•Glemmer at modulær invers a−1modn kun eksisterer når gcd(a,n)=1 — ellers er det ingen løsning
•Forveksler Fermats teorem med Eulers teorem — Fermat er spesialtilfellet for primtall (ϕ(p)=p−1)
Eksamenstips
Klassisk kryptografi og tallteori
•Flervalg Q1–Q2 er nesten alltid tallteori: modulær invers (f.eks. 2−1modn — husk at for oddetall n er 2−1=(n+1)/2) og generator-test i Zp∗. Tren disse til reflekshastighet.
•s⋅a+t⋅b=gcd(a,b) — Bézout / utvidet Euklid (brukes for modulær invers)
•ap−1≡1(modp) — Fermats lille teorem (p primtall)
•aϕ(n)≡1(modn) — Eulers teorem
•ϕ(p⋅q)=(p−1)(q−1) — Eulers totientfunksjon for RSA-modulen
Symmetrisk blokkryptering (DES og AES)
•CBC kryptering: Ci=Ek(Pi⊕Ci−1), C0= IV
•CBC dekryptering: Pi=Dk(Ci)⊕Ci−1
•CTR kryptering: Ci=Pi⊕Ek(nonce∥i)
•DES Feistel: Li+1=Ri, Ri+1=Li⊕f(Ri,Ki)
•3DES (EDE): C=Ek1(Dk2(Ek1(P)))
Strømchiffer, PRNG og engangsblokk
•OTP: C=P⊕K; P=C⊕K (nøkkel like lang som melding, kun brukt én gang)
•Nøkkelgjenbruk-konsekvens: C1⊕C2=P1⊕P2 — avslører XOR av klartekstene
•Strømchiffer: Ci=Pi⊕KSi der KS er keystream fra CSPRNG(nøkkel, nonce)
Hashfunksjoner og meldingsautentisering (MAC)
•HMACk(m)=H((K⊕opad)∥H((K⊕ipad)∥m))
•Kollisjonsangrep (bursdagsangrep): O(2n/2) for n-bits hashfunksjon
•Forhåndsbildeangrep: O(2n) for n-bits hashfunksjon
•RBAC: bruker → rolle → rettigheter (ikke direkte bruker → rettigheter)
•Regner ϕ(n) feil for n=p⋅q: det er (p−1)(q−1), ikke p⋅q−1
•Glemmer å bekrefte løsning etter invers-beregning — alltid multipliser og sjekk at du får 1
•Forveksler frekvensanalyse-sårbarhet (monoalfabetisk substitusjon) med nøkkelrom-størrelse — stort nøkkelrom betyr ikke sikker mot statistiske angrep
Symmetrisk blokkryptering (DES og AES)
•Tror ECB er greit fordi det er enkelt — ECB lekker mønster i klartekst og skal aldri brukes
•Gjenbruker nonce i CTR-modus — to meldinger kryptert med samme nøkkel+nonce gir C1⊕C2=P1⊕P2
•Glemmer at CBC-kryptering er sekvensiell men dekryptering er paralleliserbar
•Forveksler konfusjon (S-boks, SubBytes) og diffusjon (ShiftRows, MixColumns, P-boks)
•Glemmer at PKCS#7 alltid legger til minst 1 byte padding (selv om meldingen er nøyaktig et multiplum av blokkstørrelsen, legges det til en full blokk med padding)
Strømchiffer, PRNG og engangsblokk
•Tror OTP er upraktisk fordi matematikken er vanskelig — det er nøkkeldistribusjonsproblemet og nøkkellengden som gjør det upraktisk
•Gjenbruker nonce i strømchiffer — gir direkte kompromiss av konfidensialitet (C1⊕C2=P1⊕P2)
•Forveksler «perfekt sikkerhet» (informasjonsteoretisk, OTP) med «beregningsmessig sikkerhet» (kompleksitetsteori, moderne kryptografi)
Hashfunksjoner og meldingsautentisering (MAC)
•Bruker H(k∥m) som MAC med SHA-256 — utsatt for length extension attack; bruk HMAC
•Tror at en hashfunksjon uten nøkkel kan gi autentisitet — hash gir bare integritet, ikke autentisitet
•Forveksler kollisjonsmotstand (finne hvilke som helst to like) og forhåndsbildemotstand (finne en bestemt inndata)
•Glemmer at SHA-3 bruker sponge-konstruksjon og er immun mot length extension attacks (i motsetning til SHA-2)
•Forveksler MAC og digital signatur — MAC krever delt nøkkel og gir ikke ikke-avvisning
Offentlig-nøkkel kryptografi og RSA
•Glemmer å verifisere at gcd(e,ϕ(n))=1 — uten dette eksisterer ikke d=e−1modϕ(n)
•Sletter ikke p, q og ϕ(n) etter nøkkelgenerering — disse er like sensitive som privat nøkkel
•Bruker tekstbok-RSA uten padding i praksis — sårbar for multiple angrep; bruk alltid RSA-OAEP
•Tenker at RSA er basert på diskret logaritme — nei, det er faktoriseringsproblemet
•Glemmer square-and-multiply: Memodn direkte er for tregt for store eksponenter — alltid bruk rask eksponentasjon
Diskret logaritme og Diffie-Hellman
•Tror DH alene gir autentisering — DH er kun nøkkelutveksling og er sårbar for MitM uten autentisering
•Forveksler CDH-problemet (gitt ga,gb, finn gab) med DLP (gitt ga, finn a) — CDH er tilsynelatende lettere men ikke bevist ekvivalent
•Glemmer at ElGamal er probabilistisk — tilfeldig k per kryptering gir dobbelt så lang chiffertekst ((C1,C2))
•Tror ECC er basert på faktorisering — nei, det er basert på ECDLP (elliptisk kurve diskret logaritme)
Digitale signaturer og sertifikater
•Tror at MAC og digital signatur er ekvivalente — MAC gir ikke ikke-avvisning (begge parter kjenner nøkkelen)
•Gjenbruker nonce k i DSA/ECDSA — kompromitterer privat nøkkel fullstendig
•Forveksler sertifikat og offentlig nøkkel — et sertifikat er offentlig nøkkel + identitetsinfo + CA-signatur
•Glemmer å sjekke SAN — CN alene er ikke lenger tilstrekkelig for HTTPS-validering (RFC 2818)
•Tror CRL er sanntid — det er en periodisk utgitt liste; OCSP gir sanntidsstatus
Nøkkelhåndtering og autentisering
•Lagrer passord som MD5/SHA-1-hash uten salt — sårbar for rainbow table-angrep
•Forveksler salt (tilfeldig per bruker, lagret offentlig med hashen) og pepper (hemmelig konstant for alle brukere)
•Tror challenge-response er immun mot alle angrep — sårbar for MitM hvis kanalen ikke er autentisert
•Glemmer at Kerberos bruker tidsstempler mot replay — klient og server må ha synkronisert tid (NTP ± 5 min)
•Blander autentisering (hvem er du?) og autorisasjon (hva har du lov til?) — Kerberos håndterer autentisering; tilgangskontroll er separat
Kvantesikker kryptografi
•Tror Grovers algoritme bryter AES fullstendig — den halverer bare effektiv nøkkellengde; AES-256 er fortsatt OK
•Tror lattice-basert kryptografi er bare en variant av RSA — LWE er et fundamentalt annerledes problem, ikke sårbar for Shors
•Forveksler ML-KEM/Kyber (nøkkelutveksling/KEM) og ML-DSA/Dilithium (signaturer)
•Tror PQC-migrasjon ikke er presserende fordi kvantecomputer ikke eksisterer ennå — HNDL-trusselen gjør det relevant nå
TLS og sikre kommunikasjonsprotokoller
•Tror RSA-kryptering i TLS gir PFS — PFS krever ECDHE/DHE (efemere nøkler); statisk RSA-kryptering gir ikke PFS
•Forveksler AH (kun integritet, ingen kryptering) og ESP (kryptering + integritet)
•Forveksler transport mode (endpoint-til-endpoint) og tunnel mode (gateway-til-gateway, full IP-innkapsling)
•Tror TLS 1.3 cipher suites inkluderer nøkkelutvekslingsalgoritme — i TLS 1.3 er dette separat (kun ECDHE/DHE tillatt)
•Glemmer at 0-RTT er sårbar for replay-angrep — bør ikke brukes for ikke-idempotente operasjoner
E-postsikkerhet og sikker meldingsutveksling
•Forveksler SPF og DKIM — SPF verifiserer avsenderserver (IP-adresse), DKIM verifiserer integritet via kryptografisk signatur
•Tror PGP Web of Trust skalerer godt til bedriftsmiljøer — det gjør det ikke; PKI med CA er bedre
•Forveksler forward secrecy (PFS i TLS: tidligere meldinger trygge ved nøkkellekkasje) og break-in recovery (Signal: fremtidige meldinger trygge etter ratchet-oppdatering)
•Glemmer at DMARC er policy-laget — alene er SPF og DKIM utilstrekkelige for å definere hva som skal skje ved feil
•Tror S/MIME og PGP er interoperable — de er separate standarder med ulike tillitsmodeller
Nettverks- og webapplikasjonssikkerhet
•Forveksler MAC som tilgangskontrollmodell (Mandatory Access Control) med MAC som kryptografisk primitiv (Message Authentication Code) — to ulike begreper med samme forkortelse
•Tror XSS er et serverside-angrep — det er clientside (JavaScript kjøres i offerets nettleser, ikke på serveren)
•Forveksler XSS (injeksjon av script i nettleser) og CSRF (tvinger browser til å sende forespørsler til legitim server)
•Tror prepared statements kun er for ytelse — de er primært en sikkerhetsmekanisme mot SQL-injeksjon
•Glemmer at IDS bare detekterer og varsler, mens IPS blokkerer aktivt — ulike risikoprofiler
•Skriftlig oppgave 1 er gjentatte ganger frekvensanalyse av historiske siffer: oppgi nøkkelrom SOM FORMEL (26!, 269, blokklengde!) og forklar chosen-plaintext/ciphertext-only-angrep. Hill brytes med P=I.
•Utvidet Euklids algoritme er alltid pensum — øv til du kan det raskt for hånd
•Primalitet er en gjenganger: kjenn at Miller–Rabin aldri gjør det dårligere enn Fermat, at et ikke-trivielt kvadratrot av 1 mod n faktoriserer n, og at Carmichael-tall lurer Fermat-testen
•CRT-flervalg: et likningssystem kan løses med CRT hvis og bare hvis modulene er parvis coprime — sjekk gcd
•Frekvensanalyse: Vigenère/transposisjon glatter ut tegnfrekvenser (Vigenère sprer hyppigste tegn på flere chiffertegn); transposisjon bevarer enkelttegnfrekvensen men endrer digram/trigram
Symmetrisk blokkryptering (DES og AES)
•Skriftlig oppgave 2 er gjentatte ganger en OPPDIKTET, ikke-standard modus: du får krypteringslikningen og må (a) utlede dekryptering, (b) telle feilforplantning ved ett bit-feil, (c) drøfte parallellisering enc/dec. Øv på dette mønsteret — det er nesten garantert.
•Feilforplantning: i CBC gir ett bit-feil i Ct feil i HELE Pt (random) pluss samme bit i Pt+1; i CTR kun samme bit i Pt. For oppdiktede modi: følg hvor Ct inngår.
•AES key sizes (128/192/256) og 'hvilket er IKKE gyldig' er et fast flervalg — 512/1024/2048 bit er alltid feil-alternativene
•Double-DES-flervalg: hovedsvakheten er meet-in-the-middle (reduserer effektiv nøkkellengde), ikke differensiell kryptanalyse
•ECB vs CBC: kjenn ECB-pingvin-problemet; minst antall sendte bit per melding er et regneflervalg (ECB = blokkmultiplum, CTR = melding + nonce, CBC = blokkmultiplum + IV)
•GCM = CTR + GHASH gir konfidensialitet OG integritet (AEAD); CMAC/CCM-flervalg: CMAC gir IKKE konfidensialitet
Strømchiffer, PRNG og engangsblokk
•HØY eksamensfrekvens (selv om taksonomien sier medium): OTP/strømchiffer er i nesten hver eksamen. Faste flervalg: 'perfekt sikkerhet betyr at angriperen ikke lærer noe om klarteksten fra chifferteksten' (ikke at alle klartekster er like sannsynlige), og kjent-klartekst gir kun DEN delen av keystreamen.
•Lær Shannons definisjon av perfekt sikkerhet og de fire OTP-betingelsene (ekte tilfeldig, like lang som melding, brukt én gang, hemmelig)
•Nøkkel-/nonce-gjenbruk er hyppig: vis C1⊕C2=P1⊕P2. Dette gjelder også CTR-modus (kobler til blokkchiffer-seksjonen).
•Synkront strømchiffer: krypter = dekrypter (XOR med samme keystream); keystreamen er identisk hos sender og mottaker — fast flervalgsfelle.
•RC4 er utfaset (skjeve første keystream-byte); ChaCha20 (ARX, ingen S-boks → timing-resistent) brukes i TLS 1.3 sammen med Poly1305
Hashfunksjoner og meldingsautentisering (MAC)
•Tre sikkerhetsegenskaper for hash (forhåndsbilde, andre forhåndsbilde, kollisjon) er standard eksamensspørsmål — lær alle tre definisjoner
•HMAC-konstruksjon med ipad/opad bør du kjenne og forklare hvorfor det er sikrere enn naiv H(k∥m)
•AES-GCM = CTR + GHASH — kunnskap om dette kobler blokkchiffer-modus og autentisert kryptering
•Length extension attack: SHA-2 er sårbar, SHA-3 er ikke — typisk eksplisitt eksamensspørsmål
•Bursdagsparadoks: O(2n/2) for kollisjon — forklarer hvorfor SHA-1 (160 bit) er utfaset (80-bit kollisjonssikkerhet)
Offentlig-nøkkel kryptografi og RSA
•Skriftlig oppgave 3 er gjentatte ganger CRT-akselerert RSA-dekryptering, ofte pakket inn i en variant (f.eks. splittet privateksponent d=d1+d2 delt mellom to ledere): vis korrekthet via Euler, og forklar at CRT gir ~4× speedup fordi modulen er halvert. Tren på den konkrete beregningen.
•Liten RSA-beregning (velg p,q,e, finn d, krypter M) er klassisk — tren på dette med square-and-multiply
•Ikke-trivielt kvadratrot av 1 mod n faktoriserer n og bryter dermed RSA: gcd(x+1,n) gir en faktor (kobler primalitet og RSA-sikkerhet — vanlig deloppgave)
•Hvorfor e=65537=216+1? Få 1-bit → rask kryptering. Hvorfor ikke et lite d? Da blir DEKRYPTERING treg/usikker — typisk flervalgsfelle.
•Krav for at RSA virker: gcd(e,ϕ(n))=1 (så d eksisterer). Flervalgsfelle: gcd(M,d) eller gcd(M,ϕ(n)) er IKKE kravet.
•OAEP randomiserer (gir CCA-sikkerhet, hindrer angrep basert på deterministisk kryptering); PKCS#1 v1.5 er utfaset pga. Bleichenbacher padding-orakel
Diskret logaritme og Diffie-Hellman
•Skriftlig oppgave 4 er gjentatte ganger: «vis at g er/ikke er en generator mod p» etterfulgt av en DH-beregning der du mottar den andre partens verdi. Den delte hemmeligheten er da yamodp (ikke gab direkte — du har bare mottatt verdien y).
•Generator-verifisering: g er generator for Zp∗ hviss g(p−1)/q≡1(modp) for ALLE primtallfaktorer q av p−1. Sjekk bare disse eksponentene — du trenger ikke regne ut alle potenser.
•DLP-flervalg: ingen kjent polynomtidsalgoritme klassisk, MEN number field sieve er sub-eksponentiell i Zp∗ (mens generisk ECDLP kun har O(n)) — dette begrunner kortere ECC-nøkler.
•DH alene gir IKKE autentisering (sårbar for MitM) — løsningen er signert/autentisert DH; dette kobler rett til PFS i TLS
•ElGamal er probabilistisk: nytt tilfeldig k per kryptering er essensielt (gjenbruk gir kjent-klartekst-angrep)
Digitale signaturer og sertifikater
•Ikke-avvisning er det unike med digitale signaturer sammenlignet med MAC — svært vanlig eksamenstema
•PS3/Sony ECDSA-nonce-gjenbruk er et kjent eksempel — bør kjenne historien og hva som gikk galt. Vis at to signaturer med samme k (samme r) gir s1−s2=k(H(m1)−H(m2)) → k og deretter privat nøkkel utledes.
•RSA vs DSA/ECDSA-sammenligning er en gjenganger (både flervalg og skriftlig): DSA/ECDSA-signaturer er KORTERE (to komponenter på størrelse q), RSA-VERIFISERING er raskere med lite e=216+1. Tren på å regne ut omtrentlige forhold for signatur-/nøkkellengde.
•Signatur uten hash er usikker: s=Mdmodn tillater eksistensiell forfalskning (velg s, regn M=se) — derfor signeres alltid H(M). Et hash-kollisjon gir at én signatur er gyldig for to meldinger.
•X.509 sertifikat-innhold: kjenn Subject, Issuer, Validity, PublicKey, SANs — og at sertifikatet MÅ inneholde CAs signatur (ikke subjektets private nøkkel)
•Sertifikat-kjede og PKI: tegn pilen CA→Intermediate→End-entity ved eksamen
•OCSP stapling: server henter og buffer OCSP-svar, sender til klient i TLS-håndtrykk — løser privacy-problemet med OCSP
Nøkkelhåndtering og autentisering
•Nøkkeletablering (Needham–Schroeder-varianter) dukker opp som skriftlig oppgave: du får en protokoll og må vise et REPLAY- eller identitetsbytte-angrep hvis en nonce/identitet ikke sjekkes. Argumentasjonen er alltid: nonce = ferskhet mot replay, konsistent identitet + autentisert kryptering = ingen felt-manipulering.
•Angrepermodell: angriperen kontrollerer nettet (kan replaye alt), men kan IKKE styre andres nonces eller hente langtidsnøkler — fast flervalg.
•Kerberos-flyt (AS → TGT → TGS → service ticket) er dyptgående tema — kjenn hva som krypteres med hvilken nøkkel; biletter beskyttes med AEAD (GCM), ikke ren HMAC, fordi de trenger både konfidensialitet OG integritet
•Salting hindrer rainbow-/ordbokangrep ved DB-lekkasje (ikke online-gjetting); slow hash (bcrypt/Argon2) er et SEPARAT krav — begge nødvendige
•Forveksle ikke salt (per bruker, lagres åpent) og pepper (hemmelig, felles); og ikke kryptografisk MAC med tilgangskontroll-MAC (Mandatory Access Control)
•Nøkkeldistribusjonsproblemet (n(n−1)/2 parvise nøkler) er begrunnelsen for KDC/PKI — nevn det i kontekst
Kvantesikker kryptografi
•Shors vs Grovers: forstå hvem de bryter og kvantitativt effekt (Shor = full break, Grover = halverer nøkkellengde)
•NIST PQC-standardene og deres basisproblem (ML-KEM = LWE, SLH-DSA = hash) er pensum
•Hybride kryptosystemer: begrunnelse (sikker mot both classical og quantum) er et typisk eksamenstema
•Harvest now, decrypt later: forklar trusselmodellen og hvilke data er mest utsatt (langlivede hemmeligheter)
•CRYSTALS-Kyber er ny standard for KEM — erstatter Diffie-Hellman i TLS (hybridmodus i dag vanlig)
TLS og sikre kommunikasjonsprotokoller
•TLS er i hver eneste eksamen — både flervalg og skriftlig oppgave 5. Faste skriftlige vinklinger: (i) sikkerhetskonsekvens av at klienten IKKE har sertifikat (kun serveren autentiseres — server vet ikke hvem klienten er, må autentisere på applikasjonsnivå), (ii) én fordel + én ulempe ved å tillate flere ciphersuites (fleksibilitet/fremtidssikring vs. downgrade-/forhandlingsangrep), (iii) hvordan 0-RTT forbedrer mot TLS 1.2 og dens replay-sårbarhet.
•Downgrade-beskyttelse: Finished-meldingen inneholder en hash/MAC over ALLE håndtrykksmeldinger, så en aktiv angriper som endrer ciphersuite/versjon blir oppdaget — kjenn dette argumentet.
•PFS: definer presist (kompromiss av langtidsnøkkel kompromitterer ikke tidligere sesjoner) og mekanismen (efemere ECDHE per sesjon); TLS 1.3 gir ALLTID PFS, TLS 1.2 kun med (EC)DHE-ciphersuites
•TLS 1.2 vs 1.3: færre RTT, klienten sender key_share før ciphersuite er avtalt, kun AEAD, kun (EC)DHE, fjernet RC4/CBC/SHA-1/statisk RSA-key-transport
•Ciphersuite-flervalg: i TLS_RSA_WITH_AES_128_CBC_SHA256 gir SHA256 integritet via HMAC (ikke RSA-signering av hver pakke) — fast felle
•IPsec: AH (kun integritet) vs ESP (kryptering+integritet), transport (ende-til-ende) vs tunnel (gateway-til-gateway, skjuler IP-header) — tunnelmodus beskytter metadata; sammenlign med TLS som ikke rører IP-headeren
E-postsikkerhet og sikker meldingsutveksling
•Signal-protokollen (Double Ratchet / X3DH) er en GJENGANGER som skriftlig oppgave 6 — denne seksjonen er medium i flervalg men høy i skriftlig. Faste vinklinger: hvorfor trengs to ratcheter, hvor mange meldinger lekker ved kompromiss, og hvilken rolle den efemere nøkkelen / pre-keys spiller.
•Signal vs PGP vs TLS 1.3 forward secrecy: PGP har INGEN forward secrecy (angriper med langtidsnøkkel får alle gamle meldinger); Signal gir per-melding-nøkler + break-in recovery, sterkere enn TLS.
•X3DH med pre-keys gir DH-basert nøkkeletablering selv om mottaker er offline — forklar at den efemere nøkkelen gir replay-beskyttelse og forward secrecy. Server-bytte av identitetsnøkler oppdages kun ved manuell key-verifisering (Signal autentiserer ikke identitet ved registrering).
•SPF/DKIM/DMARC-trippelen: SPF sjekker avsender-IP, DKIM signerer kryptografisk (verifiserbar av hvem som helst via DNS), DMARC er policy-laget (none/quarantine/reject)
•PGP/StartTLS sammenligning er et fast skriftlig tema: PGP er ende-til-ende (server slipper å stoles på) men skjuler ikke headere; StartTLS skjuler headere mellom servere men krever tillit til serverne. PGPs hovedproblem i praksis er brukervennlighet/nøkkelhåndtering.
Nettverks- og webapplikasjonssikkerhet
•LAV eksamensprioritet: frekvensanalysen av tidligere skoleeksamener viser at web-/nettverkssikkerhet (XSS/CSRF/SQLi, brannmurer, IDS/IPS) nesten ikke testes på skriftlig skoleeksamen — det dekkes mer i mappevurderingen/labben. Det eneste som dukker opp i flervalg er passiv vs. aktiv trussel (trafikkanalyse = passiv; replay/maskerade/DoS = aktiv). Les for oversikt, men prioriter de kryptografiske temaene først.
•OWASP-angrep (SQL-injeksjon, XSS, CSRF) — kjenn angrepet, konsekvens og mitigasjon for hver
•DAC vs MAC vs RBAC: kjenn definisjon og typisk brukscase (Unix-fil, SELinux/militær, bedrifts-AD)
•HSTS og SSL-stripping: forklar angrepet (MitM nedgraderer til HTTP) og hvordan HSTS forhindrer det
•Brannmur-typer: packet filter (L3/L4) vs stateful (sporer tilstand) vs application proxy (L7)
•Ransomware fra kryptografisk perspektiv: angriperen bruker symmetrisk kryptering på filer og krypterer sesjons-nøkkelen med sin offentlige nøkkel — offeret kan ikke dekryptere uten angriperens private nøkkel