, kun brukt én gang)
    • •Nøkkelgjenbruk-konsekvens: C1⊕C2=P1⊕P2C_1 \oplus C_2 = P_1 \oplus P_2C1​⊕C2​=P1​⊕P2​ — avslører XOR av klartekstene
    • •Strømchiffer: Ci=Pi⊕KSiC_i = P_i \oplus \text{KS}_iCi​=Pi​⊕KSi​ der KS er keystream fra CSPRNG(nøkkel, nonce)

    Hashfunksjoner og meldingsautentisering (MAC)

    • •HMACk(m)=H((K⊕opad)∥H((K⊕ipad)∥m))\text{HMAC}_k(m) = H((K \oplus \text{opad}) \| H((K \oplus \text{ipad}) \| m))HMACk​(m)=H((K⊕opad)∥H((K⊕ipad)∥m))
    • •Kollisjonsangrep (bursdagsangrep): O(2n/2)O(2^{n/2})O(2n/2) for nnn-bits hashfunksjon
    • •Forhåndsbildeangrep: O(2n)O(2^n)O(2n) for nnn-bits hashfunksjon
    • •SHA-256: 256-bits digest → 128-bit kollisjons-sikkerhet (bursdagsparadoks halverer effektiv lengde)

    Offentlig-nøkkel kryptografi og RSA

    • •RSA nøkkelgen: n=pqn = pqn=pq, ϕ(n)=(p−1)(q−1)\phi(n) = (p-1)(q-1)ϕ(n)=(p−1)(q−1), ed≡1(modϕ(n))ed \equiv 1 \pmod{\phi(n)}ed≡1(modϕ(n))
    • •RSA kryptering: C=Me mod nC = M^e \bmod nC=Memodn
    • •RSA dekryptering: M=Cd mod nM = C^d \bmod nM=Cdmodn
    • •Korrekthet: Med≡M(modn)M^{ed} \equiv M \pmod{n}Med≡M(modn) — fra Eulers teorem med ϕ(n)=(p−1)(q−1)\phi(n) = (p-1)(q-1)ϕ(n)=(p−1)(q−1)

    Diskret logaritme og Diffie-Hellman

    • •Diffie-Hellman: A=ga mod pA = g^a \bmod pA=gamodp, B=gb mod pB = g^b \bmod pB=gbmodp, delt hemmelighet s=gab mod ps = g^{ab} \bmod ps=gabmodp
    • •ElGamal kryptering: (C1,C2)=(gk mod p,  m⋅yk mod p)(C_1, C_2) = (g^k \bmod p, \; m \cdot y^k \bmod p)(C1​,C2​)=(gkmodp,m⋅ykmodp)
    • •ECC nøkkelstørrelser: 256-bit ECC ≈ 3072-bit RSA i sikkerhetsnivå (ECDLP bedre motstand mot sub-eksponensielle angrep)

    Digitale signaturer og sertifikater

    • •RSA-signering: S=H(m)d mod nS = H(m)^d \bmod nS=H(m)dmodn (privat nøkkel ddd)
    • •RSA-verifisering: sjekk Se mod n=H(m)S^e \bmod n = H(m)Semodn=H(m) (offentlig nøkkel eee)
    • •DSA-nonce-gjenbruk: gitt to signaturer med samme kkk → privat nøkkel x=(s1H(m2)−s2H(m1))/(r(s2−s1)) mod qx = (s_1 H(m_2) - s_2 H(m_1))/(r(s_2 - s_1)) \bmod qx=(s1​H(m2​)−s2​H(m1​))/(r(s2​−s1​))modq

    Nøkkelhåndtering og autentisering

    • •Antall nøkler for nnn parter (parvise): (n2)=n(n−1)/2\binom{n}{2} = n(n-1)/2(2n​)=n(n−1)/2
    • •TOTP: token=HMAC-SHA1(k,⌊t/30⌋)\text{token} = \text{HMAC-SHA1}(k, \lfloor t/30 \rfloor)token=HMAC-SHA1(k,⌊t/30⌋) forkortet til 6 sifre (RFC 6238)
    • •Passordhashing: lagre (salt,H)(\text{salt}, H)(salt,H) der H=bcrypt(passord∥salt)H = \text{bcrypt}(\text{passord} \| \text{salt})H=bcrypt(passord∥salt)

    Kvantesikker kryptografi

    • •Shors algoritme: faktoriserer nnn-bit tall på O((log⁡n)3)O((\log n)^3)O((logn)3) — eksponentielt raskere enn GNFS
    • •Grovers algoritme: søker NNN elementer på O(N)O(\sqrt{N})O(N​) — halverer effektiv nøkkelbit-lengde
    • •AES-256 mot Grover: 2256/2=21282^{256/2} = 2^{128}2256/2=2128 — fortsatt tilstrekkelig sikker

    TLS og sikre kommunikasjonsprotokoller

    • •TLS 1.3 nøkkelavledning: HKDF-Expand-Label fra ECDHE shared secret
    • •PFS: efemere ECDHE-nøkler per sesjon — kompromiss av langtidsnøkkel kompromitterer ikke tidligere sesjoner
    • •IPsec tunnel mode ESP: krypterer og autentiserer hele original IP-pakken

    E-postsikkerhet og sikker meldingsutveksling

    • •PGP hybridkryptering: send (Epkbob(Ks),  AESKs(m))(E_{pk_{bob}}(K_s),\; \text{AES}_{K_s}(m))(Epkbob​​(Ks​),AESKs​​(m))
    • •DKIM: RSA/Ed25519-signatur over valgte e-postheadere og body-hash, verifisert via DNS-oppslag av offentlig nøkkel
    • •Double Ratchet: symmetrisk chain-ratchet + DH-ratchet gir forward secrecy + break-in recovery

    Nettverks- og webapplikasjonssikkerhet

    • •MAC i tilgangskontrollkontekst: Bell-LaPadula — no read up (konfidensialitet), no write down (integritet)
    • •HSTS header: Strict-Transport-Security: max-age=31536000; includeSubDomains
    • •RBAC: bruker → rolle → rettigheter (ikke direkte bruker → rettigheter)
  • •Regner ϕ(n)\phi(n)ϕ(n) feil for n=p⋅qn = p \cdot qn=p⋅q: det er (p−1)(q−1)(p-1)(q-1)(p−1)(q−1), ikke p⋅q−1p \cdot q - 1p⋅q−1
  • •Glemmer å bekrefte løsning etter invers-beregning — alltid multipliser og sjekk at du får 1
  • •Forveksler frekvensanalyse-sårbarhet (monoalfabetisk substitusjon) med nøkkelrom-størrelse — stort nøkkelrom betyr ikke sikker mot statistiske angrep
  • Symmetrisk blokkryptering (DES og AES)

    • •Tror ECB er greit fordi det er enkelt — ECB lekker mønster i klartekst og skal aldri brukes
    • •Gjenbruker nonce i CTR-modus — to meldinger kryptert med samme nøkkel+nonce gir C1⊕C2=P1⊕P2C_1 \oplus C_2 = P_1 \oplus P_2C1​⊕C2​=P1​⊕P2​
    • •Glemmer at CBC-kryptering er sekvensiell men dekryptering er paralleliserbar
    • •Forveksler konfusjon (S-boks, SubBytes) og diffusjon (ShiftRows, MixColumns, P-boks)
    • •Glemmer at PKCS#7 alltid legger til minst 1 byte padding (selv om meldingen er nøyaktig et multiplum av blokkstørrelsen, legges det til en full blokk med padding)

    Strømchiffer, PRNG og engangsblokk

    • •Tror OTP er upraktisk fordi matematikken er vanskelig — det er nøkkeldistribusjonsproblemet og nøkkellengden som gjør det upraktisk
    • •Gjenbruker nonce i strømchiffer — gir direkte kompromiss av konfidensialitet (C1⊕C2=P1⊕P2C_1 \oplus C_2 = P_1 \oplus P_2C1​⊕C2​=P1​⊕P2​)
    • •Bruker ikke-kryptografisk PRNG til nøkkelgenerering — forutsigbar keystream = null sikkerhet
    • •Forveksler «perfekt sikkerhet» (informasjonsteoretisk, OTP) med «beregningsmessig sikkerhet» (kompleksitetsteori, moderne kryptografi)

    Hashfunksjoner og meldingsautentisering (MAC)

    • •Bruker H(k∥m)H(k \| m)H(k∥m) som MAC med SHA-256 — utsatt for length extension attack; bruk HMAC
    • •Tror at en hashfunksjon uten nøkkel kan gi autentisitet — hash gir bare integritet, ikke autentisitet
    • •Forveksler kollisjonsmotstand (finne hvilke som helst to like) og forhåndsbildemotstand (finne en bestemt inndata)
    • •Glemmer at SHA-3 bruker sponge-konstruksjon og er immun mot length extension attacks (i motsetning til SHA-2)
    • •Forveksler MAC og digital signatur — MAC krever delt nøkkel og gir ikke ikke-avvisning

    Offentlig-nøkkel kryptografi og RSA

    • •Glemmer å verifisere at gcd⁡(e,ϕ(n))=1\gcd(e, \phi(n)) = 1gcd(e,ϕ(n))=1 — uten dette eksisterer ikke d=e−1 mod ϕ(n)d = e^{-1} \bmod \phi(n)d=e−1modϕ(n)
    • •Sletter ikke ppp, qqq og ϕ(n)\phi(n)ϕ(n) etter nøkkelgenerering — disse er like sensitive som privat nøkkel
    • •Bruker tekstbok-RSA uten padding i praksis — sårbar for multiple angrep; bruk alltid RSA-OAEP
    • •Tenker at RSA er basert på diskret logaritme — nei, det er faktoriseringsproblemet
    • •Glemmer square-and-multiply: Me mod nM^e \bmod nMemodn direkte er for tregt for store eksponenter — alltid bruk rask eksponentasjon

    Diskret logaritme og Diffie-Hellman

    • •Tror DH alene gir autentisering — DH er kun nøkkelutveksling og er sårbar for MitM uten autentisering
    • •Forveksler CDH-problemet (gitt ga,gbg^a, g^bga,gb, finn gabg^{ab}gab) med DLP (gitt gag^aga, finn aaa) — CDH er tilsynelatende lettere men ikke bevist ekvivalent
    • •Glemmer at ElGamal er probabilistisk — tilfeldig kkk per kryptering gir dobbelt så lang chiffertekst ((C1,C2)(C_1, C_2)(C1​,C2​))
    • •Tror ECC er basert på faktorisering — nei, det er basert på ECDLP (elliptisk kurve diskret logaritme)

    Digitale signaturer og sertifikater

    • •Tror at MAC og digital signatur er ekvivalente — MAC gir ikke ikke-avvisning (begge parter kjenner nøkkelen)
    • •Gjenbruker nonce kkk i DSA/ECDSA — kompromitterer privat nøkkel fullstendig
    • •Forveksler sertifikat og offentlig nøkkel — et sertifikat er offentlig nøkkel + identitetsinfo + CA-signatur
    • •Glemmer å sjekke SAN — CN alene er ikke lenger tilstrekkelig for HTTPS-validering (RFC 2818)
    • •Tror CRL er sanntid — det er en periodisk utgitt liste; OCSP gir sanntidsstatus

    Nøkkelhåndtering og autentisering

    • •Lagrer passord som MD5/SHA-1-hash uten salt — sårbar for rainbow table-angrep
    • •Forveksler salt (tilfeldig per bruker, lagret offentlig med hashen) og pepper (hemmelig konstant for alle brukere)
    • •Tror challenge-response er immun mot alle angrep — sårbar for MitM hvis kanalen ikke er autentisert
    • •Glemmer at Kerberos bruker tidsstempler mot replay — klient og server må ha synkronisert tid (NTP ± 5 min)
    • •Blander autentisering (hvem er du?) og autorisasjon (hva har du lov til?) — Kerberos håndterer autentisering; tilgangskontroll er separat

    Kvantesikker kryptografi

    • •Tror Grovers algoritme bryter AES fullstendig — den halverer bare effektiv nøkkellengde; AES-256 er fortsatt OK
    • •Tror lattice-basert kryptografi er bare en variant av RSA — LWE er et fundamentalt annerledes problem, ikke sårbar for Shors
    • •Forveksler ML-KEM/Kyber (nøkkelutveksling/KEM) og ML-DSA/Dilithium (signaturer)
    • •Tror PQC-migrasjon ikke er presserende fordi kvantecomputer ikke eksisterer ennå — HNDL-trusselen gjør det relevant nå

    TLS og sikre kommunikasjonsprotokoller

    • •Tror RSA-kryptering i TLS gir PFS — PFS krever ECDHE/DHE (efemere nøkler); statisk RSA-kryptering gir ikke PFS
    • •Forveksler AH (kun integritet, ingen kryptering) og ESP (kryptering + integritet)
    • •Forveksler transport mode (endpoint-til-endpoint) og tunnel mode (gateway-til-gateway, full IP-innkapsling)
    • •Tror TLS 1.3 cipher suites inkluderer nøkkelutvekslingsalgoritme — i TLS 1.3 er dette separat (kun ECDHE/DHE tillatt)
    • •Glemmer at 0-RTT er sårbar for replay-angrep — bør ikke brukes for ikke-idempotente operasjoner

    E-postsikkerhet og sikker meldingsutveksling

    • •Forveksler SPF og DKIM — SPF verifiserer avsenderserver (IP-adresse), DKIM verifiserer integritet via kryptografisk signatur
    • •Tror PGP Web of Trust skalerer godt til bedriftsmiljøer — det gjør det ikke; PKI med CA er bedre
    • •Forveksler forward secrecy (PFS i TLS: tidligere meldinger trygge ved nøkkellekkasje) og break-in recovery (Signal: fremtidige meldinger trygge etter ratchet-oppdatering)
    • •Glemmer at DMARC er policy-laget — alene er SPF og DKIM utilstrekkelige for å definere hva som skal skje ved feil
    • •Tror S/MIME og PGP er interoperable — de er separate standarder med ulike tillitsmodeller

    Nettverks- og webapplikasjonssikkerhet

    • •Forveksler MAC som tilgangskontrollmodell (Mandatory Access Control) med MAC som kryptografisk primitiv (Message Authentication Code) — to ulike begreper med samme forkortelse
    • •Tror XSS er et serverside-angrep — det er clientside (JavaScript kjøres i offerets nettleser, ikke på serveren)
    • •Forveksler XSS (injeksjon av script i nettleser) og CSRF (tvinger browser til å sende forespørsler til legitim server)
    • •Tror prepared statements kun er for ytelse — de er primært en sikkerhetsmekanisme mot SQL-injeksjon
    • •Glemmer at IDS bare detekterer og varsler, mens IPS blokkerer aktivt — ulike risikoprofiler
  • •Skriftlig oppgave 1 er gjentatte ganger frekvensanalyse av historiske siffer: oppgi nøkkelrom SOM FORMEL (26!26!26!, 26926^9269, blokklengde!) og forklar chosen-plaintext/ciphertext-only-angrep. Hill brytes med P=I\mathbf{P}=\mathbf{I}P=I.
  • •Utvidet Euklids algoritme er alltid pensum — øv til du kan det raskt for hånd
  • •Primalitet er en gjenganger: kjenn at Miller–Rabin aldri gjør det dårligere enn Fermat, at et ikke-trivielt kvadratrot av 1 mod nnn faktoriserer nnn, og at Carmichael-tall lurer Fermat-testen
  • •CRT-flervalg: et likningssystem kan løses med CRT hvis og bare hvis modulene er parvis coprime — sjekk gcd⁡\gcdgcd
  • •Frekvensanalyse: Vigenère/transposisjon glatter ut tegnfrekvenser (Vigenère sprer hyppigste tegn på flere chiffertegn); transposisjon bevarer enkelttegnfrekvensen men endrer digram/trigram
  • Symmetrisk blokkryptering (DES og AES)

    • •Skriftlig oppgave 2 er gjentatte ganger en OPPDIKTET, ikke-standard modus: du får krypteringslikningen og må (a) utlede dekryptering, (b) telle feilforplantning ved ett bit-feil, (c) drøfte parallellisering enc/dec. Øv på dette mønsteret — det er nesten garantert.
    • •Feilforplantning: i CBC gir ett bit-feil i CtC_tCt​ feil i HELE PtP_tPt​ (random) pluss samme bit i Pt+1P_{t+1}Pt+1​; i CTR kun samme bit i PtP_tPt​. For oppdiktede modi: følg hvor CtC_tCt​ inngår.
    • •AES key sizes (128/192/256) og 'hvilket er IKKE gyldig' er et fast flervalg — 512/1024/2048 bit er alltid feil-alternativene
    • •Double-DES-flervalg: hovedsvakheten er meet-in-the-middle (reduserer effektiv nøkkellengde), ikke differensiell kryptanalyse
    • •ECB vs CBC: kjenn ECB-pingvin-problemet; minst antall sendte bit per melding er et regneflervalg (ECB = blokkmultiplum, CTR = melding + nonce, CBC = blokkmultiplum + IV)
    • •GCM = CTR + GHASH gir konfidensialitet OG integritet (AEAD); CMAC/CCM-flervalg: CMAC gir IKKE konfidensialitet

    Strømchiffer, PRNG og engangsblokk

    • •HØY eksamensfrekvens (selv om taksonomien sier medium): OTP/strømchiffer er i nesten hver eksamen. Faste flervalg: 'perfekt sikkerhet betyr at angriperen ikke lærer noe om klarteksten fra chifferteksten' (ikke at alle klartekster er like sannsynlige), og kjent-klartekst gir kun DEN delen av keystreamen.
    • •Lær Shannons definisjon av perfekt sikkerhet og de fire OTP-betingelsene (ekte tilfeldig, like lang som melding, brukt én gang, hemmelig)
    • •Nøkkel-/nonce-gjenbruk er hyppig: vis C1⊕C2=P1⊕P2C_1 \oplus C_2 = P_1 \oplus P_2C1​⊕C2​=P1​⊕P2​. Dette gjelder også CTR-modus (kobler til blokkchiffer-seksjonen).
    • •Synkront strømchiffer: krypter = dekrypter (XOR med samme keystream); keystreamen er identisk hos sender og mottaker — fast flervalgsfelle.
    • •RC4 er utfaset (skjeve første keystream-byte); ChaCha20 (ARX, ingen S-boks → timing-resistent) brukes i TLS 1.3 sammen med Poly1305

    Hashfunksjoner og meldingsautentisering (MAC)

    • •Tre sikkerhetsegenskaper for hash (forhåndsbilde, andre forhåndsbilde, kollisjon) er standard eksamensspørsmål — lær alle tre definisjoner
    • •HMAC-konstruksjon med ipad/opad bør du kjenne og forklare hvorfor det er sikrere enn naiv H(k∥m)H(k\|m)H(k∥m)
    • •AES-GCM = CTR + GHASH — kunnskap om dette kobler blokkchiffer-modus og autentisert kryptering
    • •Length extension attack: SHA-2 er sårbar, SHA-3 er ikke — typisk eksplisitt eksamensspørsmål
    • •Bursdagsparadoks: O(2n/2)O(2^{n/2})O(2n/2) for kollisjon — forklarer hvorfor SHA-1 (160 bit) er utfaset (80-bit kollisjonssikkerhet)

    Offentlig-nøkkel kryptografi og RSA

    • •Skriftlig oppgave 3 er gjentatte ganger CRT-akselerert RSA-dekryptering, ofte pakket inn i en variant (f.eks. splittet privateksponent d=d1+d2d = d_1 + d_2d=d1​+d2​ delt mellom to ledere): vis korrekthet via Euler, og forklar at CRT gir ~4× speedup fordi modulen er halvert. Tren på den konkrete beregningen.
    • •Liten RSA-beregning (velg p,q,ep, q, ep,q,e, finn ddd, krypter MMM) er klassisk — tren på dette med square-and-multiply
    • •Ikke-trivielt kvadratrot av 1 mod nnn faktoriserer nnn og bryter dermed RSA: gcd⁡(x+1,n)\gcd(x+1, n)gcd(x+1,n) gir en faktor (kobler primalitet og RSA-sikkerhet — vanlig deloppgave)
    • •Hvorfor e=65537=216+1e = 65537 = 2^{16}+1e=65537=216+1? Få 1-bit → rask kryptering. Hvorfor ikke et lite ddd? Da blir DEKRYPTERING treg/usikker — typisk flervalgsfelle.
    • •Krav for at RSA virker: gcd⁡(e,ϕ(n))=1\gcd(e, \phi(n)) = 1gcd(e,ϕ(n))=1 (så ddd eksisterer). Flervalgsfelle: gcd⁡(M,d)\gcd(M, d)gcd(M,d) eller gcd⁡(M,ϕ(n))\gcd(M,\phi(n))gcd(M,ϕ(n)) er IKKE kravet.
    • •OAEP randomiserer (gir CCA-sikkerhet, hindrer angrep basert på deterministisk kryptering); PKCS#1 v1.5 er utfaset pga. Bleichenbacher padding-orakel

    Diskret logaritme og Diffie-Hellman

    • •Skriftlig oppgave 4 er gjentatte ganger: «vis at ggg er/ikke er en generator mod ppp» etterfulgt av en DH-beregning der du mottar den andre partens verdi. Den delte hemmeligheten er da ya mod py^a \bmod pyamodp (ikke gabg^{ab}gab direkte — du har bare mottatt verdien yyy).
    • •Generator-verifisering: ggg er generator for Zp∗\mathbb{Z}_p^*Zp∗​ hviss g(p−1)/q≢1(modp)g^{(p-1)/q} \not\equiv 1 \pmod pg(p−1)/q≡1(modp) for ALLE primtallfaktorer qqq av p−1p-1p−1. Sjekk bare disse eksponentene — du trenger ikke regne ut alle potenser.
    • •DLP-flervalg: ingen kjent polynomtidsalgoritme klassisk, MEN number field sieve er sub-eksponentiell i Zp∗\mathbb{Z}_p^*Zp∗​ (mens generisk ECDLP kun har O(n)O(\sqrt{n})O(n​)) — dette begrunner kortere ECC-nøkler.
    • •DH alene gir IKKE autentisering (sårbar for MitM) — løsningen er signert/autentisert DH; dette kobler rett til PFS i TLS
    • •ElGamal er probabilistisk: nytt tilfeldig kkk per kryptering er essensielt (gjenbruk gir kjent-klartekst-angrep)

    Digitale signaturer og sertifikater

    • •Ikke-avvisning er det unike med digitale signaturer sammenlignet med MAC — svært vanlig eksamenstema
    • •PS3/Sony ECDSA-nonce-gjenbruk er et kjent eksempel — bør kjenne historien og hva som gikk galt. Vis at to signaturer med samme kkk (samme rrr) gir s1−s2=k(H(m1)−H(m2))s_1 - s_2 = k(H(m_1)-H(m_2))s1​−s2​=k(H(m1​)−H(m2​)) → kkk og deretter privat nøkkel utledes.
    • •RSA vs DSA/ECDSA-sammenligning er en gjenganger (både flervalg og skriftlig): DSA/ECDSA-signaturer er KORTERE (to komponenter på størrelse qqq), RSA-VERIFISERING er raskere med lite e=216+1e=2^{16}+1e=216+1. Tren på å regne ut omtrentlige forhold for signatur-/nøkkellengde.
    • •Signatur uten hash er usikker: s=Md mod ns = M^d \bmod ns=Mdmodn tillater eksistensiell forfalskning (velg sss, regn M=seM = s^eM=se) — derfor signeres alltid H(M)H(M)H(M). Et hash-kollisjon gir at én signatur er gyldig for to meldinger.
    • •X.509 sertifikat-innhold: kjenn Subject, Issuer, Validity, PublicKey, SANs — og at sertifikatet MÅ inneholde CAs signatur (ikke subjektets private nøkkel)
    • •Sertifikat-kjede og PKI: tegn pilen CA→Intermediate→End-entity ved eksamen
    • •OCSP stapling: server henter og buffer OCSP-svar, sender til klient i TLS-håndtrykk — løser privacy-problemet med OCSP

    Nøkkelhåndtering og autentisering

    • •Nøkkeletablering (Needham–Schroeder-varianter) dukker opp som skriftlig oppgave: du får en protokoll og må vise et REPLAY- eller identitetsbytte-angrep hvis en nonce/identitet ikke sjekkes. Argumentasjonen er alltid: nonce = ferskhet mot replay, konsistent identitet + autentisert kryptering = ingen felt-manipulering.
    • •Angrepermodell: angriperen kontrollerer nettet (kan replaye alt), men kan IKKE styre andres nonces eller hente langtidsnøkler — fast flervalg.
    • •Kerberos-flyt (AS → TGT → TGS → service ticket) er dyptgående tema — kjenn hva som krypteres med hvilken nøkkel; biletter beskyttes med AEAD (GCM), ikke ren HMAC, fordi de trenger både konfidensialitet OG integritet
    • •Salting hindrer rainbow-/ordbokangrep ved DB-lekkasje (ikke online-gjetting); slow hash (bcrypt/Argon2) er et SEPARAT krav — begge nødvendige
    • •Forveksle ikke salt (per bruker, lagres åpent) og pepper (hemmelig, felles); og ikke kryptografisk MAC med tilgangskontroll-MAC (Mandatory Access Control)
    • •Nøkkeldistribusjonsproblemet (n(n−1)/2n(n-1)/2n(n−1)/2 parvise nøkler) er begrunnelsen for KDC/PKI — nevn det i kontekst

    Kvantesikker kryptografi

    • •Shors vs Grovers: forstå hvem de bryter og kvantitativt effekt (Shor = full break, Grover = halverer nøkkellengde)
    • •NIST PQC-standardene og deres basisproblem (ML-KEM = LWE, SLH-DSA = hash) er pensum
    • •Hybride kryptosystemer: begrunnelse (sikker mot both classical og quantum) er et typisk eksamenstema
    • •Harvest now, decrypt later: forklar trusselmodellen og hvilke data er mest utsatt (langlivede hemmeligheter)
    • •CRYSTALS-Kyber er ny standard for KEM — erstatter Diffie-Hellman i TLS (hybridmodus i dag vanlig)

    TLS og sikre kommunikasjonsprotokoller

    • •TLS er i hver eneste eksamen — både flervalg og skriftlig oppgave 5. Faste skriftlige vinklinger: (i) sikkerhetskonsekvens av at klienten IKKE har sertifikat (kun serveren autentiseres — server vet ikke hvem klienten er, må autentisere på applikasjonsnivå), (ii) én fordel + én ulempe ved å tillate flere ciphersuites (fleksibilitet/fremtidssikring vs. downgrade-/forhandlingsangrep), (iii) hvordan 0-RTT forbedrer mot TLS 1.2 og dens replay-sårbarhet.
    • •Downgrade-beskyttelse: Finished-meldingen inneholder en hash/MAC over ALLE håndtrykksmeldinger, så en aktiv angriper som endrer ciphersuite/versjon blir oppdaget — kjenn dette argumentet.
    • •PFS: definer presist (kompromiss av langtidsnøkkel kompromitterer ikke tidligere sesjoner) og mekanismen (efemere ECDHE per sesjon); TLS 1.3 gir ALLTID PFS, TLS 1.2 kun med (EC)DHE-ciphersuites
    • •TLS 1.2 vs 1.3: færre RTT, klienten sender key_share før ciphersuite er avtalt, kun AEAD, kun (EC)DHE, fjernet RC4/CBC/SHA-1/statisk RSA-key-transport
    • •Ciphersuite-flervalg: i TLS_RSA_WITH_AES_128_CBC_SHA256 gir SHA256 integritet via HMAC (ikke RSA-signering av hver pakke) — fast felle
    • •IPsec: AH (kun integritet) vs ESP (kryptering+integritet), transport (ende-til-ende) vs tunnel (gateway-til-gateway, skjuler IP-header) — tunnelmodus beskytter metadata; sammenlign med TLS som ikke rører IP-headeren

    E-postsikkerhet og sikker meldingsutveksling

    • •Signal-protokollen (Double Ratchet / X3DH) er en GJENGANGER som skriftlig oppgave 6 — denne seksjonen er medium i flervalg men høy i skriftlig. Faste vinklinger: hvorfor trengs to ratcheter, hvor mange meldinger lekker ved kompromiss, og hvilken rolle den efemere nøkkelen / pre-keys spiller.
    • •Signal vs PGP vs TLS 1.3 forward secrecy: PGP har INGEN forward secrecy (angriper med langtidsnøkkel får alle gamle meldinger); Signal gir per-melding-nøkler + break-in recovery, sterkere enn TLS.
    • •X3DH med pre-keys gir DH-basert nøkkeletablering selv om mottaker er offline — forklar at den efemere nøkkelen gir replay-beskyttelse og forward secrecy. Server-bytte av identitetsnøkler oppdages kun ved manuell key-verifisering (Signal autentiserer ikke identitet ved registrering).
    • •SPF/DKIM/DMARC-trippelen: SPF sjekker avsender-IP, DKIM signerer kryptografisk (verifiserbar av hvem som helst via DNS), DMARC er policy-laget (none/quarantine/reject)
    • •PGP/StartTLS sammenligning er et fast skriftlig tema: PGP er ende-til-ende (server slipper å stoles på) men skjuler ikke headere; StartTLS skjuler headere mellom servere men krever tillit til serverne. PGPs hovedproblem i praksis er brukervennlighet/nøkkelhåndtering.

    Nettverks- og webapplikasjonssikkerhet

    • •LAV eksamensprioritet: frekvensanalysen av tidligere skoleeksamener viser at web-/nettverkssikkerhet (XSS/CSRF/SQLi, brannmurer, IDS/IPS) nesten ikke testes på skriftlig skoleeksamen — det dekkes mer i mappevurderingen/labben. Det eneste som dukker opp i flervalg er passiv vs. aktiv trussel (trafikkanalyse = passiv; replay/maskerade/DoS = aktiv). Les for oversikt, men prioriter de kryptografiske temaene først.
    • •OWASP-angrep (SQL-injeksjon, XSS, CSRF) — kjenn angrepet, konsekvens og mitigasjon for hver
    • •DAC vs MAC vs RBAC: kjenn definisjon og typisk brukscase (Unix-fil, SELinux/militær, bedrifts-AD)
    • •HSTS og SSL-stripping: forklar angrepet (MitM nedgraderer til HTTP) og hvordan HSTS forhindrer det
    • •Brannmur-typer: packet filter (L3/L4) vs stateful (sporer tilstand) vs application proxy (L7)
    • •Ransomware fra kryptografisk perspektiv: angriperen bruker symmetrisk kryptering på filer og krypterer sesjons-nøkkelen med sin offentlige nøkkel — offeret kan ikke dekryptere uten angriperens private nøkkel