Kryptografische Protokolle

Save this PDF as:
 WORD  PNG  TXT  JPG

Größe: px
Ab Seite anzeigen:

Download "Kryptografische Protokolle"

Transkript

1 Kryptografische Protokolle Lerneinheit 5: Authentifizierung Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen Sommersemester Einleitung Einleitung Diese Lerneinheit hat Protokolle zur Authentizierung von Benutzern zum Thema. Die Lerneinheit besteht aus folgenden Abschnitten: Allgemeine Informationen zur Authentifikation Challenge Response Verfahren mit geheimem Schlüssel Challenge Response Verfahren mit Public Key Kryptografie Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Authentifizierung 2 / 64

2 Einleitung Arten von Authentizierung Arten von Authentisierung Wissen (What you know!) Passwörter Besitz (What you have!) Ausweis Zertifikat Smartcard Physikalische Eigenschaft (What you are!) Biometrische Eigenschaften Aussehen Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Authentifizierung 3 / 64 Einleitung Arten von Authentifizierungsprotokollen Authentisierungsprotokolle Unterscheidung 1: Einseitige Authentifizierung: Ein Benutzer authentifiziert sich gegenüber einem anderen Gegenseitige Authentifizierung: Zwei Benutzer authentifizieren sich gegenseitig Unterscheidung 2: Private Key Protokoll: Die Teilnehmer vereinbaren vorab einen gemeinsamen geheimen Schlüssel k, der während der Authentifizierung eingesetzt wird Public Key Protokoll: Die Authentifizierung erfolgt unter Einsatz eines Public-Key Schlüsselpaars Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Authentifizierung 4 / 64

3 Einleitung Arten von Authentifizierungsprotokollen Anforderungen an Authentisierungsprotokolle Aufrichtige Benutzer: Ein Teilnehmer an einem Authentisierungsprotokoll ist aufrichtig (honest), falls er den vorgegebenen Ablauf des Protokolls einhält, alle Berechnungen korrekt ausführt, und vertrauliche Informationen nicht an Dritte weitergibt Korrekter Ablauf des Protokolls: Es tritt kein Nachrichtenverlust auf Die Reihenfolge der versendeten Nachrichten wird eingehalten Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Authentifizierung 5 / 64 Einleitung Arten von Authentifizierungsprotokollen Angriffsarten Ziel: Angreifer will sich gegenüber dem Initiator des Protokolls mit einer falschen Identität authentifizieren Angriffsarten: Passiver Angriff Aktiver Angriff Einspeisen von neuen Nachrichten Verändern einer abgefangenen Nachricht Umleiten von Nachrichten Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Authentifizierung 6 / 64

4 Challenge Response Verfahren mit privatem Schlüssel Einseitige Authentifizierung Einseitige Authentifizierung Ziel: Alice authentifiziert sich gegenüber Bob Annahmen: Alice und Bob sind aufrichtig Das Protokoll läuft korrekt ab Sicherheitsanforderungen: Bei einem passiven Angriff die Authentifizierung von Alice gegenüber Bob erfolgreich Bei einem aktiven Angriff scheitert die Authentifizierung von Alice gegenüber Bob Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Authentifizierung 7 / 64 Challenge Response Verfahren mit privatem Schlüssel Einseitige Authentifizierung Unsicheres Challenge Response Protokoll Challenge Response Protokoll (unsicher) 1. Bob generiert eine Zufallszahl r und sendet diese an Alice 2. Alice berechnet y = mac (k, r) und sendet y an Bob 3. Bob berechnet y = mac (k, r). Falls y = y, dann akzeptiert Bob Alice als Kommunikationspartner. Andernfalls beendet er die Kommunikation Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Authentifizierung 8 / 64

5 Challenge Response Verfahren mit privatem Schlüssel Einseitige Authentifizierung Unsicheres Challenge Response (Ablauf) Alice Bob Generiert eine Zufallzahl r r Berechnet y = mac (k, r) y Prüft, ob y = mac (k, r) Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Authentifizierung 9 / 64 Challenge Response Verfahren mit privatem Schlüssel Einseitige Authentifizierung Parallel Session Angriff Ziel: Oskar will sich gegenüber Bob als Alice ausgeben Problem: Oskar kennt den privaten Schlüssel k nicht Angriff: 1. Oskar fängt die Nonce r ab, die Bob zwecks Authentisierung an Alice sendet 2. Oskar sendet die Nonce r in zweiten Session an Bob, damit dieser sich gegenüber Oskar authentisiert 3. Bob berechnet y = mac (k, r) und sendet y an Oskar 4. Oskar verwendet y, um sich gegenüber Bob als Alice auszugeben Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Authentifizierung 10 / 64

6 Challenge Response Verfahren mit privatem Schlüssel Einseitige Authentifizierung Parallel Session Angriff: Ablauf Oskar Bob Generiert eine Zufallzahl r r Parallele Session r y Berechnet y = mac (k, r) y Prüft, ob y = mac (k, r) Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Authentifizierung 11 / 64 Challenge Response Verfahren mit privatem Schlüssel Einseitige Authentifizierung Analyse des Angriffs Schwachstelle: Die Prüfsumme y hängt nur von r ab und enthält keine Informationen über den zu authentifizierenden Nutzer Verbesserung: Jeder Benutzer U hat eine eindeutige Identifikationsnummer ID(U) Die IDs der Nutzer sind öffentlich bekannt Alice berechnet die Prüfsumme über die Nonce r und ihre ID ID(Alice) Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Authentifizierung 12 / 64

7 Challenge Response Verfahren mit privatem Schlüssel Einseitige Authentifizierung Sicheres Challenge Response Protokoll Challenge Response Protokoll 1. Bob generiert eine l-bit Zufallszahl r und sendet diese an Alice 2. Alice berechnet y = mac (k, ID(Alice) r) und sendet y an Bob Der Term ID(Alice) r steht für die Konkatenation der Byte-Kodierungen von ID(Alice) und r 3. Bob berechnet y = mac (k, ID(Alice)) r) Falls y = y, dann akzeptiert Bob Alice als Kommunikationspartner. Andernfalls beendet er die Kommunikation Bemerkung: Aus praktischer Sicht ist ein Wert von l = 100 für die Sicherheit des Protokolls ausreichend Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Authentifizierung 13 / 64 Challenge Response Verfahren mit privatem Schlüssel Einseitige Authentifizierung Sicheres Challenge Response (Ablauf) Alice Bob Generiert eine Zufallzahl r r Berechnet y = mac (k, ID(Alice) r) y Prüft, ob y = mac (k, ID(Alice) r) Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Authentifizierung 14 / 64

8 Challenge Response Verfahren mit privatem Schlüssel Einseitige Authentifizierung Bemerkungen Das Challenge-Response Verfahren ist ein einseitiges Authentifizierungsverfahren Die Prüfsumme wird anhand einer zufälligen Nonce und der Benutzer-ID berechnet Das Protokoll von Folie 15 gilt als sicher, falls folgende Annahmen zutreffen: Alice und Bob sind aufrichtige Teilnehmer Der Schlüssel k ist geheim und nur Alice und Bob bekannt Jeder Benutzer setzt einen kryptografisch sicheren Pseudozufallszahlengenerator ein Die verwendete Hashfunktion zur Berechnung des MAC ist sicher Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Authentifizierung 15 / 64 Challenge Response Verfahren mit privatem Schlüssel Gegenseitige Authentifizierung Gegenseitige Authentifizierung Ziel: Beide Teilnehmer authentifizieren sich gegenseitig Annahmen: Beide Teilnehmer sind aufrichtig Das Protokoll läuft korrekt ab Sicherheitsanforderungen: Bei einem passiven Angriff ist die gegenseitige Authentifizierung erfolgreich Bei einem aktiven Angriff akzeptiert keiner der Teilnehmer sein Gegenüber als Kommunikationspartner Beachte: Ein Angriff gilt an dieser Stelle als aktiv, wenn Oskar bei der ersten Authentisierungssitzung aktiv eingreift Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Authentifizierung 16 / 64

9 Challenge Response Verfahren mit privatem Schlüssel Gegenseitige Authentifizierung Unsicheres Mutual Challenge Response Protokoll Mutual Challenge Response Protokoll (unsicher) 1. Bob generiert eine Zufallszahl r 1 und sendet diese an Alice 2. Alice berechnet y 1 = mac (k, IDAlice r 1 ), generiert eine Zufallszahl r 2 und sendet y 1 und r 2 an Bob 3. Bob berechnet y 2 = mac (k, IDBob r 2 ) und sendet y 2 an Alice Anschließend berechnet Bob y 1 = mac (k, IDAlice r 1 ). Falls y 1 = y 1, dann akzeptiert er Alice als Kommunikationspartner. Ansonsten verwirft er 4. Alice berechnet y 2 = mac (k, IDBob r 2 ). Falls y 2 = y 2, dann akzeptiert sie Bob als Kommunikationspartner. Ansonsten verwirft sie Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Authentifizierung 17 / 64 Challenge Response Verfahren mit privatem Schlüssel Gegenseitige Authentifizierung Unsicheres Mutual Challenge Response (Ablauf) Alice Bob Generiert eine Zufallzahl r 1 r 1 Generiert eine Zufallzahl r 2 Berechnet y 1 = mac (k, ID(Alice) r 1 ) y 1, r 2 y 2 Prüft, ob y 1 = mac (k, ID(Alice) r 1 ) Berechnet y 2 = mac (k, ID(Bob) r 2 ) Prüft, ob y 2 = mac (k, ID(Bob) r 2 ) Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Authentifizierung 18 / 64

10 Challenge Response Verfahren mit privatem Schlüssel Parallel Session Angriff Gegenseitige Authentifizierung Alice Oskar Bob r 1 mac (k, ID(Alice) r 1 ), r 2 r 2 mac (k, ID(Bob) r 2 ), r 3 mac (k, ID(Bob) r 2 ) Ergebnis: Alice akzeptiert Oskar als Bob Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Authentifizierung 19 / 64 Challenge Response Verfahren mit privatem Schlüssel Analyse des Angriffs Gegenseitige Authentifizierung Beobachtung: Die Prüfsumme y 1 stellt keine Verbindung zwischen der Nonce r 1 und der Nonce r 2 her Konsequenz: die Nonce r 2 kann in mehreren Sitzungen eingesetzt werden Verbesserung: Sowohl die Nonce r 1 als auch die Nonce r 2 fließt in die Berechnung der Prüfsumme ein Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Authentifizierung 20 / 64

11 Challenge Response Verfahren mit privatem Schlüssel Gegenseitige Authentifizierung Sicheres Mutual Challenge Response Protokoll Mutual Challenge Response Protokoll (sicher) 1. Bob berechnet y 1 = mac (k, ID(Alice) r 1 r 2 ). Falls y 1 = y 1, dann akzeptiert er Alice als Kommunikationspartner. Ansonsten verwirft er Anschließend generiert Bob eine Zufallszahl r 1 und sendet diese an Alice 2. Alice berechnet y 1 = mac (k, ID(Alice) r 1 r 2 ), generiert eine Zufallszahl r 2 und sendet y 1 und r 2 an Bob 3. Bob berechnet y 2 = mac (k, ID(Bob) r 2 ) und sendet y 2 an Alice 4. Alice berechnet y 2 = mac (k, ID(Bob) r 2 ). Falls y 2 = y 2, dann akzeptiert sie Bob als Kommunikationspartner. Ansonsten verwirft sie Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Authentifizierung 21 / 64 Challenge Response Verfahren mit privatem Schlüssel Gegenseitige Authentifizierung Sicheres Mutual Challenge Response (Ablauf) Alice Bob Generiert eine Zufallzahl r 1 r 1 Generiert eine Zufallzahl r 2 Berechnet y 1 = mac (k, ID(Alice) r 1 r 2 ) y 1, r 2 Prüft, ob y 1 = mac (k, ID(Alice) r 1 r 2 ) Berechnet y 2 = mac (k, ID(Bob) r 2 ) y 2 Prüft, ob y 2 = mac (k, ID(Bob) r 2 ) Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Authentifizierung 22 / 64

12 Challenge Response Verfahren mit privatem Schlüssel Gegenseitige Authentifizierung Bemerkungen Das Mutual Challenge Response Protokoll ist ein gegenseitiges Authentisierungsprotokoll Oskar kann unter anderem folgende Angriffe ausführen: Er tritt gegenüber Bob als Alice auf Er tritt gegenüber Alice als Bob auf Er agiert als Man In The Middle und versucht beide Teilnehmer zu täuschen Gelten dieselben Annahmen wie beim einseitgen Challenge Response Protokoll (siehe Folie 17), dann gilt das Protokoll von Folie 23 als sicher Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Authentifizierung 23 / 64 Einleitung Authentifizierung mit Public Key Mechanismen Ansatz: Einsatz von digitalen Signaturen für die Authentifizierung Jeder Benutzer besitzt ein Schlüsselpaar bestehend aus einem öffentlichen und geheimen Schlüssel Der öffentliche Schlüssel wird in einem Verzeichnis publiziert Anstatt einen Prüfsumme MAC zu berechnen, signiert ein Benutzer die von ihm versendeten Nachrichten mit seinem geheimen Schlüssel Mit dem öffentlichen Schlüssel kann jeder die Signatur des Benutzers auf Korrektheit prüfen Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Authentifizierung 24 / 64

13 Einleitung Anwendung einer digitalen Signatur Alice Oskar Bob x x yes sign x, s unsicherer Kanal x, s ver k e k v k v Schlüsselverzeichnis Benutzer Schlüssel Alice k v Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Authentifizierung 25 / 64 Einleitung Aufbau einer digitalen Signatur Algorithmen: Signaturalgorithmus sign Verifikationsalgorithmus ver Notation: s = sign U (x): Berechnung der Signatur der Daten x unter Einsatz des geheimen Schlüssels des Benutzers U nur von U ausführbar ver U (x, s): Verifikation der Signatur s der Daten x unter Einsatz des öffentlichen Schlüssels des Benutzers U von allen Benutzern ausführbar Anforderung: Für alle Daten x gilt: { true ver U (x, s) = false falls s = sign U (x) falls s sign U (x) Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Authentifizierung 26 / 64

14 Zertifikate Zertifikate Anforderung: Die Echtheit des öffentlichen Schlüssels eines Benutzers muss überprüfbar sein Lösung: Eine Trusted Authority (TA) signiert die öffentlichen Schlüssel der Benutzer Technische Umsetzung: Einsatz von Zertifikaten Inhalt des Zertifikats des Benutzers U: Eindeutige Benutzerkennung ID(U) Öffentlicher Schlüssel von U Von der TA ausgestellte Signatur über die obigen Daten Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Authentifizierung 27 / 64 Zertifikate Ausstellung eines Zertifikats Erstellung eines Zertifikats für Alice: 1. Alice erzeugt ein Paar (s A, v A ) bestehend aus einem privaten Schlüssel s A und einem öffentlichen Schlüssel v A 2. Die TA überprüft die Identität von Alice anhand eines konventionellen Dokuments (z.b. Ausweis, Reisepass,... ) 3. Die TA erstellt für Alice eine eindeutige Kennung ID(Alice) 4. Die TA signiert die Daten ID(Alice) v A : 5. Die TA stellt das Zertifikat s = sign TA (ID(Alice) v A ) Cert(Alice) = (ID(Alice), v A, s) aus sendet es an Alice oder stellt es in einem Verzeichnis bereit Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Authentifizierung 28 / 64

15 Protokolle Protokolle für Public Key Authentifizierung Challenge Response Protokoll Schnorr Protokoll Guillou-Quisquater Protokoll Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Authentifizierung 29 / 64 Challenge Response Protokoll Public Key Challenge Response Protokoll 1. Bob generiert eine Zufallszahl r 1. Dann sendet er Cert(Bob) und r 1 an Alice 2. Alice generiert eine Zufallszahl r 2. Sie berechnet y 1 = sign Alice (ID(Bob) r 1 r 2 ) und sendet Cert(Alice), r 2 und y 1 an Bob 3. Bob verifiziert das Zertifikat Cert(Alice). Dann überprüft er, ob ver Alice (ID(Bob) r 1 r 2, y 1 ) = true ist. Falls ja, dann akzeptiert er Alice und berechnet er y 2 = sign Bob (ID(Alice) r 2 ) und sendet y 2 an Alice. Andernfalls bricht er das Protokoll ab 4. Alice verifiziert das Zertifikat Cert(Bob). Dann überprüft sie, ob ver Bob (ID(Alice) r 2, y 2 ) = true ist. Falls ja, dann akzeptiert sie Bob. Andernfalls bricht sie das Protokoll ab Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Authentifizierung 30 / 64

16 Challenge Response Protokoll Public Key Challenge Response Protokoll (Ablauf) Alice Bob Generiert eine Zufallzahl r 1 Cert(Bob), r 1 Generiert eine Zufallzahl r 2 Berechnet y 1 = sign Alice (ID(Bob) r 1 r 2 ) Cert(Alice), r 2, y 1 y 2 Prüft, ob ver Alice (ID(Bob) r 1 r 2, y 1 ) = true Berechnet y 2 = sign Bob (ID(Alice) r 2 ) Prüft, ob ver Bob (ID(Alice) r 2, y 2 ) = true Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Authentifizierung 31 / 64 Challenge Response Protokoll Bemerkungen Das obige Protokoll ist eine Modifikation des Mutual Challenge Response Protokoll Die Message Authentication Codes auf Basis des geheimen Schlüssels wurden durch digitale Signaturen ersetzt Das Protokoll ist sicher, falls folgende Annahmen zutreffen: Das eingesetzte Signaturverfahren ist sicher Die Zufallszahlen werden auf eine kryptografisch sichere Art und Weise erzeugt Es gibt verschiedene Abwandlungen dieses Protokolls. Manche sind jedoch nicht sicher Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Authentifizierung 32 / 64

17 Protokoll zur einseitigen Authentifizierung From Scratch Entwicklung auf Basis des diskreten Logarithmus-Problems Effiziente Durchführbarkeit Voraussetzung: Trusted Authority Aufgaben der Trusted Authority Festlegung der öffentlichen Parameter Ausstellung von Zertifikaten Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Authentifizierung 33 / 64 Parameter des Schnorr Protokolls Öffentliche Parameter Eine Primzahl p (Empfehlung: 1024 Bit) Eine Primteiler q von p 1 (Empfehlung: 160 Bit) Element α Z p der Ordnung q Sicherheitsparameter t so dass q > 2 t (Empfehlung: t = 40) Schlüssel eines Benutzers Privater Schlüssel: s U = a {1,..., q 1} Öffentlicher Schlüssel: v U (α a ) 1 α q a (mod p) Zertifikat eines Benutzers Identität des Benutzers Öffentlicher Schlüssel v U Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Authentifizierung 34 / 64

18 Schnorr Protokoll 1. Alice generiert eine Zufallszahl k {1,..., q 1} und berechnet γ = α k mod p. Dann sendet sie Cert(Alice) und γ an Bob. 2. Bob überprüft anhand Cert(Alice) Alices öffentlichen Schlüssel v. Falls dieser in Ordnung ist, dann generiert er eine Zufallszahl r {1,..., 2 t } und sendet r an Alice. 3. Alice berechnet y = (k + ar) mod q und sendet y an Bob. 4. Bob überprüft, ob γ α y v r (mod p). Falls ja, dann akzeptiert er Alice. Ansonsten bricht er das Protokoll ab. Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Authentifizierung 35 / 64 Schnorr Protokoll (Ablauf) Alice Bob Generiert eine Zufallzahl k {1,..., q 1} Berechnet γ = α k mod p Cert(Alice), γ r Prüft die Echtheit von Cert(Alice) Extrahiert v aus Cert(Alice) Generiert eine Zufallzahl r {1,..., 2 t } Berechnet y = (k + ar) mod q y Prüft, ob γ α y v r (mod p) Öffentliche Parameter: p, q, α, t Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Authentifizierung 36 / 64

19 Schnorr Protokoll Beispiel Beispiel: Öffentliche Parameter: p = 88667, q = 1031 und t = 10. Das Element α = hat die Ordnung q in Z p. Alice hat den privaten Schlüssel a = 755 erzeugt. Dann ist v = α q a mod p = mod = Angenommen, die von Alice generierte Zufallszahl ist k = 543. Dann berechnet sie γ = α k mod p = mod = Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Authentifizierung 37 / 64 Schnorr Protokoll Beispiel (Forts.) Anschließend sendet Alice den Wert γ an Bob. Angenommen, Bob sendet die Challenge r = 1000 an Alice. Dann berechnet Alice und sendet y an Bob. y = k + ar mod q = mod 1031 = 851 Bob überprüft, ob (mod 88667). Da dies der Fall ist, akzeptiert Bob die Echtheit von Alice. Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Authentifizierung 38 / 64

20 Proof Of Knowledge Eigenschaft Definition. Ein Authentisierungsprotokoll besitzt die Proof Of Knowledge Eigenschaft, falls es folgende Eigenschaften besitzt: Vollständigkeit: Alice kann sich immer erfolgreich gegenüber Bob authentifizieren Korrektheit: Die Wahrscheinlichkeit, dass sich Oskar gegenüber Bob erfolgreich als Alice autentifiziert, ist sehr gering Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Authentifizierung 39 / 64 Sicherheitsanalyse Annahmen Alice und Bob sind aufrichtige Benutzer Die öffentlichen Parameter sind gut gewählt Eigenschaften des Schnorr Protokolls 1. Für alle alle gewählten Werte für k und r ist die Authentifizierung von Alice gegenüber Bob erfolgreich 2. Die Wahrscheinlichkeit, dass Oskar sich gegenüber Bob als Alice ausgeben kann, ist gleich 2 t Ergebnis: das Schnorr Protokoll besitzt die Proof Of Knowledge Eigenschaft Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Authentifizierung 40 / 64

21 Sicherheitsanalyse (Forts.) Nachweis Punkt 1: Seien k {1,..., q 1} und r {1,..., 2 t } beliebig gewählt. Es gilt: α y v r α k+ar v r (mod p) α k α ar (α q a ) r (mod p) α k α ar α qr ar (mod p) α k α ar+qr ar (mod p) α k (α q ) r } {{ } 1 (mod p) α k (mod p) γ (mod p) Also ist die Authentifizierung von Alice gegenüber Bob immer erfolgreich Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Authentifizierung 41 / 64 Sicherheitsanalyse (Forts.) Nachweis Punkt 2: Angenommen, Oskar kennt die Zufallszahl r vor Ablauf des Protokolls. Dann kann er sich gegenüber Bob als Alice ausweisen. Hierzu geht er folgendermaßen vor: 1. Er wählt eine beliebige Zahl y und berechnet γ = α y v r mod p 2. Er sendet Cert(Alice) und γ an Bob und erhält im Gegenzug den ihm schon bekannten Wert r 3. Nun sendet er y an Bob 4. Bob akzeptiert Oskar, denn γ = α y v r mod p Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Authentifizierung 42 / 64

22 Sicherheitsanalyse (Forts.) Bemerkungen Kennt Oskar r nicht, dann hat er immer noch die Möglichkeit, obigen Angriff mit einem zufälligen Wert für r durchzuführen Der Angriff ist erfolgreich, falls die von Bob generierte Zufallszahl mit r übereinstimmt Die Wahrscheinlichkeit, dass der Angriff erfolgreich ist, ist gleich 2 t Durch die Wahl von t kann man diese Wahrscheinlichkeit beliebig verkleinern (auf Kosten der Laufzeit der zahlentheoretischen Algorithmen und der Anzahl der zu übertragenden Bits) Wichtig: Bob darf nicht immer denselben Wert für r wählen Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Authentifizierung 43 / 64 Sicherheitsanalyse (Forts.) Annahme: Die Erfolgschancen von Oskar sind größer als 2 t Dann muss Oskar ein γ und (mindestens) zwei Werte r 1 und r 2 kennen, für die er passende y 1 und y 2 berechnen kann, mit denen der obige Angriff erfolgreich durchführbar ist Für γ, r 1, r 2, y 1, y 2 gilt: γ α y 1 v r 1 α y 2 v r 2 (mod p) Hieraus folgt: α y 1 y 2 v r 2 r 1 (mod p) Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Authentifizierung 44 / 64

23 Sicherheitsanalyse (Forts.) Da v α a (mod p), folgt: α y 1 y 2 α a(r 2 r 1 ) (mod p) Da α die Ordnung q in Z p hat, kann man hieraus folgern, dass y 1 y 2 a(r 1 r 2 ) (mod q) Da 0 < r 2 r 1 < 2 t und q > 2 t eine Primzahl ist, ist gcd(r 2 r 1, q) = 1. Also existiert ein multiplikatives Inverses (r 2 r 1 ) 1 modulo q Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Authentifizierung 45 / 64 Sicherheitsanalyse (Forts.) Anhand von (r 2 r 1 ) 1 kann Oskar den geheimen Schlüssel von Alice berechnen: a (y 1 y 2 )(r 1 r 2 ) 1 (mod q) Konsequenz: Die Fähigkeit von Oskar, einen Angriff mit einer Erfolgswahrscheinlichkeit > 2 t auszuführen, ist gleichbedeutend mit der Tatsache, dass Oskar den geheimen Schlüssel von Alice kennt Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Authentifizierung 46 / 64

24 Zero Knowledge Eigenschaft Beobachtung: Die Proof Of Knowledge Eigenschaft ist für die Sicherheit eines Authentisierungsprotokolls nicht ausreichend Begründung: Oskar kann sich gegenüber Alice als Bob ausgeben und durch wiederholte Ausführung des Protokols genügend Informationen zur Berechnung des geheimen Schlüssels von Alice sammeln Definition. Ein Authentisierungsprotokoll besitzt die Zero Knowledge Eigenschaft, falls die Anwendung des obigen Angriffs die Berechnung des geheimen Schlüssels nicht vereinfacht Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Authentifizierung 47 / 64 Sicherheitsanalyse Teil 2 Ziel: Nachweis der Zero Knowledge Eigenschaft für das Schnorr Protokoll Annahme: Oskar generiert r zufällig unter Gleichverteilung Das Tupel (γ, r, y) beinhaltet alle Informationen, die während einer Session übertragen werden Die Menge aller möglichen Abläufe des Protokolls ist: T = {(γ, r, y) 1 r 2 t, 0 y q 1, γ α y v r (mod p)} Es gilt: T = q2 t Frage: Mit welcher Wahrscheinlichkeit tritt das Tupel T = (γ, r, y) in einer Session auf? Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Authentifizierung 48 / 64

25 Sicherheitsanalyse Teil 2 (Forts.) Beobachtung: Der Wert von y ist durch die Wahl von γ und r eindeutig festgelegt Alice zieht k zufällig unter Gleichverteilung aus {0,..., q 1} und berechnet α k mod p. Da α die Ordnung q hat, ist jedes Element in α gleichwahrscheinlich Bob zieht r zufällig unter Gleichverteilung aus {1,..., 2 t } Folgerung: Die Wahrscheinlichkeit, dass das Tupel T = (γ, r, y) in einer Session auftritt, ist gleich 1 q2 t Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Authentifizierung 49 / 64 Sicherheitsanalyse Teil 2 (Forts.) Der Ablauf von mehreren Sessions des Schnorr Protokolls ist mit folgendem Zufallsprozess P simulierbar: 1. Wähle zufällig unter Gleichverteilung ein r {1,..., 2 t } 2. Wähle zufällig unter Gleichverteilung ein y {0,..., q 1} 3. Berechne γ = α y v r mod p 4. Gib das Tupel T = (γ, r, y) zurück Für alle T T gilt: Prob[T tritt in einer Session auf] = Prob[T wird vom Zufallsprozess P erzeugt] = 1 q2 t Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Authentifizierung 50 / 64

26 Sicherheitsanalyse Teil 2 (Forts.) Ergebnis: Die Tatsache, dass Oskar sich gegenüber Alice als Bob ausgibt, vereinfacht nicht die Berechnung des geheimen Schlüssels Bemerkungen Für den Fall, dass Oskar r nicht unter Gleichverteilung zieht, konnte für das Schnorr Protokoll nicht die Zero Knowledge Eigenschaft nachgewiesen werden Bisher ist kein erfolgreicher Angriff auf das Schnorr Protokoll bekannt Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Authentifizierung 51 / 64 Das Protokoll von Guillou-Quisquater Das Protokoll von Guillou-Quisquater Protokoll zur Authentifizierung Grundlage: RSA Voraussetzung: Trusted Authority Aufgaben der Trusted Authority Festlegung der öffentlichen Parameter Ausstellung von Zertifikaten Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Authentifizierung 52 / 64

27 Das Protokoll von Guillou-Quisquater Parameter des Guillou-Quisquater Protokolls Öffentliche Parameter: Zahl n = p q, wobei p und q geheime Primzahlen sind Primzahl b mit der Eigenschaft b 1 (mod φ(n)) (Größe:40 Bit) Schlüssel eines Benutzers: Privater Schlüssel: u U {0, 1,..., n 1} Öffentlicher Schlüssel: v U = (u 1 ) b mod n Zertifikat eines Benutzers: Identität des Benutzers Cert(U) Öffentlicher Schlüssel v U Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Authentifizierung 53 / 64 Das Protokoll von Guillou-Quisquater Guillou-Quisquater Protokoll 1. Alice wählt eine Zufallszahl k {0, 1,..., n 1} und berechnet γ = k b mod n 2. Alice sendet ihr Zertifikat Cert(Alice) und γ an Bob 3. Bob überprüft die Echtheit von Cert(Alice) 4. Bob generiert eine Zufallszahl r {0, 1,..., b 1} und sendet diese an Alice 5. Alice berechnet y = k u r mod n und sendet diesen Wert an Bob. 6. Bob überprüft, dass y v r y b (mod n). Falls ja, dass akzeptiert er die Authentizität von Alice Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Authentifizierung 54 / 64

28 Das Protokoll von Guillou-Quisquater Guillou-Quisquater Protokoll (Ablauf) Alice Bob Generiert eine Zufallzahl k {0,..., n 1} Berechnet γ = k b mod n Cert(Alice), γ r Prüft die Echtheit von Cert(Alice) Extrahiert v aus Cert(Alice) Generiert eine Zufallzahl r {0,..., b 1} Berechnet y = ku r mod n y Prüft, ob γ v r y b (mod n) Öffentliche Parameter: n, b Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Authentifizierung 55 / 64 Das Protokoll von Guillou-Quisquater Guillou-Quisquater Protokoll Beispiel Beispiel. Die TA generiert die Primzahlen p = 467, q = 479 und b = 503 und veröffentlicht die Parameter n = und b. Alice erzeugt sich den privaten Schlüssel u = berechnet v = (u 1 ) b mod n = ( ) 5 02 mod = und lässt sich von der TA ein entsprechendes Zertifikat ausstellen Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Authentifizierung 56 / 64

29 Das Protokoll von Guillou-Quisquater Guillou-Quisquater Protokoll Beispiel (Forts.) Um sich gegenüber Bob zu authentifizieren, generiert Alice den Wert k = und berechnet mod sendet Cert(Alice) und γ an Bob γ = k b mod n = Bob sendet überprüft Cert(Alice). Ist das Zertifikat nicht in Ordnung, dann bricht er die Authentifizierung ab. Andernfalls würfelt er den Challenge r = 375 und sendet diesen an Alice Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Authentifizierung 57 / 64 Das Protokoll von Guillou-Quisquater Guillou-Quisquater Protokoll Beispiel (Forts.) Nach Empfang von r berechnet Alice y = ku r mod n = mod = und sendet y an Bob Bob überprüft, dass γ v r y b (mod ) Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Authentifizierung 58 / 64

30 Sicherheitsanalyse Das Protokoll von Guillou-Quisquater Ziel: Nachweis der Proof Of Knowledge Eigenschaft für das Guillou-Quisquater Protokoll Zu zeigen: Für alle Werte von k und r kann sich Alice gegenüber Bob erfolgreich authentifizieren Die Wahrscheinlichkeit, dass sich Oskar gegenüber Bob als Alice ausgeben kann, ist gleich 2 b Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Authentifizierung 59 / 64 Sicherheitsanalyse (Forts.) Das Protokoll von Guillou-Quisquater Nachweis Punkt 1: Seien k und r beliebig gewählt. Es gilt: v r y b (u b ) r (ku r ) b (mod n) u br k b u br (mod n) k b (mod n) γ (mod n) Also arbeitet das Protokoll für alle Werte von k und r korrekt Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Authentifizierung 60 / 64

31 Das Protokoll von Guillou-Quisquater Sicherheitsanalyse (Forts.) Nachweis Punkt 2: Angenommen, Oskar kennt einen Wert γ, für den er mit einer Wahrscheinlichkeit ε 2/b gegenüber Bob als Alice ausgeben kann Dann kann man annehmen, dass Oskar für dieses γ Werte y 1, y 2, r 1 und r 2, wobei r 1 r 2, berechnen kann, so dass γ v r 1 y b 1 v r 2 y b 2 (mod n) Der Einfachheit wird angenommen, dass r 1 > r 2 ist. Hieraus folgt: v r 1 r 2 y b 2 (y b 1 ) 1 (y 2 y 1 1 ) b (mod n) Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Authentifizierung 61 / 64 Das Protokoll von Guillou-Quisquater Sicherheitsanalyse (Forts.) Da 0 < r 1 r 2 < b und b eine Primzahl ist, existiert t = (r 1 r 2 ) 1 mod b Oskar kann t mit dem Erweiterten Algorithmus von Euklid berechnen Folglich gilt: v (r 1 r 2 )t (y 2 y 1 1 ) bt (mod n) Da (r 1 r 2 )t = lb + 1 für eine ganze Zahl l, ist v lb+1 (y 2 y 1 1 ) bt (mod n) und somit v (y 2 y 1 1 ) bt (v 1 ) lb (mod n) Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Authentifizierung 62 / 64

32 Sicherheitsanalyse (Forts.) Das Protokoll von Guillou-Quisquater Potenziert man beide Seiten dieser Gleichung mit b 1 mod φ(n), dann erhält mann u 1 (y 2 y 1 1 ) t (v 1 ) l (mod n) Berechnet man das multiplikative Inverse auf beiden Seiten, dann erhält man: u ((y 2 y1 1)t (v 1 ) l ) 1 (mod n) (y2 1y 1) t (v) l (mod n) Also kann Oskar den geheimen Schlüssel von Alice effizient berechnen Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Authentifizierung 63 / 64 Zusammenfassung Zusammenfassung Die Aufgabe eines Authentisierungsprotokolls besteht in der Überprüfung der Echtheit eines Benutzers Man unterscheidet: Einseitige Authentifizierung Gegenseitige Authentifizierung Voraussetzungen für Authentisierungsprotokolle sind Kenntnis eines gemeinsamen Schlüssels, oder Besitz eines Public Key Schlüsselpaars Neben den in dieser Lerneinheit präsentierten Verfahren existieren noch zahlreiche weitere Verfahren zur Authentifizierung Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Authentifizierung 64 / 64

Authentikation und digitale Signatur

Authentikation und digitale Signatur TU Graz 23. Jänner 2009 Überblick: Begriffe Authentikation Digitale Signatur Überblick: Begriffe Authentikation Digitale Signatur Überblick: Begriffe Authentikation Digitale Signatur Begriffe Alice und

Mehr

Kryptographische Protokolle

Kryptographische Protokolle Kryptographische Protokolle Lerneinheit 4: Schlüsselvereinbarung Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen Sommersemester 2017 8.5.2017 Einleitung Einleitung In dieser Lerneinheit

Mehr

Proseminar/Seminar Kryptographie und Datensicherheit SoSe 2009 Universität Potsdam Jan Jantzen

Proseminar/Seminar Kryptographie und Datensicherheit SoSe 2009 Universität Potsdam Jan Jantzen Authentifizierung Proseminar/Seminar Kryptographie und Datensicherheit SoSe 2009 Universität Potsdam Jan Jantzen Seminar Kyptographie und Datensicherheit SoSe 09 1 Gliederung Authentifizierung (Einleitung)

Mehr

Betriebssysteme und Sicherheit

Betriebssysteme und Sicherheit Betriebssysteme und Sicherheit Signatursysteme WS 2013/2014 Dr.-Ing. Elke Franz Elke.Franz@tu-dresden.de 1 Überblick 1 Prinzip digitaler Signatursysteme 2 Vergleich symmetrische / asymmetrische Authentikation

Mehr

Das RSA-Verfahren. Armin Litzel. Proseminar Kryptographische Protokolle SS 2009

Das RSA-Verfahren. Armin Litzel. Proseminar Kryptographische Protokolle SS 2009 Das RSA-Verfahren Armin Litzel Proseminar Kryptographische Protokolle SS 2009 1 Einleitung RSA steht für die drei Namen Ronald L. Rivest, Adi Shamir und Leonard Adleman und bezeichnet ein von diesen Personen

Mehr

Informatik für Ökonomen II HS 09

Informatik für Ökonomen II HS 09 Informatik für Ökonomen II HS 09 Übung 5 Ausgabe: 03. Dezember 2009 Abgabe: 10. Dezember 2009 Die Lösungen zu den Aufgabe sind direkt auf das Blatt zu schreiben. Bitte verwenden Sie keinen Bleistift und

Mehr

Digitale Unterschriften Grundlagen der digitalen Unterschriften Hash-Then-Sign Unterschriften Public-Key Infrastrukturen (PKI) Digitale Signaturen

Digitale Unterschriften Grundlagen der digitalen Unterschriften Hash-Then-Sign Unterschriften Public-Key Infrastrukturen (PKI) Digitale Signaturen Sommersemester 2008 Digitale Unterschriften Unterschrift von Hand : Physikalische Verbindung mit dem unterschriebenen Dokument (beides steht auf dem gleichen Blatt). Fälschen erfordert einiges Geschick

Mehr

Wiederholung: Informationssicherheit Ziele

Wiederholung: Informationssicherheit Ziele Wiederholung: Informationssicherheit Ziele Vertraulichkeit: Schutz der Information vor unberechtigtem Zugriff bei Speicherung, Verarbeitung und Übertragung Integrität: Garantie der Korrektheit (unverändert,

Mehr

Grundlagen der Kryptographie

Grundlagen der Kryptographie Grundlagen der Kryptographie Die Kryptographie, aus dem Altgriehishen Geheimshrift abgeleitet, ist die Wissenshaft der Vershlüsselung von Nahrihten. Ursprünglih in der Antike eingesetzt, um diplomatishen

Mehr

IT Sicherheit: Authentisierung

IT Sicherheit: Authentisierung Dr. Christian Rathgeb IT-Sicherheit, Kapitel 4 / 18.11.2015 1/21 IT Sicherheit: Dr. Christian Rathgeb Hochschule Darmstadt, CASED, da/sec Security Group 18.11.2015 Dr. Christian Rathgeb IT-Sicherheit,

Mehr

IT-Sicherheit: Kryptographie. Asymmetrische Kryptographie

IT-Sicherheit: Kryptographie. Asymmetrische Kryptographie IT-Sicherheit: Kryptographie Asymmetrische Kryptographie Fragen zur Übung 5 C oder Java? Ja (gerne auch Python); Tips waren allerdings nur für C Wie ist das mit der nonce? Genau! (Die Erkennung und geeignete

Mehr

Kryptografische Protokolle

Kryptografische Protokolle Kryptografische Protokolle Lerneinheit 6: Elektronisches Geld Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen Sommersemester 2016 14.6.2016 Anforderungen an elektronisches Geld Sicherheit:

Mehr

Erste Vorlesung Kryptographie

Erste Vorlesung Kryptographie Erste Vorlesung Kryptographie Andre Chatzistamatiou October 14, 2013 Anwendungen der Kryptographie: geheime Datenübertragung Authentifizierung (für uns = Authentisierung) Daten Authentifizierung/Integritätsprüfung

Mehr

Key Agreement. Diffie-Hellman Schlüsselaustausch. Key Agreement. Authentifizierter Diffie-Hellman Schlüsselaustausch

Key Agreement. Diffie-Hellman Schlüsselaustausch. Key Agreement. Authentifizierter Diffie-Hellman Schlüsselaustausch Digitale Signaturen Signaturverfahren mit Einwegfunktion mit Falltür: Full Domain Hash, RSA Signatures, PSS Signaturverfahren mit Einwegfunktion ohne Falltür: Allgemeine Konstruktion von Lamport, One-time

Mehr

SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites zu beschäftigen

SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites zu beschäftigen SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites zu beschäftigen Immo FaUl Wehrenberg immo@ctdo.de Chaostreff Dortmund 16. Juli 2009 Immo FaUl Wehrenberg immo@ctdo.de (CTDO) SSL/TLS Sicherheit

Mehr

Konzepte von Betriebssystemkomponenten: Schwerpunkt Sicherheit. Asymmetrische Verschlüsselung, Digitale Signatur

Konzepte von Betriebssystemkomponenten: Schwerpunkt Sicherheit. Asymmetrische Verschlüsselung, Digitale Signatur Konzepte von Betriebssystemkomponenten: Schwerpunkt Sicherheit Thema: Asymmetrische Verschlüsselung, Digitale Signatur Vortragender: Rudi Pfister Überblick: Asymmetrische Verschlüsselungsverfahren - Prinzip

Mehr

Kryptologie. Bernd Borchert. Univ. Tübingen SS Vorlesung. Teil 10. Signaturen, Diffie-Hellman

Kryptologie. Bernd Borchert. Univ. Tübingen SS Vorlesung. Teil 10. Signaturen, Diffie-Hellman Kryptologie Bernd Borchert Univ. Tübingen SS 2017 Vorlesung Teil 10 Signaturen, Diffie-Hellman Signatur Signatur s(m) einer Nachricht m Alice m, s(m) Bob K priv K pub K pub Signatur Signatur (Thema Integrity

Mehr

Computeralgebra in der Lehre am Beispiel Kryptografie

Computeralgebra in der Lehre am Beispiel Kryptografie Kryptografie Grundlagen RSA KASH Computeralgebra in der Lehre am Beispiel Kryptografie Institut für Mathematik Technische Universität Berlin Kryptografie Grundlagen RSA KASH Überblick Kryptografie mit

Mehr

9 Schlüsseleinigung, Schlüsselaustausch

9 Schlüsseleinigung, Schlüsselaustausch 9 Schlüsseleinigung, Schlüsselaustausch Ziel: Sicherer Austausch von Schlüsseln über einen unsicheren Kanal initiale Schlüsseleinigung für erste sichere Kommunikation Schlüsselerneuerung für weitere Kommunikation

Mehr

Kryptographie praktisch erlebt

Kryptographie praktisch erlebt Kryptographie praktisch erlebt Dr. G. Weck INFODAS GmbH Köln Inhalt Klassische Kryptographie Symmetrische Verschlüsselung Asymmetrische Verschlüsselung Digitale Signaturen Erzeugung gemeinsamer Schlüssel

Mehr

Programmiertechnik II

Programmiertechnik II X.509: Eine Einführung X.509 ITU-T-Standard: Information Technology Open Systems Interconnection The Directory: Public Key and attribute certificate frameworks Teil des OSI Directory Service (X.500) parallel

Mehr

Wiederholung: Informationssicherheit Ziele

Wiederholung: Informationssicherheit Ziele Wiederholung: Informationssicherheit Ziele Vertraulichkeit: Schutz der Information vor unberechtigtem Zugriff bei Speicherung, Verarbeitung und Übertragung Verschlüsselungsverfahren Integrität: Garantie

Mehr

Digital Rights Management (DRM) Verfahren, die helfen Rechte an virtuellen Waren durchzusetzen. Public-Key-Kryptographie (2 Termine)

Digital Rights Management (DRM) Verfahren, die helfen Rechte an virtuellen Waren durchzusetzen. Public-Key-Kryptographie (2 Termine) Digital Rights Management (DRM) Verfahren, die helfen Rechte an virtuellen Waren durchzusetzen Vorlesung im Sommersemester 2010 an der Technischen Universität Ilmenau von Privatdozent Dr.-Ing. habil. Jürgen

Mehr

Kryptographische Verfahren auf Basis des Diskreten Logarithmus

Kryptographische Verfahren auf Basis des Diskreten Logarithmus Kryptographische Verfahren auf Basis des Diskreten Logarithmus -Vorlesung Public-Key-Kryptographie SS2010- Sascha Grau ITI, TU Ilmenau, Germany Seite 1 / 18 Unser Fahrplan heute 1 Der Diskrete Logarithmus

Mehr

Kap. 2: Fail-Stop Unterschriften

Kap. 2: Fail-Stop Unterschriften Stefan Lucks 2: Fail-Stop Unterschriften 17 Digital Unterschreiben und Bezahlen Kap. 2: Fail-Stop Unterschriften Digitale Unterschriften (Synomym: Digitale Signaturen ): Fälschen mutmaßlich hart (RSA-Wurzeln,

Mehr

Seminar zur Kryptologie

Seminar zur Kryptologie Seminar zur Kryptologie Practical Key Recovery Schemes Basierend auf einer Veröffentlichung von Sung-Ming Yen Torsten Behnke Technische Universität Braunschweig t.behnke@tu-bs.de Einführung Einführung

Mehr

Digitale Unterschriften mit ElGamal

Digitale Unterschriften mit ElGamal Digitale Unterschriften mit ElGamal Seminar Kryptographie und Datensicherheit Institut für Informatik Andreas Havenstein Inhalt Einführung RSA Angriffe auf Signaturen und Verschlüsselung ElGamal Ausblick

Mehr

IT-Sicherheit Kapitel 3 Public Key Kryptographie

IT-Sicherheit Kapitel 3 Public Key Kryptographie IT-Sicherheit Kapitel 3 Public Key Kryptographie Dr. Christian Rathgeb Sommersemester 2013 1 Einführung In der symmetrischen Kryptographie verwenden Sender und Empfänger den selben Schlüssel die Teilnehmer

Mehr

RSA Verfahren. Kapitel 7 p. 103

RSA Verfahren. Kapitel 7 p. 103 RSA Verfahren RSA benannt nach den Erfindern Ron Rivest, Adi Shamir und Leonard Adleman war das erste Public-Key Verschlüsselungsverfahren. Sicherheit hängt eng mit der Schwierigkeit zusammen, große Zahlen

Mehr

Bernd Blümel. Verschlüsselung. Prof. Dr. Blümel

Bernd Blümel. Verschlüsselung. Prof. Dr. Blümel Bernd Blümel 2001 Verschlüsselung Gliederung 1. Symetrische Verschlüsselung 2. Asymetrische Verschlüsselung 3. Hybride Verfahren 4. SSL 5. pgp Verschlüsselung 111101111100001110000111000011 1100110 111101111100001110000111000011

Mehr

Voll homomorpe Verschlüsselung

Voll homomorpe Verschlüsselung Voll homomorpe Verschlüsselung Definition Voll homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : R R für Ringe R, R. Π heißt voll homomorph, falls 1 Enc(m 1 ) + Enc(m 2 ) eine gültige

Mehr

Digitale Signaturen. Kapitel 10 p. 178

Digitale Signaturen. Kapitel 10 p. 178 Digitale Signaturen Realisierung der digitalen Signaturen ist eng verwandt mit der Public-Key-Verschlüsselung. Idee: Alice will Dokument m signieren. Sie berechnet mit dem privaten Schlüssel d die digitale

Mehr

2.4 Hash-Prüfsummen Hash-Funktion message digest Fingerprint kollisionsfrei Einweg-Funktion

2.4 Hash-Prüfsummen Hash-Funktion message digest Fingerprint kollisionsfrei Einweg-Funktion 2.4 Hash-Prüfsummen Mit einer Hash-Funktion wird von einer Nachricht eine Prüfsumme (Hash-Wert oder message digest) erstellt. Diese Prüfsumme besitzt immer die gleiche Länge unabhängig von der Länge der

Mehr

Homomorphe Verschlüsselung

Homomorphe Verschlüsselung Homomorphe Verschlüsselung Sophie Friedrich, Nicholas Höllermeier, Martin Schwaighofer 11. Juni 2012 Inhaltsverzeichnis Einleitung Motivation Mathematische Definitionen Wiederholung Gruppe Ring Gruppenhomomorphisums

Mehr

5. Signaturen und Zertifikate

5. Signaturen und Zertifikate 5. Signaturen und Zertifikate Folgende Sicherheitsfunktionen sind möglich: Benutzerauthentikation: Datenauthentikation: Datenintegrität: Nachweisbarkeit: Digitale Unterschrift Zahlungsverkehr Nachweis

Mehr

Wiederholung: Informationssicherheit Ziele

Wiederholung: Informationssicherheit Ziele Wiederholung: Informationssicherheit Ziele Vertraulichkeit : Schutz der Information vor unberechtigtem Zugriff bei Speicherung, Verarbeitung und Übertragung Methode: Verschüsselung symmetrische Verfahren

Mehr

Primzahlen und RSA-Verschlüsselung

Primzahlen und RSA-Verschlüsselung Primzahlen und RSA-Verschlüsselung Michael Fütterer und Jonathan Zachhuber 1 Einiges zu Primzahlen Ein paar Definitionen: Wir bezeichnen mit Z die Menge der positiven und negativen ganzen Zahlen, also

Mehr

IT-Sicherheit Kapitel 6 Authentifikation

IT-Sicherheit Kapitel 6 Authentifikation IT-Sicherheit Kapitel 6 Authentifikation Dr. Christian Rathgeb Sommersemester 2013 1 Einführung Der Teilnehmer V (= Verifier) will sich von der Identität eines anderen Kommunikationspartners P (= Prover)

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 23.05.2016 1 / 32 Überblick 1 Symmetrische Authentifikation von Nachrichten Ziel Konstruktionen MACs

Mehr

Kryptografische Verfahren für sichere E-Mail

Kryptografische Verfahren für sichere E-Mail Kryptografische Verfahren für sichere Roadshow Sicheres Internet Prof. Dr. Christoph Karg Hochschule Aalen Studiengang Informatik 28. November 2013 Kommunikation Prof. Dr. Christoph Karg Kryptografische

Mehr

Kryptographie. Nachricht

Kryptographie. Nachricht Kryptographie Kryptographie Sender Nachricht Angreifer Empfänger Ziele: Vertraulichkeit Angreifer kann die Nachricht nicht lesen (Flüstern). Integrität Angreifer kann die Nachricht nicht ändern ohne dass

Mehr

Betriebssysteme und Sicherheit Sicherheit. Signaturen, Zertifikate, Sichere E-Mail

Betriebssysteme und Sicherheit Sicherheit. Signaturen, Zertifikate, Sichere E-Mail Betriebssysteme und Sicherheit Sicherheit Signaturen, Zertifikate, Sichere E-Mail Frage Public-Key Verschlüsselung stellt Vertraulichkeit sicher Kann man auch Integrität und Authentizität mit Public-Key

Mehr

Digitale Signaturen Einführung und das Schnorr Signaturschema

Digitale Signaturen Einführung und das Schnorr Signaturschema Digitale Signaturen Einführung und das Schnorr Signaturschema Patrick Könemann paphko@upb.de Proseminar: Public-Key Kryptographie Prof. Dr. rer. nat. J. Blömer Universität Paderborn 27. Januar 2006 Abstract

Mehr

11. Das RSA Verfahren und andere Verfahren

11. Das RSA Verfahren und andere Verfahren Chr.Nelius: Kryptographie (SS 2011) 31 11. Das RSA Verfahren und andere Verfahren Eine konkrete Realisierung eines Public Key Kryptosystems ist das sog. RSA Verfahren, das im Jahre 1978 von den drei Wissenschaftlern

Mehr

Schlüsseletablierungsprotokolle

Schlüsseletablierungsprotokolle Schlüsseletablierungsprotokolle Skript zum Vortrag von Thomas Krause im Rahmen des Proseminars Kryptographische Algorithmen und Protokolle an der Humboldt Universität zu Berlin Autor: Thomas Krause (krause@informatik.hu-berlin.de)

Mehr

IT-Sicherheit Kapitel 7 Schlüsseletablierung

IT-Sicherheit Kapitel 7 Schlüsseletablierung IT-Sicherheit Kapitel 7 Schlüsseletablierung Dr. Christian Rathgeb Sommersemester 2013 1 Einführung Protokoll: Wenn mehrere Instanzen miteinander kommunizieren, um ein gemeinsames Ziel zu erreichen, dann

Mehr

Übung GSS Blatt 6. SVS Sicherheit in Verteilten Systemen

Übung GSS Blatt 6. SVS Sicherheit in Verteilten Systemen Übung GSS Blatt 6 SVS Sicherheit in Verteilten Systemen 1 Einladung zum SVS-Sommerfest SVS-Sommerfest am 12.07.16 ab 17 Uhr Ihr seid eingeladen! :-) Es gibt Thüringer Bratwürste im Brötchen oder Grillkäse

Mehr

Aufgabe der Kryptografie

Aufgabe der Kryptografie Aufgabe der Kryptografie Eve möchte die Unterhaltung mithören und/oder ausgetauschte Informationen ändern. Alice & Bob kommunzieren über einen unsicheren Kanal. Alice & Bob nutzen Verschlüsselung und digitale

Mehr

Nachrichtenintegrität

Nachrichtenintegrität Nachrichtenintegrität!!Erlaubt den Komunikationspartnern die Korrektheit Folien und Inhalte aus II und Authentizität der Nachricht zu überprüfen Networking: A - Inhalt ist unverändert Top Down Approach

Mehr

Diffie-Hellman, ElGamal und DSS. Vortrag von David Gümbel am 28.05.2002

Diffie-Hellman, ElGamal und DSS. Vortrag von David Gümbel am 28.05.2002 Diffie-Hellman, ElGamal und DSS Vortrag von David Gümbel am 28.05.2002 Übersicht Prinzipielle Probleme der sicheren Nachrichtenübermittlung 'Diskreter Logarithmus'-Problem Diffie-Hellman ElGamal DSS /

Mehr

Digital Signature and Public Key Infrastructure

Digital Signature and Public Key Infrastructure E-Governement-Seminar am Institut für Informatik an der Universität Freiburg (CH) Unter der Leitung von Prof. Dr. Andreas Meier Digital Signature and Public Key Infrastructure Von Düdingen, im Januar 2004

Mehr

10. Public-Key Kryptographie

10. Public-Key Kryptographie Stefan Lucks 10. PK-Krypto 274 orlesung Kryptographie (SS06) 10. Public-Key Kryptographie Analyse der Sicherheit von PK Kryptosystemen: Angreifer kennt öffentlichen Schlüssel Chosen Plaintext Angriffe

Mehr

Modul Diskrete Mathematik WiSe 2011/12

Modul Diskrete Mathematik WiSe 2011/12 1 Modul Diskrete Mathematik WiSe 2011/12 Ergänzungsskript zum Kapitel 4.2. Hinweis: Dieses Manuskript ist nur verständlich und von Nutzen für Personen, die regelmäßig und aktiv die zugehörige Vorlesung

Mehr

Digitale Signaturen. Kapitel 8

Digitale Signaturen. Kapitel 8 Digitale Signaturen Kapitel 8 Handschriftliche vs. digitale Unterschrift digitalisieren mp3 Unterschrift digitale Unterschrift von D.H. für mp3? (Scannen und als Bitmap anhängen z.b. zu leicht zu fälschen)

Mehr

Handshake von SIM und GSM Basisstation

Handshake von SIM und GSM Basisstation Handshake von SIM und GSM Basisstation Prüfungsvorleistung im Rahmen der Vorlesung Chipkarten SS 05 Inhalt GSM und Sicherheit Sicherheitsdienste GSM Algo Authentifizierung PDU (herausgenommen) GSM und

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 12.05.2014 1 / 26 Überblick 1 Hashfunktionen Erinnerung Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel:

Mehr

Blinde Signaturen, geheime Abstimmungen und digitale Münzen

Blinde Signaturen, geheime Abstimmungen und digitale Münzen Blinde Signaturen, geheime Abstimmungen und digitale Münzen Claus Diem Im Wintersemester 2017 / 18 Crypto 1982 Geheime Abstimmungen Eine geheime Abstimmung Problem. Eine Gruppe von Personen will per Brief

Mehr

Public-Key-Kryptosystem

Public-Key-Kryptosystem Public-Key-Kryptosystem Zolbayasakh Tsoggerel 29. Dezember 2008 Inhaltsverzeichnis 1 Wiederholung einiger Begriffe 2 2 Einführung 2 3 Public-Key-Verfahren 3 4 Unterschiede zwischen symmetrischen und asymmetrischen

Mehr

Lenstras Algorithmus für Faktorisierung

Lenstras Algorithmus für Faktorisierung Lenstras Algorithmus für Faktorisierung Bertil Nestorius 9 März 2010 1 Motivation Die schnelle Faktorisierung von Zahlen ist heutzutage ein sehr wichtigen Thema, zb gibt es in der Kryptographie viele weit

Mehr

Unterhalten Sie sich leise mit Ihrem Nachbarn über ein aktuelles Thema. Dauer ca. 2 Minuten

Unterhalten Sie sich leise mit Ihrem Nachbarn über ein aktuelles Thema. Dauer ca. 2 Minuten Versuch: Eigenschaften einer Unterhaltung Instant Messaging Unterhalten Sie sich leise mit Ihrem Nachbarn über ein aktuelles Thema. Dauer ca. 2 Minuten welche Rollen gibt es in einem IM-System? Analysieren

Mehr

11 Instanzauthentisierung

11 Instanzauthentisierung 11 Instanzauthentisierung B (Prüfer) kann die Identität von A (Beweisender) zweifelsfrei feststellen Angreifer O versucht, Identität von A zu übernehmen (aktiver Angri ) Oskar (O) Alice (A) Bob (B) Faktoren

Mehr

Seminar Internet-Technologie

Seminar Internet-Technologie Seminar Internet-Technologie Zertifikate, SSL, SSH, HTTPS Christian Kothe Wintersemester 2008 / 2009 Inhalt Asymmetrisches Kryptosystem Digitale Zertifikate Zertifikatsformat X.509 Extended-Validation-Zertifikat

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 15.05.2017 1 / 25 Überblick 1 Hashfunktionen Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel: RSA

Mehr

Digitale Signaturen. Sven Tabbert

Digitale Signaturen. Sven Tabbert Digitale Signaturen Sven Tabbert Inhalt: Digitale Signaturen 1. Einleitung 2. Erzeugung Digitaler Signaturen 3. Signaturen und Einweg Hashfunktionen 4. Digital Signature Algorithmus 5. Zusammenfassung

Mehr

Architektur von SmartCards und Embedded Systems. Informationstechnische Grundlagen II

Architektur von SmartCards und Embedded Systems. Informationstechnische Grundlagen II Architektur von SmartCards und Embedded Systems Informationstechnische Grundlagen II " Authentisierung " digitale Signatur " Zertifikate Seminarvortrag von Heiko Abraham H.Abraham 26. Apr 2000 1/15 Authentisierung

Mehr

Schlüsselvereinbarung

Schlüsselvereinbarung Schlüsselvereinbarung Seminar Kryptografische Protokolle an der Humboldt Universität zu Berlin. Stephan Verbücheln, Daniel Schliebner. Herausgabe: 4. März 2009 Schlüsselvereinbarung Seite 1 Inhaltsverzeichnis

Mehr

Homomorphe Verschlüsselung

Homomorphe Verschlüsselung Homomorphe Verschlüsselung Definition Homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : G G für Gruppen G, G. Π heißt homomorph, falls Enc(m 1 ) G Enc(m 2 ) eine gültige Verschlüsselung

Mehr

Praktikum Diskrete Optimierung (Teil 11) 17.07.2006 1

Praktikum Diskrete Optimierung (Teil 11) 17.07.2006 1 Praktikum Diskrete Optimierung (Teil 11) 17.07.2006 1 1 Primzahltest 1.1 Motivation Primzahlen spielen bei zahlreichen Algorithmen, die Methoden aus der Zahlen-Theorie verwenden, eine zentrale Rolle. Hierzu

Mehr

Verteilte Systeme. Übung 10. Jens Müller-Iden

Verteilte Systeme. Übung 10. Jens Müller-Iden Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten

Mehr

Inhalt. Seminar: Codes und Kryptographie 1 1.6.2004

Inhalt. Seminar: Codes und Kryptographie 1 1.6.2004 Inhalt Grundgedanken und bereits bestehende Verfahren Anforderungen an Elektronischen Geld und grundlegende Protokolle Blinde Signaturen und Probleme die daraus erwachsen On-line Cash Off-line Cash Random

Mehr

Symmetrische und Asymmetrische Kryptographie. Technik Seminar 2012

Symmetrische und Asymmetrische Kryptographie. Technik Seminar 2012 Symmetrische und Asymmetrische Kryptographie Technik Seminar 2012 Inhalt Symmetrische Kryptographie Transpositionchiffre Substitutionchiffre Aktuelle Verfahren zur Verschlüsselung Hash-Funktionen Message

Mehr

Mathematik und Logik

Mathematik und Logik Mathematik und Logik 6. Übungsaufgaben 2006-01-24, Lösung 1. Berechnen Sie für das Konto 204938716 bei der Bank mit der Bankleitzahl 54000 den IBAN. Das Verfahren ist z.b. auf http:// de.wikipedia.org/wiki/international_bank_account_number

Mehr

Netzsicherheit I, WS 2008/2009 Übung 12. Prof. Dr. Jörg Schwenk 20.01.2009

Netzsicherheit I, WS 2008/2009 Übung 12. Prof. Dr. Jörg Schwenk 20.01.2009 Netzsicherheit I, WS 2008/2009 Übung 12 Prof. Dr. Jörg Schwenk 20.01.2009 Aufgabe 1 1 Zertifikate im Allgemeinen a) Was versteht man unter folgenden Begriffen? i. X.509 X.509 ist ein Standard (Zertifikatsstandard)

Mehr

SSL Secure Socket Layer Algorithmen und Anwendung

SSL Secure Socket Layer Algorithmen und Anwendung SSL Secure Socket Layer Algorithmen und Anwendung Präsentation vom 03.06.2002 Stefan Pfab 2002 Stefan Pfab 1 Überblick Motivation SSL-Architektur Verbindungsaufbau Zertifikate, Certification Authorities

Mehr

Netzsicherheit Architekturen und Protokolle Instant Messaging

Netzsicherheit Architekturen und Protokolle Instant Messaging Instant Messaging Versuch: Eigenschaften einer Unterhaltung Unterhalten Sie sich leise mit Ihrem Nachbarn über ein aktuelles Thema. Dauer ca. 2 Minuten welche Rollen gibt es in einem IM-System? Analysieren

Mehr

Public-Key-Kryptographie

Public-Key-Kryptographie Kapitel 2 Public-Key-Kryptographie In diesem Kapitel soll eine kurze Einführung in die Kryptographie des 20. Jahrhunderts und die damit verbundene Entstehung von Public-Key Verfahren gegeben werden. Es

Mehr

SSL-Protokoll und Internet-Sicherheit

SSL-Protokoll und Internet-Sicherheit SSL-Protokoll und Internet-Sicherheit Christina Bräutigam Universität Dortmund 5. Dezember 2005 Übersicht 1 Einleitung 2 Allgemeines zu SSL 3 Einbindung in TCP/IP 4 SSL 3.0-Sicherheitsschicht über TCP

Mehr

Wiederholung Symmetrische Verschlüsselung klassische Verfahren: Substitutionschiffren Transpositionschiffren Vigenère-Chiffre One-Time-Pad moderne

Wiederholung Symmetrische Verschlüsselung klassische Verfahren: Substitutionschiffren Transpositionschiffren Vigenère-Chiffre One-Time-Pad moderne Wiederholung Symmetrische Verschlüsselung klassische Verfahren: Substitutionschiffren Transpositionschiffren Vigenère-Chiffre One-Time-Pad moderne Verfahren: DES (Feistel-Chiffre) mehrfache Wiederholung

Mehr

Secure Sockets Layer (SSL) Prof. Dr. P. Trommler

Secure Sockets Layer (SSL) Prof. Dr. P. Trommler Secure Sockets Layer (SSL) Prof. Dr. P. Trommler Übersicht Internetsicherheit Protokoll Sitzungen Schlüssel und Algorithmen vereinbaren Exportversionen Public Keys Protokollnachrichten 29.10.2003 Prof.

Mehr

Digitale Signaturen. Einführung und das Schnorr Signatur Schema. 1 Digitale Signaturen Einführung & das Schnorr Signatur Schema.

Digitale Signaturen. Einführung und das Schnorr Signatur Schema. 1 Digitale Signaturen Einführung & das Schnorr Signatur Schema. Digitale Signaturen Einführung und das Schnorr Signatur Schema 1 Übersicht 1. Prinzip der digitalen Signatur 2. Grundlagen Hash Funktionen Diskreter Logarithmus 3. ElGamal Signatur Schema 4. Schnorr Signatur

Mehr

Kurze Einführung in kryptographische Grundlagen.

Kurze Einführung in kryptographische Grundlagen. Kurze Einführung in kryptographische Grundlagen. Was ist eigentlich AES,RSA,DH,ELG,DSA,DSS,ECB,CBC Benjamin.Kellermann@gmx.de GPG-Fingerprint: D19E 04A8 8895 020A 8DF6 0092 3501 1A32 491A 3D9C git clone

Mehr

Allgemeine Erläuterungen zu

Allgemeine Erläuterungen zu en zu persönliche Zertifikate Wurzelzertifikate Zertifikatssperrliste/Widerrufsliste (CRL) Public Key Infrastructure (PKI) Signierung und Verschlüsselung mit S/MIME 1. zum Thema Zertifikate Zertifikate

Mehr

Linux User Group Tübingen

Linux User Group Tübingen theoretische Grundlagen und praktische Anwendung mit GNU Privacy Guard und KDE Übersicht Authentizität öffentlicher GNU Privacy Guard unter KDE graphische Userinterfaces:, Die dahinter

Mehr

Übungen zu. Grundlagen der Kryptologie SS 2008. Hochschule Konstanz. Dr.-Ing. Harald Vater. Giesecke & Devrient GmbH Prinzregentenstraße 159

Übungen zu. Grundlagen der Kryptologie SS 2008. Hochschule Konstanz. Dr.-Ing. Harald Vater. Giesecke & Devrient GmbH Prinzregentenstraße 159 Übungen zu Grundlagen der Kryptologie SS 2008 Hochschule Konstanz Dr.-Ing. Harald Vater Giesecke & Devrient GmbH Prinzregentenstraße 159 D-81677 München Tel.: +49 89 4119-1989 E-Mail: hvater@htwg-konstanz.de

Mehr

Grundlegende Protokolle

Grundlegende Protokolle Grundlegende Protokolle k.lindstrot@fz-juelich.de Grundlegende Protokolle S.1/60 Inhaltsverzeichnis Einleitung Passwortverfahren Wechselcodeverfahren Challange-and-Response Diffie-Hellman-Schlüsselvereinbarung

Mehr

Verteilte Systeme. 10.1 Unsicherheit in Verteilten Systemen

Verteilte Systeme. 10.1 Unsicherheit in Verteilten Systemen Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten

Mehr

Digitale Signaturen. Proseminar Kryptographie und Datensicherheit SoSe Sandra Niemeyer

Digitale Signaturen. Proseminar Kryptographie und Datensicherheit SoSe Sandra Niemeyer Digitale Signaturen Proseminar Kryptographie und Datensicherheit SoSe 2009 Sandra Niemeyer 24.06.2009 Inhalt 1. Signaturgesetz 2. Ziele 3. Sicherheitsanforderungen 4. Erzeugung digitaler Signaturen 5.

Mehr

Asymmetrische. Verschlüsselungsverfahren. erarbeitet von: Emilia Winkler Christian-Weise-Gymnasium Zittau

Asymmetrische. Verschlüsselungsverfahren. erarbeitet von: Emilia Winkler Christian-Weise-Gymnasium Zittau Asymmetrische Verschlü erarbeitet von: Emilia Winkler Christian-Weise-Gymnasium Zittau Gliederung 1) Prinzip der asymmetrischen Verschlü 2) Vergleich mit den symmetrischen Verschlü (Vor- und Nachteile)

Mehr

Kryptographische Protokolle

Kryptographische Protokolle Kryptographische Protokolle Lerneinheit 7: Diverse Protokolle Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen Sommersemester 2017 18.6.2017 Einleitung Einleitung Inhalt dieser Lerneinheit

Mehr

Kryptografische Protokolle

Kryptografische Protokolle Kryptografische Protokolle Lerneinheit 7: Diverse Protokolle Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen Sommersemester 2016 20.6.2016 Einleitung Einleitung Inhalt dieser Lerneinheit

Mehr

10.6 Authentizität. Geheimhaltung: nur der Empfänger kann die Nachricht lesen

10.6 Authentizität. Geheimhaltung: nur der Empfänger kann die Nachricht lesen 10.6 Authentizität Zur Erinnerung: Geheimhaltung: nur der Empfänger kann die Nachricht lesen Integrität: Nachricht erreicht den Empfänger so, wie sie abgeschickt wurde Authentizität: es ist sichergestellt,

Mehr

Grundfach Informatik in der Sek II

Grundfach Informatik in der Sek II Grundfach Informatik in der Sek II Kryptologie 2 3 Konkrete Anwendung E-Mail- Verschlüsselung From: To: Subject: Unterschrift Date: Sat,

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 26.05.2014 1 / 32 Überblick 1 Hinweis 2 Asymmetrische Authentifikation von Nachrichten Erinnerung RSA als Signaturschema ElGamal-Signaturen Hash-Then-Sign

Mehr

Verschlüsselung. Chiffrat. Eve

Verschlüsselung. Chiffrat. Eve Das RSA Verfahren Verschlüsselung m Chiffrat m k k Eve? Verschlüsselung m Chiffrat m k k Eve? Aber wie verteilt man die Schlüssel? Die Mafia-Methode Sender Empfänger Der Sender verwendet keine Verschlüsselung

Mehr

Kryptographie und Fehlertoleranz für Digitale Magazine

Kryptographie und Fehlertoleranz für Digitale Magazine Stefan Lucks Kryptographie und Fehlertoleranz für digitale Magazine 1 Kryptographie und Fehlertoleranz für Digitale Magazine Stefan Lucks Professur für Mediensicherheit 13. März 2013 Stefan Lucks Kryptographie

Mehr

Stammtisch 04.12.2008. Zertifikate

Stammtisch 04.12.2008. Zertifikate Stammtisch Zertifikate Ein Zertifikat ist eine Zusicherung / Bestätigung / Beglaubigung eines Sachverhalts durch eine Institution in einem definierten formalen Rahmen 1 Zertifikate? 2 Digitale X.509 Zertifikate

Mehr

VIII. Digitale Signaturen

VIII. Digitale Signaturen VIII. Digitale Signaturen Bob Eve Eve möchte - lauschen - ändern - personifizieren Alice 1 Aufgaben - Vertraulichkeit - Lauschen - Authentizität - Tauschen des Datenursprungs - Integrität - Änderung der

Mehr

Das wichtigste Kennzeichen asymmetrischer Verschlüsselungsverfahren ist, dass die Kommunikationspartner dabei anstelle eines

Das wichtigste Kennzeichen asymmetrischer Verschlüsselungsverfahren ist, dass die Kommunikationspartner dabei anstelle eines Prof. Dr. Norbert Pohlmann, Malte Hesse Kryptographie: Von der Geheimwissenschaft zur alltäglichen Nutzanwendung (IV) Asymmetrische Verschlüsselungsverfahren In den letzten Ausgaben haben wir zunächst

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 13.05.2013 1 / 16 Überblick 1 Asymmetrische Verschlüsselung Erinnerung Andere Verfahren Demonstration Zusammenfassung 2 Symmetrische Authentifikation von Nachrichten

Mehr

8. Von den Grundbausteinen zu sicheren Systemen

8. Von den Grundbausteinen zu sicheren Systemen Stefan Lucks 8. Grundb. sich. Syst. 211 orlesung Kryptographie (SS06) 8. Von den Grundbausteinen zu sicheren Systemen Vorlesung bisher: Bausteine für Kryptosysteme. Dieses Kapitel: Naiver Einsatz der Bausteine

Mehr