Konstruktion CPA-sicherer Verschlüsselung
|
|
- Sara Reuter
- vor 5 Jahren
- Abrufe
Transkript
1 Konstrution CPA-sicherer Verschlüsselung Algorithmus Verschlüsselung Π B Sei F eine längenerhaltende, schlüsselabhängige Funtion auf n Bits. Wir definieren Π B = (Gen, Enc, Dec) für Nachrichtenraum M = {0, 1} n. 1 Gen: Wähle R {0, 1} n. 2 Enc: Für m {0, 1} n wähle r R {0, 1} n und berechne c := (r, F (r) m). 3 Dec: Für c = (c 1, c 2 ) {0, 1} n {0, 1} n berechne m := F (c 1 ) c 2. Krypto I - Vorlesung () CPA-sichere Verschlüsselung, PRP, Modes of Operation: ECB, CBC 83 / 181
2 Sicherheit von Π B Satz Sicherheit von Π B Sei F eine Pseudozufallsfuntion. Dann ist Π B CPA-sicher. Intuition: F (r) ist nicht unterscheidbar von n-bit Zufallsstring. D.h. in der zweiten Komponente ist die Verteilung ununterscheidbar von einem One-Time Pad. Beweis: Vorsicht: Benötigen, dass r nicht wiederverwendet wird. Sei A ein CPA-Angreifer mit Vorteil ɛ(n). Konstruieren mittels A einen Unterscheider D für F ( ) und f ( ). Krypto I - Vorlesung () CPA-sichere Verschlüsselung, PRP, Modes of Operation: ECB, CBC 84 / 181
3 Unterscheider D Algorithmus Unterscheider D EINGABE: 1 n, O : {0, 1} n {0, 1} n (mit O = F ( ) oder O = f ( )) 1 Beantworte Verschlüsselungsanfragen Enc (m i ) von A wie folgt: Wähle r i R {0, 1} n und sende (r i, O(r i ) m) an A. 2 Beantworte Challenge (m 0, m 1 ) von A wie folgt: Wähle r R {0, 1} n, b R {0, 1} und sende (r, O(r) m b ) an A. 3 Erhalte nach weiteren Verschlüsselsanfragen von A Bit b. { 1 falls b = b, Interpretation: O = F ( ) AUSGABE: =. 0 sonst, Interpretation: O = f ( ) Fall 1: O = F ( ), d.h. wir verwenden eine Pseudozufallsfuntion. Dann ist die Verteilung von A identisch zu Π B. Damit gilt Ws[D F ( ) (1 n ) = 1] = Ws[PrivK cpa A,Π B (n) = 1] = ɛ(n). Krypto I - Vorlesung () CPA-sichere Verschlüsselung, PRP, Modes of Operation: ECB, CBC 85 / 181
4 Unterscheider D 1 n Unterscheider D 1 n A r i O(r i ) r i R {0, 1} n c i = (r i, O(r i ) m i ) m i c i m i M für i = 1,..., q r O(r) r R {0, 1} n b R {0, 1} c = (r, O(r) m b ) (m 0, m 1 ) c m 0, m 1 M m i Ausgabe Ausgabe: { 1 if b = b 0 else c i b b {0, 1} Krypto I - Vorlesung () CPA-sichere Verschlüsselung, PRP, Modes of Operation: ECB, CBC 86 / 181
5 Verwenden einer echten Zufallsfuntion Fall 2: O = f ( ), d.h. wir verwenden eine echte Zufallsfuntion. Sei Π das Protooll Π B unter Verwendung von f ( ) statt F ( ). Sei Repeat das Ereignis, dass r in einer der Verschlüsselungsanfragen verwendet wurde. Für alle Angreifer A gilt Ws[PrivK cpa A,Π (n) = 1] = Ws[PrivK cpa A,Π (n) = 1 Repeat] + Ws[PrivK cpa A,Π (n) = 1 Repeat] Ws[Repeat] + Ws[PrivK cpa A,Π (n) = 1 Repeat] Ein ppt Angreifer A stelle insgesamt polynomiell viele Anfragen. Sei q(n) die Anzahl der Anfragen. Dann gilt Ws[Repeat] = Ws[r = r 1... r = r q ] Ws[r = r 1 ] Ws[r = r q ] = q 2 = negl(n). n Krypto I - Vorlesung () CPA-sichere Verschlüsselung, PRP, Modes of Operation: ECB, CBC 87 / 181
6 Fall 2: (Fortsetzung) Aufgrund der perfeten Sicherheit des One-Time Pads gilt Ws[PrivK cpa A,Π (n) = 1 Repeat] = 1 2. Es folgt Ws[D f ( ) (1 n ) = 1] = Ws[PrivK cpa A,Π (n) = 1] negl(n). Aus der Pseudozufälligeit von F folgt insgesamt negl(n) Ws[D F ( ) (1 n ) = 1] Ws[D f ( ) (1 n ) = 1]. }{{}}{{} 1 2 +ɛ(n) 1 2 +negl(n) Es folgt ɛ negl(n) für alle polynomiellen Angreifer A. Krypto I - Vorlesung () CPA-sichere Verschlüsselung, PRP, Modes of Operation: ECB, CBC 88 / 181
7 Nachrichten beliebiger Länge Algorithmus Verschlüsselung Π B Sei F eine längenerhaltende, schlüsselabhängige Funtion auf n Bits. Wir definieren Π B = (Gen, Enc, Dec) für Nachrichtenraum M = {0, 1}. 1 Gen: Wähle R {0, 1} n. 2 Enc: Für m = m 1... m l mit m i {0, 1} n wähle r 1,... r l mit r i R {0, 1} n und berechne c := (r 1,..., r l, F (r 1 ) m 1,..., F (r l ) m l ). 3 Dec: Für c = (c 1,..., c 2l ) ({0, 1} n ) 2l berechne m := F (c 1 ) c l+1... F (c l ) F (c 2l ). Krypto I - Vorlesung () CPA-sichere Verschlüsselung, PRP, Modes of Operation: ECB, CBC 89 / 181
8 CPA-Sicherheit von Π B Satz CPA-Sicherheit von Π B Sei F eine Pseudozufallsfuntion. Dann ist Π B CPA-sicher. Beweis: Aus der CPA-Sicherheit von Π B folgt die mult-cpa Sicherheit von Π B und damit die CPA-Sicherheit von Π B. Nachteil: Chiffretexte sind doppelt so lang wie Klartexte (Nachrichtenexpansion 2). Krypto I - Vorlesung () CPA-sichere Verschlüsselung, PRP, Modes of Operation: ECB, CBC 90 / 181
9 Pseudozufallspermutationen Definition schlüsselabhängige Permutation Seien F, F 1 pt Algorithmen. F heißt schlüsselabhängige Permutation auf n Bits falls 1 F berechnet eine Funtion {0, 1} m {0, 1} n {0, 1} n, so dass für alle {0, 1} m die Funtion F ( ) eine Bijetion ist. 2 F 1 ( ) berechnet die Umehrfuntion von F ( ). Definition Pseudozufallspermutation Sei F eine schlüsselabhängige Permutation auf n Bits. Wir bezeichnen F als Pseudozufallspermutation, falls für alle ppt D gilt Ws[D F ( ) (1 n ) = 1] Ws[D f ( ) (1 n ) = 1] negl(n), mit R {0, 1} m und f R Perm n, wobei Perm n die Menge aller Permutationen auf n Bits ist. Krypto I - Vorlesung () CPA-sichere Verschlüsselung, PRP, Modes of Operation: ECB, CBC 91 / 181
10 Stare Pseudozufallspermutationen Satz Pseudozufallspermutationen und Pseudozufallsfuntionen Jede Pseudozufallspermutation ist eine Pseudozufallsfuntion. Beweis: Übung. Definition Stare Pseudozufallspermutation (Blocchiffre) Sei F eine schlüsselabhängige Permutation auf n Bits. Wir bezeichnen F als stare Pseudozufallspermutation (Blocchiffre), falls für alle ppt D gilt Ws[D F ( ),F 1 ( ) (1 n ) = 1] Ws[D f ( ),f 1 ( ) (1 n ) = 1] negl(n), mit R {0, 1} n und f R Perm n. Krypto I - Vorlesung () CPA-sichere Verschlüsselung, PRP, Modes of Operation: ECB, CBC 92 / 181
11 Konstrution von (staren) PRPs Algorithmus Feistelnetzwer F (r) mit r Runden EINGABE: n, r 0, x {0, 1} n, ({0, 1} n ) r 1 Sei = 1,..., r mit i {0, 1} n. 2 Setze (L 0 R 0 ) := x mit L 0, R 0 {0, 1} n 2. 3 For i = 1 to r Setze Li := R i 1 und R i := L i 1 F i (R i 1 ). AUSGABE: F (r) (x) := (L r R r ) Invertierung einer Feisteliteration: R i 1 := L i und L i 1 := R i F i (L i ). Fat Sei F eine Pseudozufallsfuntion. Dann ist F (3) eine Pseudozufallspermutations und F (4) eine stare Pseudozufallspermutation (Blocchiffre). Krypto I - Vorlesung () CPA-sichere Verschlüsselung, PRP, Modes of Operation: ECB, CBC 93 / 181
12 Blocchiffren als ryptographische Primitive Anmerungen: Blocchiffren Pratische Realisierungen von staren Pseudozufallspermutationen bezeichnet man als Blocchiffren. Wir haben gesehen, dass Blocchiffren F ( ) zur Konstrution CPA-sicherer Verschlüsselung verwendet werden önnen. Vorsicht: Blocchiffren selbst sind eine sicheren Verschlüsselungsverfahren. c := F (m) ist eine deterministische, unsichere Verschlüsselung. D.h. wir benötigen einen Randomisierungsprozess bei Enc. Bsp: DES (Data Encryption Standard, 1976) F : {0, 1} 56 {0, 1} 64 {0, 1} 64 Problem des zu leinen Schlüsselraums bester beannter KPA Angriff mit 2 43 Klartexten AES (Advanced Encryption Standard, 2002) F : {0, 1} {0, 1} 128 {0, 1} 128 mit {128, 192, 256} bester beannter KPA Angriff für = 128 hat Komplexität Krypto I - Vorlesung () CPA-sichere Verschlüsselung, PRP, Modes of Operation: ECB, CBC 94 / 181
13 Modes of Operation Electronic Code Boo (ECB) Ziel: Verschlüsseln von Nachrichten m = m 1... m l ({0, 1} n ) l mittels Blocchiffre unter Verwendung leiner Nachrichtenexpansion. Algorithmus Electronic Code Boo (ECB) Modus 1 Enc: c := (F (m 1 ),..., F (m l )) 2 Dec: m := F 1 (c 1 ),..., F 1 (m l ) Nachteil: Enc ist deterministisch, d.h. ECB ist nicht mult-kpa sicher. Daher sollte der ECB Modus nie verwendet werden. Krypto I - Vorlesung () CPA-sichere Verschlüsselung, PRP, Modes of Operation: ECB, CBC 95 / 181
14 ECB m 1 m 2 m l F F F c 1 c 2 c l F 1 F 1 F 1 m 1 m 2 m l Krypto I - Vorlesung () CPA-sichere Verschlüsselung, PRP, Modes of Operation: ECB, CBC 96 / 181
15 Modes of Operation Cipher Bloc Chaining (CBC) Algorithmus Cipher Bloc Chaining (CBC) Modus 1 Enc: Wähle Initialisierungsvetor c 0 := IV R {0, 1} n. Berechne c i := F (c i 1 m i ) für i = 1,..., l. 2 Dec: Für c = (c 0, c 1,..., c l ) berechne m i := F 1 (c i ) c i 1 für i = 1,..., l. Vorteile: CPA-Sicherheit von CBC ann gezeigt werden. Nachrichtenexpansion ist l+1 l. Nachteil: Verschlüsselung muss sequentiell durchgeführt werden. Krypto I - Vorlesung () CPA-sichere Verschlüsselung, PRP, Modes of Operation: ECB, CBC 97 / 181
16 CBC m 1 m 2 m l IV F F... F c 1 c 2 c l F 1 F 1 F 1 m 1 m 2 m l Krypto I - Vorlesung () CPA-sichere Verschlüsselung, PRP, Modes of Operation: ECB, CBC 98 / 181
Stromchiffre. Algorithmus Stromchiffre
Stromchiffre Algorithmus Stromchiffre Sei G ein Pseudozufallsgenerator mit Expansionsfaktor l(n). Wir definieren Π s = (Gen, Enc, Dec) mit Sicherheitsparameter n für Nachrichten der Länge l(n). 1 Gen:
MehrStromchiffre. Algorithmus Stromchiffre
Stromchiffre Algorithmus Stromchiffre Sei G ein Pseudozufallsgenerator mit Expansionsfaktor l(n). Wir definieren Π s = (Gen, Enc, Dec) mit Sicherheitsparameter n für Nachrichten der Länge l(n). 1 Gen:
MehrHardcore-Prädikat. Definition Hardcore-Prädikat. Ziel: Destilliere Komplexität des Invertierens auf ein Bit.
Hardcore-Prädikat Ziel: Destilliere Komplexität des Invertierens auf ein Bit. Definition Hardcore-Prädikat Sei Π f eine Einwegfunktion. Sei hc ein deterministischer pt Alg mit Ausgabe eines Bits hc(x)
MehrDefinition Message Authentication Code (MAC) Ein Message Authentication Code (MAC) bzgl. des Nachrichtenraumen M besteht aus den ppt Alg.
Message Authentication Code (MAC) Szenario: Integrität und Authentizität mittels MACs. Alice und Bob besitzen gemeinsamen Schlüssel k. Alice berechnet für m einen MAC-Tag t als Funktion von m und k. Alice
MehrUnunterscheidbarkeit von Chiffretexten
Ununterscheidbarkeit von Chiffretexten Spiel Ununterscheidbarkeit von Chiffretexten PrivK eav A,Π (n) Sei Π ein Verschlüsselungsverfahren und A ein Angreifer. (m 0, m ) A. 2 k Gen( n ). 3 Wähle b R {0,
MehrHybride Verschlüsselungsverfahren
Hybride Verschlüsselungsverfahren Ziel: Flexibilität von asym. Verfahren und Effizienz von sym. Verfahren. Szenario: Sei Π = (Gen, Enc, Dec) ein PK-Verschlüsselungsverfahren und Π = (Gen, Enc, Dec ) ein
MehrExistenz von Einwegfunktionen
Existenz von Einwegfunktionen Satz Einweg-Eigenschaft von f FO Unter der Faktorisierungsannahme ist f FO eine Einwegfunktion. Beweis: f FO ist mittels FACTOR-ONEWAY effizient berechenbar. z.z.: Invertierer
MehrUnunterscheidbarkeit von Chiffretexten
Ununterscheidbarkeit von Chiffretexten Spiel Ununterscheidbarkeit von Chiffretexten PrivK eav A,Π (n) Sei Π ein Verschlüsselungsverfahren und A ein Angreifer. 1 (m 0, m 1 ) A. 2 k Gen(1 n ). 3 Wähle b
MehrUnunterscheidbarkeit von Chiffretexten
Ununterscheidbarkeit von Chiffretexten Spiel Ununterscheidbarkeit von Chiffretexten PrivK eav A,Π (n) Sei Π ein Verschlüsselungsverfahren und A ein Angreifer. 1 (m 0, m 1 ) A. 2 k Gen(1 n ). 3 Wähle b
MehrPrinzipien der modernen Kryptographie Sicherheit
Prinzipien der modernen Kryptographie Sicherheit Prinzip 1 Sicherheitsziel Die Sicherheitsziele müssen präzise definiert werden. Beispiele für ungenügende Definitionen von Sicherheit: Kein Angreifer kann
MehrEinwegfunktionen Ziel: CPA-sichere Verschlüsselung aus Trapdoor-Einwegpermutation Später: CCA-sichere Verschlüsselung aus Trapdoor-Einwegperm.
Einwegfunktionen Ziel: CPA-sichere Verschlüsselung aus Trapdoor-Einwegpermutation Später: CCA-sichere Verschlüsselung aus Trapdoor-Einwegperm. Spiel Invertieren Invert A,f (n) Sei f : 0, 1} 0, 1} effizient
MehrPrinzip 2 Präzisierung der Annahmen
Prinzip 2 Präzisierung der Annahmen Prinzip 2 Komplexitätsannahme Es muss spezifiziert werden, unter welchen Annahmen das System als sicher gilt. Eigenschaften: Angriffstyp COA, KPA, CPA oder CCA muss
MehrKryptographie I Symmetrische Kryptographie
Kryptographie I Symmetrische Kryptographie Alexander May Fakultät für Mathematik Ruhr-Universität Bochum Wintersemester 2010/11 Krypto I - Vorlesung 01-11.10.2010 Verschlüsselung, Kerckhoffs, Angreifer,
MehrPrinzipien der modernen Kryptographie Sicherheit
Prinzipien der modernen Kryptographie Sicherheit Prinzip 1 Sicherheitsmodell Das Sicherheitsmodell (Berechnungsmodell, Angriffstypen, Sicherheitsziele) muss präzise definiert werden. Berechnungsmodell:
MehrPrinzipien der modernen Kryptographie Sicherheit
Prinzipien der modernen Kryptographie Sicherheit Prinzip 1 Sicherheitsziel Die Sicherheitsziele müssen präzise definiert werden. Beispiele für ungenügende Definitionen von Sicherheit Kein Angreifer kann
MehrKryptographie I Symmetrische Kryptographie
Kryptographie I Symmetrische Kryptographie Alexander May Fakultät für Mathematik Ruhr-Universität Bochum Wintersemester 2012/13 Krypto I - Vorlesung 01-08.10.2012 Verschlüsselung, Kerckhoffs, Angreifer,
MehrSicherheit von ElGamal
Sicherheit von ElGamal Satz CPA-Sicherheit ElGamal ElGamal Π ist CPA-sicher unter der DDH-Annahme. Beweis: Sei A ein Angreifer auf ElGamal Π mit Erfolgsws ɛ(n) := Ws[PubK cpa A,Π (n) = 1]. Wir konstruieren
MehrKryptographie I Symmetrische Kryptographie
Kryptographie I Symmetrische Kryptographie Alexander May Fakultät für Mathematik Ruhr-Universität Bochum Wintersemester 2013/14 Krypto I - Vorlesung 01 Verschlüsselung, Kerckhoffs, Angreifer, klassische
MehrErinnerung Blockchiffre
Erinnerung Blockchiffre Definition schlüsselabhängige Permutation Seien F, F 1 pt Algorithmen. F heißt schlüsselabhängige Permutation auf l Bits falls 1 F berechnet eine Funktion {0, 1} n {0, 1} l {0,
MehrErinnerung Blockchiffre
Erinnerung Blockchiffre Definition schlüsselabhängige Permutation Seien F, F 1 pt Algorithmen. F heißt schlüsselabhängige Permutation auf l Bits falls 1 F berechnet eine Funktion {0, 1} n {0, 1} l {0,
MehrCPA-Sicherheit ist ungenügend
CPA-Sicherheit ist ungenügend Definition CCA CCA (=Chosen Ciphertext Attack) ist ein Angriff, bei dem der Angreifer sich Chiffretext seiner Wahl entschlüsseln lassen kann. Beispiele in denen CPA nicht
MehrHomomorphe Verschlüsselung
Homomorphe Verschlüsselung Definition Homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : G G für Gruppen G, G. Π heißt homomorph, falls Enc(m 1 ) G Enc(m 2 ) eine gültige Verschlüsselung
MehrErinnerung Blockchiffre
Erinnerung Blockchiffre Definition schlüsselabhängige Permutation Seien F, F 1 pt Algorithmen. F heißt schlüsselabhängige Permutation auf l Bits falls 1 F berechnet eine Funktion {0, 1} n {0, 1} l {0,
MehrHashfunktionen und Kollisionen
Hashfunktionen und Kollisionen Definition Hashfunktion Eine Hashfunktion ist ein Paar (Gen, H) von pt Algorithmen mit 1 Gen: s Gen(1 n ). Gen ist probabilistisch. 2 H: H s berechnet Funktion {0, 1} {0,
MehrKryptographie I Symmetrische Kryptographie
Kryptographie I Symmetrische Kryptographie Eike Kiltz 1 Fakultät für Mathematik Ruhr-Universität Bochum Wintersemester 2011/12 1 Basierend auf Folien von Alexander May. Krypto I - Vorlesung 01-10.10.2011
MehrKryptographie I Symmetrische Kryptographie
Kryptographie I Symmetrische Kryptographie Alexander May Fakultät für Mathematik Ruhr-Universität Bochum Wintersemester 2015/16 Krypto I - Vorlesung 01 Verschlüsselung, Kerckhoffs, Angreifer, klassische
MehrHow To Play The Game Of "Privk
Kryptographie I Symmetrische Kryptographie Alexander May Fakultät für Mathematik Ruhr-Universität Bochum Wintersemester 2016/17 Krypto I - Vorlesung 01 Verschlüsselung, Kerckhoffs, Angreifer, klassische
MehrKryptographie I Symmetrische Kryptographie
Kryptographie I Symmetrische Kryptographie Alexander May Fakultät für Mathematik Ruhr-Universität Bochum Wintersemester 2009/10 Krypto I - Vorlesung 01-12.10.2009 Verschlüsselung, Kerckhoffs, Angreifer,
MehrII.1 Verschlüsselungsverfahren
II.1 Verschlüsselungsverfahren Definition 2.1 Ein Verschlüsselungsverfahren ist ein 5-Tupel (P,C,K,E,D), wobei 1. P die Menge der Klartexte ist. 2. C die Menge der Chiffretexte ist. 3. K die Menge der
MehrSicherer MAC für Nachrichten beliebiger Länge
Sicherer MAC für Nachrichten beliebiger Länge Korollar Sicherer MAC für Nachrichten beliebiger Länge Sei F eine Pseudozufallsfunktion. Dann ist Π MAC2 für Π = Π MAC sicher. Nachteile: Für m ({0, 1} n 4
MehrKryptographie I Symmetrische Kryptographie
Kryptographie I Symmetrische Kryptographie Alexander May Fakultät für Mathematik Ruhr-Universität Bochum Wintersemester 2012/13 Krypto I - Vorlesung 01-08.10.2012 Verschlüsselung, Kerckhoffs, Angreifer,
MehrZiel: Zertifiziere Pfad von Wurzel zu m mittels Signaturen. Signieren Public-Keys auf Pfad inklusive der Nachbarknoten.
Merkle-Baum Idee: Konstruktion von Merkle-Bäumen Ersetze Signaturkette durch Baum (sogenannter Merkle-Baum). Verwenden Baum der Tiefe n für Nachrichten der Länge n. Die Wurzel erhält Label ɛ. Die Kinder
MehrSicherheit von hybrider Verschlüsselung
Sicherheit von hybrider Verschlüsselung Satz Sicherheit hybrider Verschlüsselung Sei Π ein CPA-sicheres PK-Verschlüsselungsverfahren und Π ein KPA-sicheres SK-Verschlüsselungsverfahren. Dann ist das hybride
MehrSocrative-Fragen aus der Übung vom
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Übungsleiter: Björn Kaidel, Alexander Koch Stammvorlesung Sicherheit im Sommersemester 2016 Socrative-Fragen aus der Übung vom 28.04.2016
MehrRabin Verschlüsselung 1979
Rabin Verschlüsselung 1979 Idee: Rabin Verschlüsselung Beobachtung: Berechnen von Wurzeln in Z p ist effizient möglich. Ziehen von Quadratwurzeln in Z N ist äquivalent zum Faktorisieren. Vorteil: CPA-Sicherheit
MehrKryptographie I Symmetrische Kryptographie
Kryptographie I Symmetrische Kryptographie Eike Kiltz 1 Fakultät für Mathematik Ruhr-Universität Bochum Wintersemester 2011/12 1 Basierend auf Folien von Alexander May. Krypto I - Vorlesung 01-10.10.2011
MehrSicherheit von Π MAC2
Scherhet von Π MAC2 Satz Scherhet von Π MAC2 Se Π scher. Dann st Π MAC2 ebenfalls scher. Bewes: Se A en Angrefer für Π MAC2 mt Erfolgsws ɛ(n). Wr konstrueren enen Angrefer A für Π. Algorthmus Angrefer
MehrSicherheit von Merkle Signaturen
Sicherheit von Merkle Signaturen Algorithmus Angreifer A für die Einwegsignatur EINGABE: pk, Zugriff auf eine Anfrage an Orakel Sign sk ( ) 1 Berechne (pk (i), sk (i) ) Gen(1 n ) für i = 1,...,l. Wähle
MehrElGamal Verschlüsselungsverfahren (1984)
ElGamal Verschlüsselungsverfahren (1984) Definition ElGamal Verschlüsselungsverfahren Sei n ein Sicherheitsparameter. 1 Gen : (q, g) G(1 n ), wobei g eine Gruppe G der Ordnung q generiert. Wähle x R Z
MehrVoll homomorpe Verschlüsselung
Voll homomorpe Verschlüsselung Definition Voll homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : R R für Ringe R, R. Π heißt voll homomorph, falls 1 Enc(m 1 ) + Enc(m 2 ) eine gültige
MehrBeliebige Anzahl von Signaturen
Beliebige Anzahl von Signaturen Algorithmus Signaturketten Sei Π = (Gen, Sign, Vrfy) ein Einwegsignaturverfahren. 1 Gen : (pk 1, sk 1 ) Gen(1 n ) 2 Sign : Signieren der Nachricht m i. Verwende gemerkten
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Vorlesung 4 Alexander Koch (Vertretung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 KIT 2015-11-12 Universität desalexander Landes Baden-Württemberg
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Vorlesung 4 Alexander Koch (Vertretung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-11-10 Alexander Koch Asymmetrische Verschlüsselungsverfahren
MehrRSA Full Domain Hash (RSA-FDH) Signaturen
RSA Full Domain Hash (RSA-FDH) Signaturen Signatur RSA-FDH Sei H : {0, 1} Z N ein Random-Oracle. 1 Gen: (N, e, d) GenRSA(1 n ) mit pk = (N, e) und sk = (N, d). 2 Sign: Für eine Nachricht m {0, 1} berechne
MehrMerkle-Damgard Transformation
Merkle-Damgard Transformation Ziel: Konstruiere H : {0, 1} {0, 1} l aus h : {0, 1} 2l {0, 1} l. Algorithmus Merkle-Damgard Konstruktion Sei (Gen, h) eine kollisionsresistente Hashfunktion mit h : {0, 1}
MehrKryptographie I Symmetrische Kryptographie
Kryptographie I Symmetrische Kryptographie Eike Kiltz 1 Fakultät für Mathematik Ruhr-Universität Bochum Wintersemester 2014/15 1 Basierend auf Folien von Alexander May. Krypto - Vorlesung 01-6.10.2014
MehrÜbung zur Vorlesung Sicherheit Übungsblatt 2. Alexander Koch Björn Kaidel
Übung zur Vorlesung Sicherheit 07.05.2014 Übungsblatt 2 Alexander Koch alexander.koch@kit.edu Björn Kaidel bjoern.kaidel@kit.edu 1 / 32 Kummerkasten In der Übung lauter und deutlicher sprechen: Wir geben
MehrAlice (A) und Bob (B) wollen sicher kommunizieren (vgl. Schutzziele) Oskar (O) versucht, die Schutzziele zu durchbrechen
Vorlesung am 21.04.2015 3 Symmetrische Verschlüsselung Alice (A) und Bob (B) wollen sicher kommunizieren (vgl. Schutzziele) Oskar (O) versucht, die Schutzziele zu durchbrechen Passiver Angri : Abhören
MehrÜbung zur Vorlesung Sicherheit Übungsblatt 2. Alexander Koch Björn Kaidel
Übung zur Vorlesung Sicherheit 07.05.2014 Übungsblatt 2 Alexander Koch alexander.koch@kit.edu Björn Kaidel bjoern.kaidel@kit.edu 1 / 32 Kummerkasten In der Übung lauter und deutlicher sprechen: Wir geben
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 25.04.2013 1 / 19 Überblick 1 Blockchiffren Erinnerung Beispiel: AES Angriffe auf Blockchiffren 2 Formalisierung von Sicherheit (symmetrischer Verschlüsselung)
MehrEinführung in die. Kryptographie WS 2016/ Lösungsblatt
Technische Universität Darmstadt Fachgebiet Theoretische Informatik Prof. Johannes Buchmann Thomas Wunderer Einführung in die Kryptographie WS 6/ 7. Lösungsblatt 8..6 Ankündigungen Arithmetik modulo n
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 17.04.2014 1 / 26 Logistisches Überschneidungsfreiheit Vorlesung: nachfragen Übungsblatt nicht vergessen Frage: Wie viele würden korrigiertes Übungsblatt nutzen?
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 08.05.2017 1 / 32 Überblick 1 Blockchiffren Erinnerung Varianten von DES Beispiel: AES Angriffe auf Blockchiffren 2 Formalisierung von Sicherheit (symmetrischer
MehrKryptographie I Symmetrische Kryptographie
Kryptographie I Symmetrische Kryptographie Alexander May Fakultät für Mathematik Ruhr-Universität Bochum Wintersemester 2010/11 Krypto I - Vorlesung 01-11.10.2010 Verschlüsselung, Kerckhoffs, Angreifer,
MehrDie (Un-)Sicherheit von DES
Die (Un-)Sicherheit von DES Sicherheit von DES: Bester praktischer Angriff ist noch immer die Brute-Force Suche. Die folgende Tabelle gibt eine Übersicht über DES Kryptanalysen. Jahr Projekt Zeit 1997
MehrKryptographie II Asymmetrische Kryptographie
Kryptographie II Asymmetrische Kryptographie Alexander May Fakultät für Mathematik Ruhr-Universität Bochum Wintersemester 2017/18 Krypto II - Vorlesung 01 Schlüsselverteil-Center, Diffie-Hellman Schlüsselaustausch
MehrInstitut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Nachklausur Hinweise
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2016 Nachklausur 12.10.2016 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung
MehrDer komplexitätstheoretische Zugang zur Kryptographie
Der komplexitätstheoretische Zugang zur Kryptographie Claus Diem Im Wintersemester 2017 / 18 Literatur Oded Goldreich: Foundations of Cryptography Jonathan Katz & Yeduda Lindell: Intoduction to Modern
MehrRSA Full Domain Hash (RSA-FDH) Signaturen
RSA Full Domain Hash (RSA-FDH) Signaturen Signatur RSA-FDH Sei H : {0, 1} Z N ein Random-Oracle. 1 Gen: (N, e, d) GenRSA(1 n ) mit pk = (N, e) und sk = (N, d). 2 Sign: Für eine Nachricht m {0, 1} berechne
MehrInstitut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Nachklausur. Lösung Hinweise
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2016 Nachklausur Lösung 12.10.2016 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung
MehrInstitut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Klausur Hinweise
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Klausur 21.07.2015 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen
MehrInstitut für Theoretische Informatik Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Klausur. Lösung
Institut für Theoretische Informatik Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2017 Klausur Lösung 02.08.2017 Vorname: Nachname: Matrikelnummer: Klausur-ID: Hinweise - Schreiben
MehrHomomorphe Verschlüsselung
Homomorphe Verschlüsselung Definition Homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : G G für Gruppen G, G. Π heißt homomorph, falls Enc(m 1 ) G Enc(m 2 ) eine gültige Verschlüsselung
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Björn Kaidel - Vertretung für Prof. J. Müller-Quade (Folien von A. Koch) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 17.11.2016 Björn Kaidel
MehrKryptographie für CTFs
Kryptographie für CTFs Eine Einführung KIT Die Forschungsuniversität in der Helmholtz-Gemeinschaft www.kitctf.de Einführung Cryptography is the practice and study of techniques for secure communication
MehrProjekt u23 Symmetrische Kryptografie, Betriebsmodi von Blockchiffren
Symmetrische Kryptografie Betriebsmodi von Blockchiffren und was man sonst damit machen kann Martin e.v. https://koeln.ccc.de 12. Oktober 2015 Definition Krypto-System Tupel (M, C, K, E, D) Message, Ciphertext,
MehrKryptographie für CTFs
Kryptographie für CTFs Eine Einführung KIT Die Forschungsuniversität in der Helmholtz-Gemeinschaft www.kitctf.de Einführung Cryptography is the practice and study of techniques for secure communication
MehrGrundlagen der Verschlüsselung und Authentifizierung (1)
Grundlagen der Verschlüsselung und Authentifizierung (1) Proseminar im SS 2010 Friedrich-Alexander-Universität Erlangen-Nürnberg 18.05.2010 1 Motivation
MehrBeweisbar sichere Verschlüsselung
Beweisbar sichere Verschlüsselung ITS-Wahlpflichtvorlesung Dr. Bodo Möller Ruhr-Universität Bochum Horst-Görtz-Institut für IT-Sicherheit Lehrstuhl für Kommunikationssicherheit bmoeller@crypto.rub.de 1
MehrBetriebssysteme und Sicherheit Sicherheit. Florian Kerschbaum TU Dresden Wintersemester 2011/12
Betriebssysteme und Sicherheit Sicherheit Florian Kerschbaum TU Dresden Wintersemester 2011/12 Begriffe Kryptographie: Geheimschrift Nachrichten schreiben ohne das sie von einem Anderen gelesen (verändert)
MehrÜbung zur Vorlesung Sicherheit Übungsblatt 2. Alexander Koch Björn Kaidel
Übung zur Vorlesung Sicherheit 07.05.2014 Übungsblatt 2 Alexander Koch alexander.koch@kit.edu Björn Kaidel bjoern.kaidel@kit.edu 1 / 39 Werbung: KASTEL-Zertifikat Nachweis für Spezialisierung in IT-Sicherheit
MehrÜbung zur Vorlesung Sicherheit Übungsblatt 2. Alexander Koch Björn Kaidel
Übung zur Vorlesung Sicherheit 07.05.2014 Übungsblatt 2 Alexander Koch alexander.koch@kit.edu Björn Kaidel bjoern.kaidel@kit.edu 1 / 39 Werbung: KASTEL-Zertifikat Nachweis für Spezialisierung in IT-Sicherheit
MehrAllgemeiner Aufbau der Information
Inhalt Definition Allgemeiner Aufbau der Information Arbeitsweise Unterschiedliche Arten Kryptographische Modi Definition Verschlüsselungsverfahren Plaintext wird in gleichlange Blöcke zerlegt immer mit
MehrInstitut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Klausur Hinweise
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Klausur 22.07.2014 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen
MehrName:... Vorname:... Matrikel-Nr.:... Studienfach:...
Christian Forler DHBW Mosbach 2. April 2015 Klausur Name:.............................. Vorname:........................... Matrikel-Nr.:....................... Studienfach:........................ Wichtige
MehrEffizienten MAC-Konstruktion aus der Praxis: NMAC Idee von NMAC:
Effizienten MAC-Konstruktion aus der Praxis: NMAC Idee von NMAC: Hashe m {0, 1} auf einen Hashwert in {0, 1} n. Verwende Π MAC3 für Nachrichten fixer Länge auf dem Hashwert. Wir konstruieren Π MAC3 mittels
MehrName:... Vorname:... Matrikel-Nr.:... Studienfach:...
Stefan Lucks Medien Bauhaus-Univ. Weimar Probeklausur Name:.............................. Vorname:........................... Matrikel-Nr.:....................... Studienfach:........................ Wichtige
MehrPseudozufallsfunktionen (PRF) Kapitel 3
Pseudozufallsfunktionen (PRF) Kapitel 3 Motivation Verschlüsselung eines Dateisystems durch PRG: PRG G(x) Entschlüsselung: berechne aus x entsprechende Generator-Ausgabe Aber: Entschlüsselung der letzten
MehrKryptographie II Asymmetrische Kryptographie
Kryptographie II Asymmetrische Kryptographie Christopher Wolf Fakultät für Mathematik Ruhr-Universität Bochum Sommersemester 2010 Krypto II - Vorlesung 01-14.04.2010 () Schlüsselverteil-Center, Diffie-Hellman
MehrDigitale Signaturen. RSA-FDH & das Random Oracle Model Jiaxin Pan (Slides from Björn Kaidel and Gunnar Hartung)
Digitale Signaturen RSA-FDH & das Random Oracle Model Jiaxin Pan (Slides from Björn Kaidel and Gunnar Hartung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2018-10-26 B. Kaidel Digitale
MehrKryptographie II Asymmetrische Kryptographie
Kryptographie II Asymmetrische Kryptographie Christopher Wolf Fakultät für Mathematik Ruhr-Universität Bochum Sommersemester 2010 Krypto II - Vorlesung 01-14.04.2010 () Schlüsselverteil-Center, Diffie-Hellman
MehrÜbung zur Vorlesung. Sicherheit Übungsblatt 5 Björn Kaidel
Übung zur Vorlesung Sicherheit 30.06.2016 Übungsblatt 5 Björn Kaidel bjoern.kaidel@kit.edu https://b.socrative.com/login/student/ Room: SICHERHEIT Bitte gleich einloggen! 1 / 55 Evaluation (siehe Evaluations-PDF)
MehrDigitale Signaturen. RSA-FDH & das Random Oracle Model Björn Kaidel (mit Folien von Gunnar Hartung)
Digitale Signaturen RSA-FDH & das Random Oracle Model Björn Kaidel (mit Folien von Gunnar Hartung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-12-01 B. Kaidel Digitale Signaturen:
MehrHashfunktionen und MACs
3. Mai 2006 Message Authentication Code MAC: Message Authentication Code Was ist ein MAC? Der CBC-MAC Der XOR-MAC Kryptographische Hashfunktionen Iterierte Hashfunktionen Message Authentication Code Nachrichten
Mehr9.5 Blockverschlüsselung
9.5 Blockverschlüsselung Verschlüsselung im Rechner: Stromverschlüsselung (stream cipher): kleine Klartexteinheiten (Bytes, Bits) werden polyalphabetisch verschlüsselt Blockverschlüsselung (block cipher):
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 15.04.2013 1 / 29 Überblick 1 Sicherheit 2 Struktur der Vorlesung 3 Symmetrische Verschlüsselung Ziel Geheime Verfahren Kerckhoffs Prinzip Cäsar Vigenère Weitere
MehrInstitut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Nachklausur
Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz IKS Institut für Kryptographie und Sicherheit Stammvorlesung Sicherheit im Sommersemester 2013 Nachklausur 07.10.2013 Vorname: Nachname:
MehrDas Rucksackproblem. Definition Sprache Rucksack. Satz
Das Rucksackproblem Definition Sprache Rucksack Gegeben sind n Gegenstände mit Gewichten W = {w 1,...,w n } N und Profiten P = {p 1,...,p n } N. Seien ferner b, k N. RUCKSACK:= {(W, P, b, k) I [n] : i
MehrInstitut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester 2013.
Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz IKS Institut für Kryptographie und Sicherheit Stammvorlesung Sicherheit im Sommersemester 2013 Übungsblatt 2 Aufgabe 1. Wir wissen,
MehrKryptologie. Bernd Borchert. Univ. Tübingen, SS Vorlesung. Doppelstunde 3
Kryptologie Bernd Borchert Univ. Tübingen, SS 2017 orlesung Doppelstunde 3 isuelle Kryptographie Sie sehen an den mitgebrachten Folien: + = HALLO! Man kann es aber auch so sehen: die Information wird in
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 12.05.2014 1 / 26 Überblick 1 Hashfunktionen Erinnerung Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel:
MehrVorlesung Sicherheit
Vorlesung Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 23.05.2016 1 / 32 Überblick 1 Symmetrische Authentifikation von Nachrichten Ziel Konstruktionen MACs
Mehr3. Lösungsblatt
TECHNISCHE UNIVERSITÄT DARMSTADT FACHGEBIET THEORETISCHE INFORMATIK PROF JOHANNES BUCHMANN NABIL ALKEILANI ALKADRI Einführung in die Kryptographie WS 7/ 8 3 Lösungsblatt 67 P Matrizen und Determinanten
MehrKryptographie II Asymmetrische Kryptographie
Kryptographie II Asymmetrische Kryptographie Alexander May Fakultät für Mathematik Ruhr-Universität Bochum Sommersemester 2011 Krypto II - Vorlesung 01-06.04.2011 Schlüsselverteil-Center, Diffie-Hellman
MehrBjörn Kaidel Alexander Koch
Übung zur Vorlesung Sicherheit Übung 1 Björn Kaidel Bjoern.Kaidel@kit.edu Alexander Koch Alexander.Koch@kit.edu 23.04.2015 1 / 31 Sicherheit Literatur zur Vorlesung Jonathan Katz, Yehuda Lindell. Introduction
MehrKryptologie. Bernd Borchert. Univ. Tübingen SS Vorlesung. Teil 10. Signaturen, Diffie-Hellman
Kryptologie Bernd Borchert Univ. Tübingen SS 2017 Vorlesung Teil 10 Signaturen, Diffie-Hellman Signatur Signatur s(m) einer Nachricht m Alice m, s(m) Bob K priv K pub K pub Signatur Signatur (Thema Integrity
Mehr