Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Nachklausur. Lösungsvorschlag Hinweise

Größe: px
Ab Seite anzeigen:

Download "Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Nachklausur. Lösungsvorschlag Hinweise"

Transkript

1 Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Nachklausur Lösungsvorschlag Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen Ihnen 60 Minuten zur Verfügung. - Zum Bestehen der Klausur sind 20 der 60 möglichen Punkte hinreichend. - Es sind keine Hilfsmittel zugelassen. - Schreiben Sie Ihre Lösungen auf die Aufgabenblätter sowie auf deren Rückseiten. - Zusätzliches Papier erhalten Sie bei Bedarf von der Aufsicht. Aufgabe mögliche Punkte erreichte Punkte a b c Σ a b c Σ x1 10 Σ 60

2 Aufgabe 1. (4+3 Punkte) Betrachten Sie das Die-Hellman-Schlüsselaustauschverfahren aus der Vorlesung. Es sei eine zyklische (Unter-)Gruppe G Z 19 mit G-Erzeuger g = 16 der Ordnung 9 gegeben. Im Folgenden führen zwei Parteien A und B untereinander einen Die-Hellman-Schlüsselaustausch mit den gegebenen Parametern (G, g) aus. (a) (i) A sendet zunächst X A = 9 an B. Daraufhin wählt B den zufälligen, geheimen Wert y = 5 und sendet den öentlichen Wert X B an A. Berechnen Sie diesen Wert X B, den B an A sendet. Hinweis: 16 = 4 2, 4 ist ein Element der Untergruppe G. (ii) Berechnen Sie den geheimen Schlüssel, den A und B ausgetauscht haben. Hinweis: 9 = 4 4 in G, 4 ist ein Element der Untergruppe G. (b) Geben Sie an, wie der Man-in-the-Middle-Angri auf das Die-Hellman-Schlüsselaustauschverfahren aus der Vorlesung funktioniert, wobei A und B den ausgetauschten Schlüssel für ein Secret-Key- Verschlüsselungsverfahren verwenden wollen. Erklären Sie dabei auch, wie der Angreifer nach dem Schüsselaustausch alle von A an B (und umgekehrt) gesendeten Chirate entschlüsseln kann, ohne das A oder B dies bemerken. Lösungsvorschlag zu Aufgabe 1. (a) (i) X B = 16 5 mod 19 = (4 2 ) 5 mod 19 = 4 10 mod 9 mod 19 = 4 1 mod 19 = 4 mod 19 (ii) X 5 A = 9 5 mod 19 = (4 4 ) 5 mod 19 = 4 20 mod 9 mod 19 = 4 2 mod 19 = 16 mod 19 Alternativ könnte man dem Hinweis auch ansehen, dass das Geheimnis von A gleich 2 ist und dann X 2 B = 42 = 16 mod 19 schreiben. (b) Um den Man-in-the-Middle-Angri durchzuführen geht ein Angreifer folgendermaÿen vor: ˆ Sendet A seinen öentlichen Wert g a an B, so fängt der Angreifer diesen ab. Der Angreifer wählt nun selbst ein a und sendet g a an B. D.h. der Angreifer gibt sich gegenüber B als A aus. ˆ Umgekehrt führt der Angreifer das selbe mit dem öentlichen Wert g b von B aus, d.h. er fängt g b ab und schickt stattdessen ein g b mit selbst gewähltem b an A. ˆ A denkt nun, der geheime Schlüssel ist g ab, während B denkt, dass g a b der geheime Schlüssel ist. ˆ Der Angreifer kennt a, b, g a und g b. Damit kann er sich sowohl g ab als auch g a b berechnen. ˆ Der Angreifer fängt weiterhin alle Nachrichten von A an B und umgekehrt ab. ˆ Der Angreifer kann nun Chirate, die A an B schicken will abfangen, mithilfe von g ab entschlüsseln und mit g a b erneut für Bob verschlüsseln (Analog kann er dies für Nachrichten von b an A tun). ˆ Damit lernt der Angreifer alle ausgetauschten Nachrichten. Da das Protokoll aus Sicht von A als auch B korrekt abläuft, merkt keiner von beiden, dass dieser Angri stattndet. 1

3 Aufgabe 2. (2+2+4 Punkte) (a) Wir betrachten das folgende auf RSA basierende Verschlüsselungsverfahren. Die Schlüsselerzeugung ist identisch zu RSA, d.h. der öentliche Schlüssel entspricht pk = (N, e) und der geheime Schlüssel ist sk = (N, d) für geeignete N, e, d. Um eine Nachricht M zu verschlüsseln wird zuerst ein Padding pad auf M berechnet. Das folgende Diagramm gibt an, wie das Padding berechnet wird: M R {0, 1} M X Y Dabei bezeichne das bitweise XOR. Nachdem pad(m) = (X, Y ) berechnet wurde, wird als Chirat C = (X e mod N, Y e mod N) ausgegeben. Um ein Chirat C = (C 1, C 2 ) zu entschlüsseln, wird C2 d mod N berechnet und ausgegeben. Ist das obige Verschlüsselungsverfahren multiplikativ homomorph? Genauer: Sei C = (C 1, C 2 ) ein Chirat von M 1 und C = (C 1, C 2) ein Chirat von M 2. Ist dann C = (C 1 C 1, C 2 C 2) ein Chirat von M 1 M 2? Begründen Sie ihre Antwort, in dem Sie die Homomorphie beweisen oder ein Gegenbeispiel angeben. (b) Geben Sie die Padding-Funktion an, die beim Verschlüsselungsverfahren RSA-OAEP verwendet wird. (c) Es seien P, Q zwei verschiedene Primzahlen und N = P Q. Gegeben seien N und ϕ(n), wobei ϕ die Eulersche Phi-Funktion bezeichnet. Geben Sie einen Algorithmus an, der als Eingabe nur N sowie ϕ(n) erhält und in Polynomialzeit die Faktorisierung von N berechnet. Begründen Sie kurz, dass ihr Algorithmus polynomielle Laufzeit hat. Lösungsvorschlag zu Aufgabe 2. (a) Ja, dass Verfahren ist multiplikativ homomorph. Für Y gilt Y = M R R = M. Somit gilt: C 2 = C 2 C 2 = (M 1 R 1 R 1 ) e (M 2 R 2 R 2 ) e = M e 1 M e 2 = (M 1 M 2 ) e. Somit entschlüsselt der Entschlüsselungsalgorithmus dieses Chirat zu M 1 M 2. (C 1 = C 1 C 1 ist für die Entschlüsselung nicht relevant und muss daher nicht betrachtet werden.) (b) Es seien G und H Hashfunktionen. Das Padding funktioniert folgendermaÿen: M R zufällig G H X Y Die Ausgabe ist X Y. 2

4 (c) Es gilt ϕ(n) = (P 1)(Q 1) = N (P + Q) + 1 und damit (P + Q) = ϕ(n) N 1. Wir betrachten das folgende Polynom: (X P )(X Q) = X 2 Q X P X + P Q = X 2 (P + Q) X + N = X 2 + (ϕ(n) N 1) X + N. Somit sind P und Q die Nullstellen eines quadratischen Polynoms, dass sich unter Kenntnis von N und ϕ(n) ausdrücken lässt. Der gesuchte Algorithmus setzt also die konkreten Werte für N und ϕ(n) in das Polynom ein und bestimmt dessen Nullstellen. Da die Nullstellen von quadratischen Polynomen in Polynomialzeit bestimmt werden können, ist seine Laufzeit ebenfalls polynomiell und er berechnet P und Q mit Wahrscheinlichkeit 1. 3

5 Aufgabe 3. (2 + 2 Punkte) (a) Geben Sie die formale Denition der Hiding-Eigenschaft für Commitments Com aus der Vorlesung an. (b) Es sei G eine zyklische Gruppe mit Erzeuger g. Betrachten Sie das folgende Commitment Com für Nachrichten M und Zufall R (jeweils aus {1,..., G }): Com(M; R) = g M g R. Hat dieses Commitment die Binding-Eigenschaft? Begründen Sie ihre Antwort! Lösungsvorschlag zu Aufgabe 3. (a) Ein Commitment Com hat die Hiding-Eigenschaft, wenn für beliebige M, M {0, 1} die Verteilungen Com(M; R) und Com(M ; R) ununterscheidbar sind (wobei R unabhängig zufällig gezogen wird). (b) Nein, dieses Commitment hat nicht die Binding-Eigenschaft. Es gilt für alle M und R Com(M; R) = g M g R = g M+R = g R g M = Com(R; M). Ein geeigneter PPT-Angreifer A wählt also beliebig M R und gibt (M, R, R, M) als seine Antwort aus. 4

6 Aufgabe 4. (4+3+6 Punkte) (a) Es sei PKE = (Gen, Enc, Dec) ein IND-CPA-sicheres asymmetrisches Verschlüsselungsverfahren. Für eine Nachricht M bezeichne M i das i-te Bit von M. Die Funktion f ist deniert als: f(m) := M 1 M 2... M M, wobei das bitweise XOR bezeichne. Betrachten Sie das asymmetrische Verschlüsselungsverfahren PKE = (Gen, Enc, Dec ) mit den folgenden Algorithmen: ˆ Gen (1 k ) = Gen(1 k ), ˆ Enc (pk, M) := (Enc(pk, M), f(m)) =: (C 1, C 2 ), ˆ Dec (sk, C) := Dec (sk, (C 1, C 2 )) = Dec(sk, C 1 ). Ist PKE IND-CPA-sicher? Beweisen Sie Ihre Antwort, indem Sie entweder die IND-CPA-Sicherheit von PKE beweisen oder einen IND-CPA-Angreifer angeben (zeigen Sie in diesem Fall auch, dass Ihr Angreifer tatsächlich erfolgreich ist und polynomielle Laufzeit hat). (b) Geben Sie das EUF-CMA-Sicherheitsspiel für digitale Signaturen aus der Vorlesung an. Wann ist ein digitales Signaturverfahren EUF-CMA-sicher? (c) Es sei Σ = (Gen, Sig, Ver) ein EUF-CMA-sicheres digitales Signaturverfahren und F eine öentlich bekannte, in Polynomialzeit berechenbare und injektive Funktion. Betrachten Sie das digitale Signaturverfahren Σ = (Gen, Sig, Ver ), wobei die Algorithmen folgendermaÿen deniert sind: ˆ Gen (1 k ) := Gen(1 k ) ˆ Sig (sk, M) := Sig(sk, F (M)), ˆ Ver (pk, M, σ) := Ver(pk, F (M), σ). (i) Zeigen Sie die Korrektheit von Σ, d.h. zeigen Sie, dass Ver Signaturen, die von Sig erstellt wurden, korrekt veriziert. (ii) Beweisen Sie: Σ ist EUF-CMA-sicher. Zur Erinnerung hier noch einmal die Algorithmen von Σ : ˆ Gen (1 k ) := Gen(1 k ) ˆ Sig (sk, M) := Sig(sk, F (M)), ˆ Ver (pk, M, σ) := Ver(pk, F (M), σ). Lösungsvorschlag zu Aufgabe 4. (a) PKE ist nicht IND-CPA-sicher. Wir betrachten den folgenden Angreifer A: ˆ A erhält den öentlichen Schlüssel pk vom IND-CPA-Challenger. ˆ A wählt zwei gleichlange Nachrichten M 0, M 1 mit f(m 0 ) f(m 1 ), beispielsweise M 0 = 0 und M 1 = 1. ˆ A erhält das Challenge-Chirat C = (C 1, C 2 ). ˆ Es gilt C 2 = f(m b ) (wobei b das vom Challenger zufällig gezogene Bit bezeichne), somit kann A hiermit eindeutig bestimmen, welche Nachricht verschlüsselt wurde (da f(m 0 ) f(m 1 )). ˆ A gibt also 0 aus, wenn C 2 = f(m 0 ) und 1 sonst. Die Erfolgswahrscheinlichkeit von A ist gleich 1 und damit nicht vernachlässigbar. Seine Laufzeit ist polynomiell, da er im Prinzip nur einen Bit-Vergleich durchführen muss. (b) Das EUF-CMA-Spiel für digitale Signaturverfahren läuft wie folgt ab: ˆ Der Challenger führt (pk, sk) Gen(1 k ) aus und gibt pk an den Angreifer A. ˆ Der Angreifer A erhält während des gesamten Spiels Zugri auf ein Sig(sk, )-Signaturorakel. ˆ A gibt irgendwann ein Tupel (M, σ ) aus. 5

7 ˆ A gewinnt, wenn Ver(pk, M, σ ) = 1 gilt und M frisch ist, d.h. A hat nie eine Signatur für M vom Orakel angefragt. Ein digitales Signaturverfahren ist EUF-CMA-sicher, wenn für alle PPT-Algorithmen A die Wahrscheinlichkeit Pr[A gewinnt] vernachlässigbar ist. (c) (i) Aus der Korrektheit von Σ folgt, dass für für alle Schlüsselpaare (pk, sk) Gen (1 k ) = Gen(1 k ), alle Nachrichten M und alle σ = Sig (sk, M) = Sig(sk, F (M)) gilt, dass Ver (pk, M, σ) = Ver(pk, F (M), Sig (sk, M)) = Ver(pk, F (M), Sig(sk, F (M))) = 1. (ii) Angenommen, Σ ist nicht EUF-CMA-sicher. Dann existiert ein PPT-Angreifer B mit nichtvernachlässigbarer Erfolgswahrscheinlichkeit im EUF-CMA-Spiel gegen Σ. Wir konstruieren einen Angreifer A, der die EUF-CMA-Sicherheit von Σ bricht: ˆ Das Spiel zieht (pk, sk) Gen(1 k ). ˆ A erhält vom Spiel pk und Zugri auf ein Sig(sk, )-Orakel. ˆ A simuliert das EUF-CMA-Spiel mit Σ für B folgendermaÿen: ˆ A gibt pk an B. ˆ Beantwortung der Sig (sk, )-Orakelanfragen von B: B schickt M i an sein Orakel, dass A simulieren muss. A schickt F (M i ) an sein Sig(sk, )-Orakel und erhält eine Signatur σ. A gibt σ an B weiter. Damit simuliert A das Sig (sk, )-Orakel für B perfekt, da ˆ Verwendung der Fälschung von B: A erhält (M, σ ) als Fälschung von B. σ = Sig(sk, F (M)) = Sig (sk, M). Hat B eine gültige Fälschung ausgegeben, so gilt Ver (pk, M, σ ) = 1 und M M i für alle i, somit ist M auch frisch. Da F injektiv ist, gilt für alle i, dass F (M ) F (M i ), da ja bereits M M i. Somit ist auch F (M ) für A's Spiel frisch. Auÿerdem gilt, dass 1 = Ver (pk, M, σ ) = Ver(pk, F (M ), σ ), womit (F (M ), σ ) eine gültige Fälschung für Σ ist. A gibt nun also das Tupel (F (M ), σ ) als seine Fälschung aus. Insgesamt simuliert A das EUF-CMA-Spiel mit Σ perfekt für B. Die Laufzeit von A entspricht im wesentlichen der von B plus einem kleinen Overhead und ist somit auch polynomiell. Wir müssen nun die Erfolgswahrscheinlichkeit von A analyiseren. Nach obiger Begründung gilt: Pr[A gewinnt im EUF-CMA-Spiel mit Σ] = Pr[B gewinnt im EUF-CMA-Spiel mit Σ ], was nach Annahme nicht vernachlässigbar ist. Dies steht im Widerspruch zur EUF-CMA- Sicherheit von Σ, woraus die EUF-CMA-Sicherheit von SKE folgt. 6

8 Aufgabe 5. (7+3 Punkte) (a) Eine über k parametrisierte Hashfunktion H ist target-kollisionsresistent, wenn für alle PPT-Angreifer A die Wahrscheinlichkeit Pr [ X X H k (X) = H k (X ) X {0, 1} k X A(1 k, X) ] vernachlässigbar (in k) ist. Hinweis: Anschaulich muss der Angreifer hier zu einer gleichverteilt zufällig gezogenen, vorgegebenen Nachricht X eine Kollision X berechnen. (i) Es sei H eine über k parametrisierte, kollisionsresistente Hashfunktion. Ist H im Allgemeinen auch target-kollisionsresistent? Begründen Sie ihre Antwort in dem Sie die Aussage beweisen oder ein Gegenbeispiel angeben. (ii) Geben Sie eine Hashfunktion H an, die target-kollisionsresistent, aber nicht kollisionsresistent ist. Sie müssen nicht beweisen, dass ihre Hashfunktion H die Anforderungen erfüllt. Hinweis: Sie können von der Existenz einer target-kollisionsresistenten Hashfunktion H ausgehen und diese zur Konstruktion von H verwenden. (b) Geben Sie die Merkle-Damgård-Konstruktion aus der Vorlesung an. Lösungsvorschlag zu Aufgabe 5. (a) (i) Ja, H ist target-kollisionsresistent. Angenommen, H ist nicht target-kollisionsresistent. Dann existiert ein PPT-Angreifer B, für den die obige Wahrscheinlichkeit nicht vernachlässigbar ist. Wir konstruieren einen Angreifer A auf die Kollisionsresistenz von H. A wählt einen zufälligen Wert X {0, 1} k und gibt diesen an B. Dieser berechnet nun mit nicht vernachlässigbarer Wahrscheinlichkeit ein X X mit H(X) = H(X ). A gibt nun das Tupel (X, X ) als Kollision aus. Die Erfolgswahrscheinlichkeit von A entspricht genau der Erfolgswahrscheinlichkeit von B und seine Laufzeit entspricht der von B mit einem kleinen Overhead. Somit ist A ein PPT- Algorithmus mit nicht-vernachlässigbarer Erfolgswahrscheinlichkeit, was im Widerspruch zur Kollisionsresistenz von H steht. Somit muss H auch target-kollisionsresistent sein. (ii) Die folgende Hashfunktion H ist target-kollisionsresistent, aber nicht kollisionsresistent: { H 0 k, wenn M {0 k, 1 k } (M) = H. (M), sonst Anmerkung: Für die volle Punktzahl war keine Begründung nötig. Wir haben hier dennoch zur Verdeutlichung eine (stark vereinfachte) Begründung angegeben: H ist nicht kollisionsresistent, da (0, 1) eine gültige, leicht zu berechnende Kollision ist. H ist aber target-kollisionsresistent: Ein erfolgreicher PPT-Angreifer A auf die Target-Kollisionsresistenz von H kann auch verwendet werden, um die Target-Kollisionsresistenz von H zu brechen, da bei gleichverteiltem zufälligen Ziehen X {0, 1} k die Fälle X = 0 k und X = 1 k jeweils nur mit Wahrscheinlichkeit 1/2 k auftreten, was vernachlässigbar ist. Da A ein erfolgreicher Angreifer auf die Target- Kollisionsresistenz von H ist, muss er auch in genug anderen Fällen erfolgreich Kollisionen berechnen und bricht damit die Target-Kollisionsresistenz von H, was ein Widerspruch zu dessen Target-Kollisionsresistenz ist. (b) Sei F : {0, 1} 2k {0, 1} k eine Kompressionsfunktion. Die Nachricht wird in Blöcke X 0,..., X n der Länge k aufgeteilt und auf diese nacheinander F wie folgt angewendet: Z 0 := F (IV, X 0 ) Z i := F (Z i 1, X i ), für 1 i n. Hierbei sei IV ein Initialierungsvektor der Länge k. Beachten Sie, dass falls der letzte Block nicht vollständig gefüllt ist, dieser auf Länge k gepadded wird und dieses Padding die Länge der Nachricht enthält. Z n wird als Hashwert ausgegeben. 7

9 Aufgabe 6. (6+2 Punkte) (a) Im Chinese-Wall-Modell aus der Vorlesung seien mit die Menge von Firmen C = {c 1, c 2, c 3 }, die Menge von Beratern S = {s 1, s 2, s 3 }, die Menge von Objekten O = {o 1, o 2, o 3 }, y(o i ) = c i für i {1, 2, 3}, x(o 1 ) = {c 2 }, x(o 2 ) = und x(o 3 ) = {c 1, c 2 } gegeben. Betrachten Sie die folgende Abfolge von Zugrien b S O, mit der Angabe (read), falls es sich um einen Lese-Zugri handelt, und (write), falls es sich um einen Schreib-Zugri handelt, in der angegebenen Reihenfolge: 1. (s 1, o 2 ) (read) 4. (s 3, o 1 ) (write) 2. (s 3, o 3 ) (read) 5. (s 2, o 2 ) (read) 3. (s 2, o 3 ) (write) 6. (s 1, o 3 ) (write) Gehen Sie davon aus, dass vor den obigen Anfragen bereits die folgenden Zugrie erfolgt sind und durchgeführt wurden: (i) (s 1, o 1 ) (read) (ii) (s 2, o 2 ) (write) (iii) (s 2, o 2 ) (read) Geben Sie für die einzelnen Zugrie jeweils an, ob die ss- oder -Eigenschaft erfüllt oder verletzt ist. Nutzen Sie dafür die Spalten ss und der unten stehenden Tabelle. Benutzen Sie dabei für erfüllt und für verletzt. Geben Sie für verletzte Eigenschaften in der Spalte Bemerkung an, warum sie jeweils verletzt sind. Zugri ss Bemerkung 1. (s 1, o 2 ) (read) 2. (s 3, o 3 ) (read) 3. (s 2, o 3 ) (write) 4. (s 3, o 1 ) (write) 5. (s 2, o 2 ) (read) 6. (s 1, o 3 ) (write) (b) Geben Sie die Denition der -Eigenschaft des Chinese-Wall-Modells aus der Vorlesung an. 8

10 Lösungsvorschlag zu Aufgabe 6. (a) Gültig sind die einzelnen Zugrie b S O, falls die ss- und die -Eigenschaft erfüllt sind und damit die Systemsicherheit erhalten bleibt. Erfüllt sind alle genannten Eigenschaften, falls in den Spalten ss und das Symbol zu nden ist. In der unten stehenden Tabelle ndet sich ein Lösungsvorschlag. Zugri ss Bemerkung 1. (s 1, o 2 ) (read) y(o 2 ) x(o 1 ) und y(o 2 ) y(o 1 ) 2. (s 3, o 3 ) (read) 3. (s 2, o 3 ) (write) (x(o 2 ) = ) 4. (s 3, o 1 ) (write) y(o 1 ) x(o 3 ), x(o 3 ) und y(o 1 ) y(o 3 ) 5. (s 2, o 2 ) (read) y(o 2 ) x(o 3 ) und y(o 2 ) y(o 3 ) 6. (s 1, o 3 ) (write) x(o 1 ) und y(o 3 ) y(o 1 ) (b) Eine write-anfrage (s, o) hat die -Eigenschaft, falls für alle Objekte o, auf die s schon lesend zugreift, gilt: y(o ) = y(o) oder x(o ) =. 9

11 Aufgabe 7. (10 Punkte) Bei dieser Multiple-Choice-Aufgabe gibt jede richtige Antwort 1 Punkt. Kreuzen Sie jeweils an, ob die Aussage wahr oder falsch ist. Für jede falsche Antwort wird 1 Punkt abgezogen, die Gesamtpunktzahl der Aufgabe kann jedoch nicht negativ werden. Für nicht beantwortete Fragen (kein Kreuz) werden keine Punkte abgezogen. Lösungsvorschlag zu Aufgabe 7. Mit Hilfe des Transkripts zwischen einem Prover A und Verier B eines sicheren Public-Key-Identikationsprotokolls mit Zero-Knowledge- und Proof-of-Knowledge-Eigenschaft lässt sich auch eine dritte Person C von A's Identität überzeugen. Das One-Time-Pad ist eine Einwegfunktion, weil es nur einmal verwendet werden kann. Im Spiel der Sicherheitsdenition für Public-Key-Identikationsprotokolle aus der Vorlesung nimmt der Angreifer in Phase 1 die Rolle des Veriers und in Phase 2 die Rolle des Provers ein. Im Bell-LaPadula-Modell aus der Vorlesung werden verdeckte Kanäle nicht grundsätzlich verhindert. Tritt bei einer im CBC-Modus verschlüsselten Nachricht ein Bitfehler in einem Block auf, so können alle folgenden Blöcke nicht mehr richtig entschlüsselt werden. wahr falsch Der Betriebsmodus XTS verwendet eine Blockchire mit Tweak. Jede Einwegfunktion ist kollisionsresistent. Wird in der Programmiersprache C bei einem Schreibzugri auf ein Array dessen Gröÿe nicht überprüft, kann dies Angrie durch Buer Overows ermöglichen. Bei EUF-CMA-sicheren digitalen Signaturverfahren gibt es im Allgemeinen zu jedem geheimen Schlüssel sk nur einen einzigen und eindeutigen öentlichen Schlüssel pk. Die Hashfunktion SHA-3 basiert auf der Merkle-Damgård-Konstruktion. 10

Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Klausur Hinweise

Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Klausur Hinweise Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Klausur 21.07.2015 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen

Mehr

Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Nachklausur Hinweise

Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Nachklausur Hinweise Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2016 Nachklausur 12.10.2016 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung

Mehr

Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Nachklausur. Lösung Hinweise

Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Nachklausur. Lösung Hinweise Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2016 Nachklausur Lösung 12.10.2016 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung

Mehr

Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Klausur Hinweise

Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Klausur Hinweise Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Klausur 22.07.2014 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen

Mehr

Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Nachklausur Hinweise

Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Nachklausur Hinweise Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Nachklausur 29.09.2014 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung

Mehr

Institut für Theoretische Informatik Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Klausur. Lösung

Institut für Theoretische Informatik Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Klausur. Lösung Institut für Theoretische Informatik Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2017 Klausur Lösung 02.08.2017 Vorname: Nachname: Matrikelnummer: Klausur-ID: Hinweise - Schreiben

Mehr

Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Klausur Hinweise

Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Klausur Hinweise Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Klausur 22.07.2014 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen

Mehr

Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Nachklausur

Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Nachklausur Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz IKS Institut für Kryptographie und Sicherheit Stammvorlesung Sicherheit im Sommersemester 2013 Nachklausur 07.10.2013 Vorname: Nachname:

Mehr

Übungsblatt 3. Stammvorlesung Sicherheit im Sommersemester Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade

Übungsblatt 3. Stammvorlesung Sicherheit im Sommersemester Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Übungsblatt 3 Aufgabe 1. Beurteilen Sie für die folgenden Konstruktionen jeweils, ob es sich

Mehr

Übung zur Vorlesung Sicherheit Übungsblatt 3. Björn Kaidel 1 / 52

Übung zur Vorlesung Sicherheit Übungsblatt 3. Björn Kaidel 1 / 52 Übung zur Vorlesung Sicherheit 21.05.2014 Übungsblatt 3 Björn Kaidel bjoern.kaidel@kit.edu 1 / 52 Kummerkasten Bitte helleren Laserpointer verwenden. Sind die Skriptlinks vertauscht? Nein! Wegen allgemeiner

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 23.05.2016 1 / 32 Überblick 1 Symmetrische Authentifikation von Nachrichten Ziel Konstruktionen MACs

Mehr

Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Übungsblatt 5. pk = (g, y) und sk = (g, x). ? = y H(t m) t. g s

Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Übungsblatt 5. pk = (g, y) und sk = (g, x). ? = y H(t m) t. g s Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Übungsblatt 5 Hinweis: Übungsblätter können freiwillig bei Jessica Koch, Raum 256, Geb.

Mehr

Institut für Theoretische Informatik Prof. Dr. Dennis Hofheinz Übungsleiter: Thomas Agrikola. Stammvorlesung Sicherheit im Sommersemester 2017

Institut für Theoretische Informatik Prof. Dr. Dennis Hofheinz Übungsleiter: Thomas Agrikola. Stammvorlesung Sicherheit im Sommersemester 2017 Institut für Theoretische Informatik Prof. Dr. Dennis Hofheinz Übungsleiter: Thomas Agrikola Stammvorlesung Sicherheit im Sommersemester 2017 Übungsblatt 4 Aufgabe 1. Wir instanziieren das ElGamal-Verschlüsselungsverfahren

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 12.05.2014 1 / 26 Überblick 1 Hashfunktionen Erinnerung Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel:

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 15.05.2017 1 / 25 Überblick 1 Hashfunktionen Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel: RSA

Mehr

Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Klausur

Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Klausur Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz IKS Institut für Kryptographie und Sicherheit Stammvorlesung Sicherheit im Sommersemester 2013 Klausur 26.07.2013 Vorname: Nachname:

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 18.05.2015 1 / 30 Überblick 1 Asymmetrische Authentifikation von Nachrichten Erinnerung

Mehr

Übung zur Vorlesung. Sicherheit Übungsblatt 5 Björn Kaidel

Übung zur Vorlesung. Sicherheit Übungsblatt 5 Björn Kaidel Übung zur Vorlesung Sicherheit 30.06.2016 Übungsblatt 5 Björn Kaidel bjoern.kaidel@kit.edu https://b.socrative.com/login/student/ Room: SICHERHEIT Bitte gleich einloggen! 1 / 55 Evaluation (siehe Evaluations-PDF)

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 06.05.2013 1 / 25 Überblick 1 Hashfunktionen Erinnerung Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel:

Mehr

Asymmetrische Verschlüsselungsverfahren

Asymmetrische Verschlüsselungsverfahren Asymmetrische Verschlüsselungsverfahren Vorlesung 4 Alexander Koch (Vertretung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 KIT 2015-11-12 Universität desalexander Landes Baden-Württemberg

Mehr

Homomorphe Verschlüsselung

Homomorphe Verschlüsselung Homomorphe Verschlüsselung Definition Homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : G G für Gruppen G, G. Π heißt homomorph, falls Enc(m 1 ) G Enc(m 2 ) eine gültige Verschlüsselung

Mehr

Übung zur Vorlesung Sicherheit Übungsblatt 2. Alexander Koch Björn Kaidel

Übung zur Vorlesung Sicherheit Übungsblatt 2. Alexander Koch Björn Kaidel Übung zur Vorlesung Sicherheit 07.05.2014 Übungsblatt 2 Alexander Koch alexander.koch@kit.edu Björn Kaidel bjoern.kaidel@kit.edu 1 / 32 Kummerkasten In der Übung lauter und deutlicher sprechen: Wir geben

Mehr

Nachklausur zur Vorlesung Sicherheit Sommersemester 2012

Nachklausur zur Vorlesung Sicherheit Sommersemester 2012 Institut für Kryptographie und Sicherheit Prof. Dr. Jörn Müller-Quade Nachklausur zur Vorlesung Sicherheit Sommersemester 2012 Vorname Nachname Matrikelnummer Ergebniscode Hinweise Für die Bearbeitung

Mehr

Übung zur Vorlesung Sicherheit Übungsblatt 2. Alexander Koch Björn Kaidel

Übung zur Vorlesung Sicherheit Übungsblatt 2. Alexander Koch Björn Kaidel Übung zur Vorlesung Sicherheit 07.05.2014 Übungsblatt 2 Alexander Koch alexander.koch@kit.edu Björn Kaidel bjoern.kaidel@kit.edu 1 / 32 Kummerkasten In der Übung lauter und deutlicher sprechen: Wir geben

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 23.06.2014 1 / 26 Überblick 1 Zero-Knowledge-Protokolle Erinnerung Beispiel für Zero-Knowledge-Protokoll Analyse des Beispiel-Zero-Knowledge-Protokolls Proof-of-Knowledge-Eigenschaft

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 08.06.2015 1 / 34 Überblick 1 Schlüsselaustauschprotokolle Erinnerung Weitere Schlüsselaustauschtypen

Mehr

Asymmetrische Verschlüsselungsverfahren

Asymmetrische Verschlüsselungsverfahren Asymmetrische Verschlüsselungsverfahren Vorlesung 4 Alexander Koch (Vertretung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-11-10 Alexander Koch Asymmetrische Verschlüsselungsverfahren

Mehr

Digitale Signaturen. GHR-und Chamäleon-Signaturen Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Digitale Signaturen. GHR-und Chamäleon-Signaturen Björn Kaidel.   FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK Digitale Signaturen GHR-und Chamäleon-Signaturen Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen KIT

Mehr

Digitale Signaturen. RSA-FDH & das Random Oracle Model Björn Kaidel (mit Folien von Gunnar Hartung)

Digitale Signaturen. RSA-FDH & das Random Oracle Model Björn Kaidel (mit Folien von Gunnar Hartung) Digitale Signaturen RSA-FDH & das Random Oracle Model Björn Kaidel (mit Folien von Gunnar Hartung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-12-01 B. Kaidel Digitale Signaturen:

Mehr

Asymmetrische Verschlüsselungsverfahren

Asymmetrische Verschlüsselungsverfahren Asymmetrische Verschlüsselungsverfahren Digitale Signaturen Prof. Jörn Müller-Quade mit Folien von G. Hartung und B. Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2018-01-25 J.

Mehr

Digitale Signaturen. RSA-FDH & das Random Oracle Model Jiaxin Pan (Slides from Björn Kaidel and Gunnar Hartung)

Digitale Signaturen. RSA-FDH & das Random Oracle Model Jiaxin Pan (Slides from Björn Kaidel and Gunnar Hartung) Digitale Signaturen RSA-FDH & das Random Oracle Model Jiaxin Pan (Slides from Björn Kaidel and Gunnar Hartung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2018-10-26 B. Kaidel Digitale

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 30.04.2018 1 / 35 Überblick 1 Hashfunktionen Motivation Formalisierung Die Merkle-Damgård-Konstruktion (Weitere) Angriffe auf Hashfunktionen Zusammenfassung

Mehr

Asymmetrische Verschlüsselungsverfahren

Asymmetrische Verschlüsselungsverfahren Asymmetrische Verschlüsselungsverfahren Einmalsignaturen Björn Kaidel (Vertretung für Prof. Müller-Quade) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2018-02-01 B. Kaidel Asymmetrische

Mehr

Sicherheit von Merkle Signaturen

Sicherheit von Merkle Signaturen Sicherheit von Merkle Signaturen Algorithmus Angreifer A für die Einwegsignatur EINGABE: pk, Zugriff auf eine Anfrage an Orakel Sign sk ( ) 1 Berechne (pk (i), sk (i) ) Gen(1 n ) für i = 1,...,l. Wähle

Mehr

Vorlesung Digitale Signaturen im Wintersemester 2016/-17. Socrative-Fragen aus der Vorlesung vom

Vorlesung Digitale Signaturen im Wintersemester 2016/-17. Socrative-Fragen aus der Vorlesung vom Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Dozenten: Gunnar Hartung, Björn Kaidel Vorlesung Digitale Signaturen im Wintersemester 2016/-17 Socrative-Fragen aus der Vorlesung vom 25.11.2016

Mehr

Vorlesung Digitale Signaturen im Wintersemester 2017/-18. Socrative-Fragen aus der Vorlesung vom

Vorlesung Digitale Signaturen im Wintersemester 2017/-18. Socrative-Fragen aus der Vorlesung vom Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Dozenten: Björn Kaidel Vorlesung Digitale Signaturen im Wintersemester 2017/-18 Socrative-Fragen aus der Vorlesung vom 17.11.2017 1 Quiz 1:

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 04.05.2015 1 / 20 Kummerkasten Vorlesungsfolien bitte einen Tag vorher hochladen : Sollte

Mehr

Digitale Signaturen. GHR-und Chamäleon-Signaturen Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Digitale Signaturen. GHR-und Chamäleon-Signaturen Björn Kaidel.  FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK Digitale Signaturen GHR-und Chamäleon-Signaturen Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-01-12 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen KIT

Mehr

Asymmetrische Verschlüsselungsverfahren

Asymmetrische Verschlüsselungsverfahren Asymmetrische Verschlüsselungsverfahren Digitale Signaturen Björn Kaidel - Vertretung für Prof. Müller-Quade FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-01-19 B. Kaidel Asymmetrische

Mehr

Socrative-Fragen aus der Übung vom

Socrative-Fragen aus der Übung vom Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Übungsleiter: Björn Kaidel, Alexander Koch Stammvorlesung Sicherheit im Sommersemester 2016 Socrative-Fragen aus der Übung vom 28.04.2016

Mehr

Digitale Signaturen. Sicherheitsdefinitionen Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Digitale Signaturen. Sicherheitsdefinitionen Gunnar Hartung, Björn Kaidel.  FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK Digitale Signaturen Sicherheitsdefinitionen Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-10-28 B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen

Mehr

Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Übungsblatt 3

Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Übungsblatt 3 Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Übungsblatt 3 Hinweis: Übungsblätter können freiwillig bei Florian Böhl, Raum 255, Geb.

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 26.06.2017 1 / 41 Überblick 1 Identifikationsprotokolle Erinnerung Sicherheitsmodell Ein sicheres Protokoll Noch ein sicheres Protokoll 2 Zero-Knowledge-Protokolle

Mehr

Ziel: Zertifiziere Pfad von Wurzel zu m mittels Signaturen. Signieren Public-Keys auf Pfad inklusive der Nachbarknoten.

Ziel: Zertifiziere Pfad von Wurzel zu m mittels Signaturen. Signieren Public-Keys auf Pfad inklusive der Nachbarknoten. Merkle-Baum Idee: Konstruktion von Merkle-Bäumen Ersetze Signaturkette durch Baum (sogenannter Merkle-Baum). Verwenden Baum der Tiefe n für Nachrichten der Länge n. Die Wurzel erhält Label ɛ. Die Kinder

Mehr

Privacy-Preserving Authentication 2 Kryptografische Bausteine WS 2015/2016

Privacy-Preserving Authentication 2 Kryptografische Bausteine WS 2015/2016 Privacy-Preserving Authentication 2 Kryptografische Bausteine WS 2015/2016 Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum Übersicht 1 Vorteil und Sicherheit 2 Hash Funktionen 3 Digitale

Mehr

Musterlösung der Nachklausur zur Vorlesung Sicherheit Sommersemester 2012

Musterlösung der Nachklausur zur Vorlesung Sicherheit Sommersemester 2012 Institut für Kryptographie und Sicherheit Prof. Dr. Jörn Müller-Quade Musterlösung der Nachklausur zur Vorlesung Sicherheit Sommersemester 2012 Vorname Nachname Matrikelnummer Ergebniscode Hinweise Für

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 02.05.2016 1 / 22 Überblick 1 Hashfunktionen Erinnerung Formalisierung Die Merkle-Damgård-Konstruktion

Mehr

Übungsblatt 4. Stammvorlesung Sicherheit im Sommersemester Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade

Übungsblatt 4. Stammvorlesung Sicherheit im Sommersemester Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Übungsblatt 4 Aufgabe 1. Wir instanziieren das ElGamal-Verschlüsselungsverfahren aus der

Mehr

Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Übungsblatt 5

Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Übungsblatt 5 Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Übungsblatt 5 Aufgabe 1. (1.) In der Vorlesung wurde gezeigt, dass Lehrbuch-RSA-Signaturen

Mehr

Digitale Signaturen. Einmalsignaturen Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Digitale Signaturen. Einmalsignaturen Gunnar Hartung, Björn Kaidel.  FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK Digitale Signaturen Einmalsignaturen Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-11-04 B. Kaidel Digitale Signaturen: Einmalsignaturen KIT Die Forschungsuniversität

Mehr

https://b.socrative.com/login/student/

https://b.socrative.com/login/student/ Übung zur Vorlesung Sicherheit 23.06.2016 Übungsblatt 4 Björn Kaidel bjoern.kaidel@kit.edu https://b.socrative.com/login/student/ Room: SICHERHEIT Bitte gleich einloggen! 1 / 62 Feedback: Kummerkasten/Feedback

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 29.04.2013 1 / 22 Überblick 1 Zusammenfassung und Korrektur Zusammenfassung Korrektur Definition semantische Sicherheit 2 Hashfunktionen Motivation Formalisierung

Mehr

VII. Hashfunktionen und Authentifizierungscodes

VII. Hashfunktionen und Authentifizierungscodes VII. Hashfunktionen und Authentifizierungscodes Bob Eve Eve möchte - lauschen - ändern - personifizieren Alice 1 Aufgaben - Vertraulichkeit Lauschen - Authentizität Tauschen des Datenursprungs - Integrität

Mehr

3 Public-Key-Kryptosysteme

3 Public-Key-Kryptosysteme Stand: 05.11.2013 Vorlesung Grundlagen und Methoden der Kryptographie Dietzfelbinger 3 Public-Key-Kryptosysteme 3.1 Verschlüsselung von Nachrichten Wir betrachten ganz einfache Kommunikationsszenarien.

Mehr

https://b.socrative.com/login/student/

https://b.socrative.com/login/student/ Übung zur Vorlesung Sicherheit 23.06.2016 Übungsblatt 4 Björn Kaidel bjoern.kaidel@kit.edu https://b.socrative.com/login/student/ Room: SICHERHEIT Bitte gleich einloggen! 1 / 62 Feedback: Kummerkasten/Feedback

Mehr

Kryptologie. K l a u s u r WS 2006/2007, Prof. Dr. Harald Baier

Kryptologie. K l a u s u r WS 2006/2007, Prof. Dr. Harald Baier Kryptologie K l a u s u r WS 2006/2007, 2007-02-01 Prof. Dr. Harald Baier Name, Vorname: Matrikelnummer: Hinweise: (a) Als Hilfsmittel ist nur der Taschenrechner TI-30 zugelassen. Weitere Hilfsmittel sind

Mehr

Hybride Verschlüsselungsverfahren

Hybride Verschlüsselungsverfahren Hybride Verschlüsselungsverfahren Ziel: Flexibilität von asym. Verfahren und Effizienz von sym. Verfahren. Szenario: Sei Π = (Gen, Enc, Dec) ein PK-Verschlüsselungsverfahren und Π = (Gen, Enc, Dec ) ein

Mehr

Voll homomorpe Verschlüsselung

Voll homomorpe Verschlüsselung Voll homomorpe Verschlüsselung Definition Voll homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : R R für Ringe R, R. Π heißt voll homomorph, falls 1 Enc(m 1 ) + Enc(m 2 ) eine gültige

Mehr

Kryptographie. Klausur mit Lösung zum Wintersemester 2008/2009. Name, Vorname:... Matrikelnummer:... Studiengang:... Diplom Bachelor Master

Kryptographie. Klausur mit Lösung zum Wintersemester 2008/2009. Name, Vorname:... Matrikelnummer:... Studiengang:... Diplom Bachelor Master Einführung in die Kryptographie WS 2008/2009 Technische Universität Darmstadt Fachbereich Informatik Prof. Johannes Buchmann Erik Tews 25. Februar 2009 Klausur mit Lösung zum Wintersemester 2008/2009 Name,

Mehr

Übung zur Vorlesung Sicherheit Übungsblatt 4. Björn Kaidel 1 / 70

Übung zur Vorlesung Sicherheit Übungsblatt 4. Björn Kaidel 1 / 70 Übung zur Vorlesung Sicherheit 18.06.2015 Übungsblatt 4 Björn Kaidel bjoern.kaidel@kit.edu 1 / 70 RSA: Warnung! Mehrere Nachfragen nach der letzten Übung: Wir wollen zu e ein d berechnen mit e d = 1 mod

Mehr

Übung zur Vorlesung. Sicherheit Übungsblatt 6. Alexander Koch

Übung zur Vorlesung. Sicherheit Übungsblatt 6. Alexander Koch Übung zur Vorlesung Sicherheit 09.07.2015 Übungsblatt 6 Alexander Koch alexander.koch@kit.edu 1 / 21 Kummerkasten Könnten Sie bitte eine kleine Wiederholung aller klausurrelevanten Themen in [der] letzten

Mehr

CPA-Sicherheit ist ungenügend

CPA-Sicherheit ist ungenügend CPA-Sicherheit ist ungenügend Definition CCA CCA (=Chosen Ciphertext Attack) ist ein Angriff, bei dem der Angreifer sich Chiffretext seiner Wahl entschlüsseln lassen kann. Beispiele in denen CPA nicht

Mehr

Beliebige Anzahl von Signaturen

Beliebige Anzahl von Signaturen Beliebige Anzahl von Signaturen Algorithmus Signaturketten Sei Π = (Gen, Sign, Vrfy) ein Einwegsignaturverfahren. 1 Gen : (pk 1, sk 1 ) Gen(1 n ) 2 Sign : Signieren der Nachricht m i. Verwende gemerkten

Mehr

Übung zur Vorlesung Sicherheit Übungsblatt 2. Alexander Koch Björn Kaidel

Übung zur Vorlesung Sicherheit Übungsblatt 2. Alexander Koch Björn Kaidel Übung zur Vorlesung Sicherheit 07.05.2014 Übungsblatt 2 Alexander Koch alexander.koch@kit.edu Björn Kaidel bjoern.kaidel@kit.edu 1 / 39 Werbung: KASTEL-Zertifikat Nachweis für Spezialisierung in IT-Sicherheit

Mehr

VI.4 Elgamal. - vorgestellt 1985 von Taher Elgamal. - nach RSA das wichtigste Public-Key Verfahren

VI.4 Elgamal. - vorgestellt 1985 von Taher Elgamal. - nach RSA das wichtigste Public-Key Verfahren VI.4 Elgamal - vorgestellt 1985 von Taher Elgamal - nach RSA das wichtigste Public-Key Verfahren - besitzt viele unterschiedliche Varianten, abhängig von zugrunde liegender zyklischer Gruppe - Elgamal

Mehr

Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Übungsblatt 4

Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Übungsblatt 4 Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Übungsblatt 4 Hinweis: Übungsblätter können freiwillig bei Florian Böhl, Raum 255, Geb.

Mehr

Hashfunktionen und MACs

Hashfunktionen und MACs 3. Mai 2006 Message Authentication Code MAC: Message Authentication Code Was ist ein MAC? Der CBC-MAC Der XOR-MAC Kryptographische Hashfunktionen Iterierte Hashfunktionen Message Authentication Code Nachrichten

Mehr

Institut für Theoretische Informatik Prof. Dr. Dennis Hofheinz Übungsleiter: Thomas Agrikola. Stammvorlesung Sicherheit im Sommersemester 2017

Institut für Theoretische Informatik Prof. Dr. Dennis Hofheinz Übungsleiter: Thomas Agrikola. Stammvorlesung Sicherheit im Sommersemester 2017 Institut für Theoretische Informatik Prof. Dr. Dennis Hofheinz Übungsleiter: Thomas Agrikola Stammvorlesung Sicherheit im Sommersemester 2017 Übungsblatt 5 Aufgabe 1. (1.) In der Vorlesung wurde gezeigt,

Mehr

Message Authentication Codes. Konstruktion von MACs. Hash-then-Encrypt. Sicherheitsmodell

Message Authentication Codes. Konstruktion von MACs. Hash-then-Encrypt. Sicherheitsmodell Message Authentication Codes Entspricht Hashfunktionen mit geheimen Schlüsseln. h : K M H, MAC = h k (m). h parametrisierte Hashfunktion. m Nachricht. k geheimer Schlüssel. Mit der Nachricht m wird h k

Mehr

Digitale Signaturen. Andreas Spillner. Kryptografie, SS 2018

Digitale Signaturen. Andreas Spillner. Kryptografie, SS 2018 Digitale Signaturen Andreas Spillner Kryptografie, SS 2018 Ausgangspunkt Digitale Signaturen bieten unter anderem das, was man auch mit einer eigenhändigen Unterschrift auf einem Dokument bezweckt. Beispiel:

Mehr

Kryptologie. Bernd Borchert. Univ. Tübingen SS Vorlesung. Teil 10. Signaturen, Diffie-Hellman

Kryptologie. Bernd Borchert. Univ. Tübingen SS Vorlesung. Teil 10. Signaturen, Diffie-Hellman Kryptologie Bernd Borchert Univ. Tübingen SS 2017 Vorlesung Teil 10 Signaturen, Diffie-Hellman Signatur Signatur s(m) einer Nachricht m Alice m, s(m) Bob K priv K pub K pub Signatur Signatur (Thema Integrity

Mehr

Digitale Signaturen. Sicherheitsdefinitionen Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Digitale Signaturen. Sicherheitsdefinitionen Björn Kaidel.  FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK Digitale Signaturen Sicherheitsdefinitionen Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-10-27 B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen KIT Die Forschungsuniversität

Mehr

Universität Tübingen SS Kryptologie. B. Borchert, D. Reichl. Klausur , (90 min)

Universität Tübingen SS Kryptologie. B. Borchert, D. Reichl. Klausur , (90 min) Universität Tübingen SS 2017 Kryptologie B. Borchert, D. Reichl Klausur 28.7.2017, 12.30-14.00 (90 min) Name: Matrikel-Nr.: Studiengang: MSc Informatik MSc Bioinformatik MSc Medieninformatik MSc Kognitionswissenschaft

Mehr

Kryptographie und Komplexität

Kryptographie und Komplexität Kryptographie und Komplexität Einheit 4.4 Semantische Sicherheit 1. Sicherheit partieller Informationen 2. Das Verfahren von Rabin 3. Sicherheit durch Randomisierung Semantische Sicherheit Mehr als nur

Mehr

Prinzipien der modernen Kryptographie Sicherheit

Prinzipien der modernen Kryptographie Sicherheit Prinzipien der modernen Kryptographie Sicherheit Prinzip 1 Sicherheitsziel Die Sicherheitsziele müssen präzise definiert werden. Beispiele für ungenügende Definitionen von Sicherheit Kein Angreifer kann

Mehr

Konstruktion von MACs. Message Authentication Codes. Sicherheitsmodell CBC-MAC

Konstruktion von MACs. Message Authentication Codes. Sicherheitsmodell CBC-MAC Message Authentication Codes Entspricht Hashfunktionen mit geheimen Schlüsseln. h : K M H, MAC = h k (m). h parametrisierte Hashfunktion. m Nachricht. k geheimer Schlüssel. Mit der Nachricht m wird h k

Mehr

Hashfunktionen und Kollisionen

Hashfunktionen und Kollisionen Hashfunktionen und Kollisionen Definition Hashfunktion Eine Hashfunktion ist ein Paar (Gen, H) von pt Algorithmen mit 1 Gen: s Gen(1 n ). Gen ist probabilistisch. 2 H: H s berechnet Funktion {0, 1} {0,

Mehr

Universität Tübingen WS 2015/16. Kryptologie. Klausur

Universität Tübingen WS 2015/16. Kryptologie. Klausur Universität Tübingen WS 2015/16 Kryptologie Klausur 31.3.2016 Name: Matrikel-Nr.: 1 2 3 4 5 6 7 8 9 10 Summe 10 15 10 10 8 10 12 5 10 10 100 Aufgabe 1 a) (8P) Testen Sie mit Miller-Rabin, ob 13 eine Primzahl

Mehr

Digitale Signaturen. seuf-cma & Pairings Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Digitale Signaturen. seuf-cma & Pairings Björn Kaidel.  FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK Digitale Signaturen seuf-cma & Pairings Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2018-01-19 B. Kaidel Digitale Signaturen: seuf-cma & Pairings KIT Die Forschungsuniversität

Mehr

Ununterscheidbarkeit von Chiffretexten

Ununterscheidbarkeit von Chiffretexten Ununterscheidbarkeit von Chiffretexten Spiel Ununterscheidbarkeit von Chiffretexten PrivK eav A,Π (n) Sei Π ein Verschlüsselungsverfahren und A ein Angreifer. 1 (m 0, m 1 ) A. 2 k Gen(1 n ). 3 Wähle b

Mehr

Digitale Signaturen. Anwendung von Einmalsignaturen Gunnar Hartung, Björn Kaidel.

Digitale Signaturen. Anwendung von Einmalsignaturen Gunnar Hartung, Björn Kaidel. Digitale Signaturen Anwendung von Einmalsignaturen Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-11-18 G. Hartung Digitale Signaturen: Anwendung von

Mehr

Prinzipien der modernen Kryptographie Sicherheit

Prinzipien der modernen Kryptographie Sicherheit Prinzipien der modernen Kryptographie Sicherheit Prinzip 1 Sicherheitsziel Die Sicherheitsziele müssen präzise definiert werden. Beispiele für ungenügende Definitionen von Sicherheit: Kein Angreifer kann

Mehr

Björn Kaidel Alexander Koch

Björn Kaidel Alexander Koch Übung zur Vorlesung Sicherheit Übung 1 Björn Kaidel Bjoern.Kaidel@kit.edu Alexander Koch Alexander.Koch@kit.edu 23.04.2015 1 / 31 Sicherheit Literatur zur Vorlesung Jonathan Katz, Yehuda Lindell. Introduction

Mehr

Verteilte Kyroptographie

Verteilte Kyroptographie Verteilte Kyroptographie Klassische kryptographische Verfahren Kryptographische Hash-Funktionen Public-Key-Signaturen Verteilte Mechanismen Schwellwert-Signaturen Verteilt generierte Zufallszahlen Verteilte

Mehr

Digitale Signaturen. Einführung Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Digitale Signaturen. Einführung Gunnar Hartung, Björn Kaidel.  FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK Digitale Signaturen Einführung Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-10-21 G. Hartung, B. Kaidel Digitale Signaturen: Einführung KIT Die Forschungsuniversität

Mehr

WS 2013/14. Diskrete Strukturen

WS 2013/14. Diskrete Strukturen WS 2013/14 Diskrete Strukturen Prof. Dr. J. Esparza Lehrstuhl für Grundlagen der Softwarezuverlässigkeit und theoretische Informatik Fakultät für Informatik Technische Universität München http://www7.in.tum.de/um/courses/ds/ws1314

Mehr

Musterlösung der Hauptklausur zur Vorlesung Sicherheit Sommersemester 2012

Musterlösung der Hauptklausur zur Vorlesung Sicherheit Sommersemester 2012 Institut für Kryptographie und Sicherheit Prof. Dr. Jörn Müller-Quade Musterlösung der Hauptklausur zur Vorlesung Sicherheit Sommersemester 2012 Vorname Nachname Matrikelnummer Ergebniscode Hinweise Für

Mehr

Übung zur Vorlesung Sicherheit Übungsblatt 2. Alexander Koch Björn Kaidel

Übung zur Vorlesung Sicherheit Übungsblatt 2. Alexander Koch Björn Kaidel Übung zur Vorlesung Sicherheit 07.05.2014 Übungsblatt 2 Alexander Koch alexander.koch@kit.edu Björn Kaidel bjoern.kaidel@kit.edu 1 / 39 Werbung: KASTEL-Zertifikat Nachweis für Spezialisierung in IT-Sicherheit

Mehr

Ununterscheidbarkeit von Chiffretexten

Ununterscheidbarkeit von Chiffretexten Ununterscheidbarkeit von Chiffretexten Spiel Ununterscheidbarkeit von Chiffretexten PrivK eav A,Π (n) Sei Π ein Verschlüsselungsverfahren und A ein Angreifer. (m 0, m ) A. 2 k Gen( n ). 3 Wähle b R {0,

Mehr

Sicherheit von ElGamal

Sicherheit von ElGamal Sicherheit von ElGamal Satz CPA-Sicherheit ElGamal ElGamal Π ist CPA-sicher unter der DDH-Annahme. Beweis: Sei A ein Angreifer auf ElGamal Π mit Erfolgsws ɛ(n) := Ws[PubK cpa A,Π (n) = 1]. Wir konstruieren

Mehr

VIII. Digitale Signaturen

VIII. Digitale Signaturen VIII. Digitale Signaturen Bob Eve Eve möchte - lauschen - ändern - personifizieren Alice 1 Aufgaben - Vertraulichkeit - Lauschen - Authentizität - Tauschen des Datenursprungs - Integrität - Änderung der

Mehr

Ununterscheidbarkeit von Chiffretexten

Ununterscheidbarkeit von Chiffretexten Ununterscheidbarkeit von Chiffretexten Spiel Ununterscheidbarkeit von Chiffretexten PrivK eav A,Π (n) Sei Π ein Verschlüsselungsverfahren und A ein Angreifer. 1 (m 0, m 1 ) A. 2 k Gen(1 n ). 3 Wähle b

Mehr

Digitale Signaturen. Einführung Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Digitale Signaturen. Einführung Björn Kaidel.  FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK Digitale Signaturen Einführung Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-10-20 B. Kaidel Digitale Signaturen: Einführung KIT Die Forschungsuniversität in der Helmholtz-Gemeinschaft

Mehr

Klausur zu Mathematische Grundlagen BachelorStudiengänge der Informatik

Klausur zu Mathematische Grundlagen BachelorStudiengänge der Informatik Klausur zu Mathematische Grundlagen BachelorStudiengänge der Informatik SS 2016, 16.07.2016 Prof. Dr. Hans-Jürgen Steens Name: Vorname: Matrikelnummer: Die Klausur besteht aus 23 Aufgaben. Es sind maximal

Mehr

Asymmetrische Verschlüsselungsverfahren

Asymmetrische Verschlüsselungsverfahren Asymmetrische Verschlüsselungsverfahren Björn Kaidel - Vertretung für Prof. J. Müller-Quade (Folien von A. Koch) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 17.11.2016 Björn Kaidel

Mehr

Proseminar Bakkalaureat TM 2008/2009 Datensicherheit und Versicherungsmathematik Public-Key-Kryptosystem

Proseminar Bakkalaureat TM 2008/2009 Datensicherheit und Versicherungsmathematik Public-Key-Kryptosystem Proseminar Bakkalaureat TM 2008/2009 Datensicherheit und Versicherungsmathematik Technische Universität Graz 29. Dezember 2008 Überblick Unterschied zwischen symmetrischen und asymmetrischen Verschlüsselungsverfahren

Mehr

Digitale Signaturen. Kapitel 8

Digitale Signaturen. Kapitel 8 Digitale Signaturen Kapitel 8 Handschriftliche vs. digitale Unterschrift digitalisieren mp3 Unterschrift digitale Unterschrift von D.H. für mp3? (Scannen und als Bitmap anhängen z.b. zu leicht zu fälschen)

Mehr