Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Nachklausur. Lösungsvorschlag Hinweise
|
|
- Kathrin Hauer
- vor 5 Jahren
- Abrufe
Transkript
1 Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Nachklausur Lösungsvorschlag Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen Ihnen 60 Minuten zur Verfügung. - Zum Bestehen der Klausur sind 20 der 60 möglichen Punkte hinreichend. - Es sind keine Hilfsmittel zugelassen. - Schreiben Sie Ihre Lösungen auf die Aufgabenblätter sowie auf deren Rückseiten. - Zusätzliches Papier erhalten Sie bei Bedarf von der Aufsicht. Aufgabe mögliche Punkte erreichte Punkte a b c Σ a b c Σ x1 10 Σ 60
2 Aufgabe 1. (4+3 Punkte) Betrachten Sie das Die-Hellman-Schlüsselaustauschverfahren aus der Vorlesung. Es sei eine zyklische (Unter-)Gruppe G Z 19 mit G-Erzeuger g = 16 der Ordnung 9 gegeben. Im Folgenden führen zwei Parteien A und B untereinander einen Die-Hellman-Schlüsselaustausch mit den gegebenen Parametern (G, g) aus. (a) (i) A sendet zunächst X A = 9 an B. Daraufhin wählt B den zufälligen, geheimen Wert y = 5 und sendet den öentlichen Wert X B an A. Berechnen Sie diesen Wert X B, den B an A sendet. Hinweis: 16 = 4 2, 4 ist ein Element der Untergruppe G. (ii) Berechnen Sie den geheimen Schlüssel, den A und B ausgetauscht haben. Hinweis: 9 = 4 4 in G, 4 ist ein Element der Untergruppe G. (b) Geben Sie an, wie der Man-in-the-Middle-Angri auf das Die-Hellman-Schlüsselaustauschverfahren aus der Vorlesung funktioniert, wobei A und B den ausgetauschten Schlüssel für ein Secret-Key- Verschlüsselungsverfahren verwenden wollen. Erklären Sie dabei auch, wie der Angreifer nach dem Schüsselaustausch alle von A an B (und umgekehrt) gesendeten Chirate entschlüsseln kann, ohne das A oder B dies bemerken. Lösungsvorschlag zu Aufgabe 1. (a) (i) X B = 16 5 mod 19 = (4 2 ) 5 mod 19 = 4 10 mod 9 mod 19 = 4 1 mod 19 = 4 mod 19 (ii) X 5 A = 9 5 mod 19 = (4 4 ) 5 mod 19 = 4 20 mod 9 mod 19 = 4 2 mod 19 = 16 mod 19 Alternativ könnte man dem Hinweis auch ansehen, dass das Geheimnis von A gleich 2 ist und dann X 2 B = 42 = 16 mod 19 schreiben. (b) Um den Man-in-the-Middle-Angri durchzuführen geht ein Angreifer folgendermaÿen vor: ˆ Sendet A seinen öentlichen Wert g a an B, so fängt der Angreifer diesen ab. Der Angreifer wählt nun selbst ein a und sendet g a an B. D.h. der Angreifer gibt sich gegenüber B als A aus. ˆ Umgekehrt führt der Angreifer das selbe mit dem öentlichen Wert g b von B aus, d.h. er fängt g b ab und schickt stattdessen ein g b mit selbst gewähltem b an A. ˆ A denkt nun, der geheime Schlüssel ist g ab, während B denkt, dass g a b der geheime Schlüssel ist. ˆ Der Angreifer kennt a, b, g a und g b. Damit kann er sich sowohl g ab als auch g a b berechnen. ˆ Der Angreifer fängt weiterhin alle Nachrichten von A an B und umgekehrt ab. ˆ Der Angreifer kann nun Chirate, die A an B schicken will abfangen, mithilfe von g ab entschlüsseln und mit g a b erneut für Bob verschlüsseln (Analog kann er dies für Nachrichten von b an A tun). ˆ Damit lernt der Angreifer alle ausgetauschten Nachrichten. Da das Protokoll aus Sicht von A als auch B korrekt abläuft, merkt keiner von beiden, dass dieser Angri stattndet. 1
3 Aufgabe 2. (2+2+4 Punkte) (a) Wir betrachten das folgende auf RSA basierende Verschlüsselungsverfahren. Die Schlüsselerzeugung ist identisch zu RSA, d.h. der öentliche Schlüssel entspricht pk = (N, e) und der geheime Schlüssel ist sk = (N, d) für geeignete N, e, d. Um eine Nachricht M zu verschlüsseln wird zuerst ein Padding pad auf M berechnet. Das folgende Diagramm gibt an, wie das Padding berechnet wird: M R {0, 1} M X Y Dabei bezeichne das bitweise XOR. Nachdem pad(m) = (X, Y ) berechnet wurde, wird als Chirat C = (X e mod N, Y e mod N) ausgegeben. Um ein Chirat C = (C 1, C 2 ) zu entschlüsseln, wird C2 d mod N berechnet und ausgegeben. Ist das obige Verschlüsselungsverfahren multiplikativ homomorph? Genauer: Sei C = (C 1, C 2 ) ein Chirat von M 1 und C = (C 1, C 2) ein Chirat von M 2. Ist dann C = (C 1 C 1, C 2 C 2) ein Chirat von M 1 M 2? Begründen Sie ihre Antwort, in dem Sie die Homomorphie beweisen oder ein Gegenbeispiel angeben. (b) Geben Sie die Padding-Funktion an, die beim Verschlüsselungsverfahren RSA-OAEP verwendet wird. (c) Es seien P, Q zwei verschiedene Primzahlen und N = P Q. Gegeben seien N und ϕ(n), wobei ϕ die Eulersche Phi-Funktion bezeichnet. Geben Sie einen Algorithmus an, der als Eingabe nur N sowie ϕ(n) erhält und in Polynomialzeit die Faktorisierung von N berechnet. Begründen Sie kurz, dass ihr Algorithmus polynomielle Laufzeit hat. Lösungsvorschlag zu Aufgabe 2. (a) Ja, dass Verfahren ist multiplikativ homomorph. Für Y gilt Y = M R R = M. Somit gilt: C 2 = C 2 C 2 = (M 1 R 1 R 1 ) e (M 2 R 2 R 2 ) e = M e 1 M e 2 = (M 1 M 2 ) e. Somit entschlüsselt der Entschlüsselungsalgorithmus dieses Chirat zu M 1 M 2. (C 1 = C 1 C 1 ist für die Entschlüsselung nicht relevant und muss daher nicht betrachtet werden.) (b) Es seien G und H Hashfunktionen. Das Padding funktioniert folgendermaÿen: M R zufällig G H X Y Die Ausgabe ist X Y. 2
4 (c) Es gilt ϕ(n) = (P 1)(Q 1) = N (P + Q) + 1 und damit (P + Q) = ϕ(n) N 1. Wir betrachten das folgende Polynom: (X P )(X Q) = X 2 Q X P X + P Q = X 2 (P + Q) X + N = X 2 + (ϕ(n) N 1) X + N. Somit sind P und Q die Nullstellen eines quadratischen Polynoms, dass sich unter Kenntnis von N und ϕ(n) ausdrücken lässt. Der gesuchte Algorithmus setzt also die konkreten Werte für N und ϕ(n) in das Polynom ein und bestimmt dessen Nullstellen. Da die Nullstellen von quadratischen Polynomen in Polynomialzeit bestimmt werden können, ist seine Laufzeit ebenfalls polynomiell und er berechnet P und Q mit Wahrscheinlichkeit 1. 3
5 Aufgabe 3. (2 + 2 Punkte) (a) Geben Sie die formale Denition der Hiding-Eigenschaft für Commitments Com aus der Vorlesung an. (b) Es sei G eine zyklische Gruppe mit Erzeuger g. Betrachten Sie das folgende Commitment Com für Nachrichten M und Zufall R (jeweils aus {1,..., G }): Com(M; R) = g M g R. Hat dieses Commitment die Binding-Eigenschaft? Begründen Sie ihre Antwort! Lösungsvorschlag zu Aufgabe 3. (a) Ein Commitment Com hat die Hiding-Eigenschaft, wenn für beliebige M, M {0, 1} die Verteilungen Com(M; R) und Com(M ; R) ununterscheidbar sind (wobei R unabhängig zufällig gezogen wird). (b) Nein, dieses Commitment hat nicht die Binding-Eigenschaft. Es gilt für alle M und R Com(M; R) = g M g R = g M+R = g R g M = Com(R; M). Ein geeigneter PPT-Angreifer A wählt also beliebig M R und gibt (M, R, R, M) als seine Antwort aus. 4
6 Aufgabe 4. (4+3+6 Punkte) (a) Es sei PKE = (Gen, Enc, Dec) ein IND-CPA-sicheres asymmetrisches Verschlüsselungsverfahren. Für eine Nachricht M bezeichne M i das i-te Bit von M. Die Funktion f ist deniert als: f(m) := M 1 M 2... M M, wobei das bitweise XOR bezeichne. Betrachten Sie das asymmetrische Verschlüsselungsverfahren PKE = (Gen, Enc, Dec ) mit den folgenden Algorithmen: ˆ Gen (1 k ) = Gen(1 k ), ˆ Enc (pk, M) := (Enc(pk, M), f(m)) =: (C 1, C 2 ), ˆ Dec (sk, C) := Dec (sk, (C 1, C 2 )) = Dec(sk, C 1 ). Ist PKE IND-CPA-sicher? Beweisen Sie Ihre Antwort, indem Sie entweder die IND-CPA-Sicherheit von PKE beweisen oder einen IND-CPA-Angreifer angeben (zeigen Sie in diesem Fall auch, dass Ihr Angreifer tatsächlich erfolgreich ist und polynomielle Laufzeit hat). (b) Geben Sie das EUF-CMA-Sicherheitsspiel für digitale Signaturen aus der Vorlesung an. Wann ist ein digitales Signaturverfahren EUF-CMA-sicher? (c) Es sei Σ = (Gen, Sig, Ver) ein EUF-CMA-sicheres digitales Signaturverfahren und F eine öentlich bekannte, in Polynomialzeit berechenbare und injektive Funktion. Betrachten Sie das digitale Signaturverfahren Σ = (Gen, Sig, Ver ), wobei die Algorithmen folgendermaÿen deniert sind: ˆ Gen (1 k ) := Gen(1 k ) ˆ Sig (sk, M) := Sig(sk, F (M)), ˆ Ver (pk, M, σ) := Ver(pk, F (M), σ). (i) Zeigen Sie die Korrektheit von Σ, d.h. zeigen Sie, dass Ver Signaturen, die von Sig erstellt wurden, korrekt veriziert. (ii) Beweisen Sie: Σ ist EUF-CMA-sicher. Zur Erinnerung hier noch einmal die Algorithmen von Σ : ˆ Gen (1 k ) := Gen(1 k ) ˆ Sig (sk, M) := Sig(sk, F (M)), ˆ Ver (pk, M, σ) := Ver(pk, F (M), σ). Lösungsvorschlag zu Aufgabe 4. (a) PKE ist nicht IND-CPA-sicher. Wir betrachten den folgenden Angreifer A: ˆ A erhält den öentlichen Schlüssel pk vom IND-CPA-Challenger. ˆ A wählt zwei gleichlange Nachrichten M 0, M 1 mit f(m 0 ) f(m 1 ), beispielsweise M 0 = 0 und M 1 = 1. ˆ A erhält das Challenge-Chirat C = (C 1, C 2 ). ˆ Es gilt C 2 = f(m b ) (wobei b das vom Challenger zufällig gezogene Bit bezeichne), somit kann A hiermit eindeutig bestimmen, welche Nachricht verschlüsselt wurde (da f(m 0 ) f(m 1 )). ˆ A gibt also 0 aus, wenn C 2 = f(m 0 ) und 1 sonst. Die Erfolgswahrscheinlichkeit von A ist gleich 1 und damit nicht vernachlässigbar. Seine Laufzeit ist polynomiell, da er im Prinzip nur einen Bit-Vergleich durchführen muss. (b) Das EUF-CMA-Spiel für digitale Signaturverfahren läuft wie folgt ab: ˆ Der Challenger führt (pk, sk) Gen(1 k ) aus und gibt pk an den Angreifer A. ˆ Der Angreifer A erhält während des gesamten Spiels Zugri auf ein Sig(sk, )-Signaturorakel. ˆ A gibt irgendwann ein Tupel (M, σ ) aus. 5
7 ˆ A gewinnt, wenn Ver(pk, M, σ ) = 1 gilt und M frisch ist, d.h. A hat nie eine Signatur für M vom Orakel angefragt. Ein digitales Signaturverfahren ist EUF-CMA-sicher, wenn für alle PPT-Algorithmen A die Wahrscheinlichkeit Pr[A gewinnt] vernachlässigbar ist. (c) (i) Aus der Korrektheit von Σ folgt, dass für für alle Schlüsselpaare (pk, sk) Gen (1 k ) = Gen(1 k ), alle Nachrichten M und alle σ = Sig (sk, M) = Sig(sk, F (M)) gilt, dass Ver (pk, M, σ) = Ver(pk, F (M), Sig (sk, M)) = Ver(pk, F (M), Sig(sk, F (M))) = 1. (ii) Angenommen, Σ ist nicht EUF-CMA-sicher. Dann existiert ein PPT-Angreifer B mit nichtvernachlässigbarer Erfolgswahrscheinlichkeit im EUF-CMA-Spiel gegen Σ. Wir konstruieren einen Angreifer A, der die EUF-CMA-Sicherheit von Σ bricht: ˆ Das Spiel zieht (pk, sk) Gen(1 k ). ˆ A erhält vom Spiel pk und Zugri auf ein Sig(sk, )-Orakel. ˆ A simuliert das EUF-CMA-Spiel mit Σ für B folgendermaÿen: ˆ A gibt pk an B. ˆ Beantwortung der Sig (sk, )-Orakelanfragen von B: B schickt M i an sein Orakel, dass A simulieren muss. A schickt F (M i ) an sein Sig(sk, )-Orakel und erhält eine Signatur σ. A gibt σ an B weiter. Damit simuliert A das Sig (sk, )-Orakel für B perfekt, da ˆ Verwendung der Fälschung von B: A erhält (M, σ ) als Fälschung von B. σ = Sig(sk, F (M)) = Sig (sk, M). Hat B eine gültige Fälschung ausgegeben, so gilt Ver (pk, M, σ ) = 1 und M M i für alle i, somit ist M auch frisch. Da F injektiv ist, gilt für alle i, dass F (M ) F (M i ), da ja bereits M M i. Somit ist auch F (M ) für A's Spiel frisch. Auÿerdem gilt, dass 1 = Ver (pk, M, σ ) = Ver(pk, F (M ), σ ), womit (F (M ), σ ) eine gültige Fälschung für Σ ist. A gibt nun also das Tupel (F (M ), σ ) als seine Fälschung aus. Insgesamt simuliert A das EUF-CMA-Spiel mit Σ perfekt für B. Die Laufzeit von A entspricht im wesentlichen der von B plus einem kleinen Overhead und ist somit auch polynomiell. Wir müssen nun die Erfolgswahrscheinlichkeit von A analyiseren. Nach obiger Begründung gilt: Pr[A gewinnt im EUF-CMA-Spiel mit Σ] = Pr[B gewinnt im EUF-CMA-Spiel mit Σ ], was nach Annahme nicht vernachlässigbar ist. Dies steht im Widerspruch zur EUF-CMA- Sicherheit von Σ, woraus die EUF-CMA-Sicherheit von SKE folgt. 6
8 Aufgabe 5. (7+3 Punkte) (a) Eine über k parametrisierte Hashfunktion H ist target-kollisionsresistent, wenn für alle PPT-Angreifer A die Wahrscheinlichkeit Pr [ X X H k (X) = H k (X ) X {0, 1} k X A(1 k, X) ] vernachlässigbar (in k) ist. Hinweis: Anschaulich muss der Angreifer hier zu einer gleichverteilt zufällig gezogenen, vorgegebenen Nachricht X eine Kollision X berechnen. (i) Es sei H eine über k parametrisierte, kollisionsresistente Hashfunktion. Ist H im Allgemeinen auch target-kollisionsresistent? Begründen Sie ihre Antwort in dem Sie die Aussage beweisen oder ein Gegenbeispiel angeben. (ii) Geben Sie eine Hashfunktion H an, die target-kollisionsresistent, aber nicht kollisionsresistent ist. Sie müssen nicht beweisen, dass ihre Hashfunktion H die Anforderungen erfüllt. Hinweis: Sie können von der Existenz einer target-kollisionsresistenten Hashfunktion H ausgehen und diese zur Konstruktion von H verwenden. (b) Geben Sie die Merkle-Damgård-Konstruktion aus der Vorlesung an. Lösungsvorschlag zu Aufgabe 5. (a) (i) Ja, H ist target-kollisionsresistent. Angenommen, H ist nicht target-kollisionsresistent. Dann existiert ein PPT-Angreifer B, für den die obige Wahrscheinlichkeit nicht vernachlässigbar ist. Wir konstruieren einen Angreifer A auf die Kollisionsresistenz von H. A wählt einen zufälligen Wert X {0, 1} k und gibt diesen an B. Dieser berechnet nun mit nicht vernachlässigbarer Wahrscheinlichkeit ein X X mit H(X) = H(X ). A gibt nun das Tupel (X, X ) als Kollision aus. Die Erfolgswahrscheinlichkeit von A entspricht genau der Erfolgswahrscheinlichkeit von B und seine Laufzeit entspricht der von B mit einem kleinen Overhead. Somit ist A ein PPT- Algorithmus mit nicht-vernachlässigbarer Erfolgswahrscheinlichkeit, was im Widerspruch zur Kollisionsresistenz von H steht. Somit muss H auch target-kollisionsresistent sein. (ii) Die folgende Hashfunktion H ist target-kollisionsresistent, aber nicht kollisionsresistent: { H 0 k, wenn M {0 k, 1 k } (M) = H. (M), sonst Anmerkung: Für die volle Punktzahl war keine Begründung nötig. Wir haben hier dennoch zur Verdeutlichung eine (stark vereinfachte) Begründung angegeben: H ist nicht kollisionsresistent, da (0, 1) eine gültige, leicht zu berechnende Kollision ist. H ist aber target-kollisionsresistent: Ein erfolgreicher PPT-Angreifer A auf die Target-Kollisionsresistenz von H kann auch verwendet werden, um die Target-Kollisionsresistenz von H zu brechen, da bei gleichverteiltem zufälligen Ziehen X {0, 1} k die Fälle X = 0 k und X = 1 k jeweils nur mit Wahrscheinlichkeit 1/2 k auftreten, was vernachlässigbar ist. Da A ein erfolgreicher Angreifer auf die Target- Kollisionsresistenz von H ist, muss er auch in genug anderen Fällen erfolgreich Kollisionen berechnen und bricht damit die Target-Kollisionsresistenz von H, was ein Widerspruch zu dessen Target-Kollisionsresistenz ist. (b) Sei F : {0, 1} 2k {0, 1} k eine Kompressionsfunktion. Die Nachricht wird in Blöcke X 0,..., X n der Länge k aufgeteilt und auf diese nacheinander F wie folgt angewendet: Z 0 := F (IV, X 0 ) Z i := F (Z i 1, X i ), für 1 i n. Hierbei sei IV ein Initialierungsvektor der Länge k. Beachten Sie, dass falls der letzte Block nicht vollständig gefüllt ist, dieser auf Länge k gepadded wird und dieses Padding die Länge der Nachricht enthält. Z n wird als Hashwert ausgegeben. 7
9 Aufgabe 6. (6+2 Punkte) (a) Im Chinese-Wall-Modell aus der Vorlesung seien mit die Menge von Firmen C = {c 1, c 2, c 3 }, die Menge von Beratern S = {s 1, s 2, s 3 }, die Menge von Objekten O = {o 1, o 2, o 3 }, y(o i ) = c i für i {1, 2, 3}, x(o 1 ) = {c 2 }, x(o 2 ) = und x(o 3 ) = {c 1, c 2 } gegeben. Betrachten Sie die folgende Abfolge von Zugrien b S O, mit der Angabe (read), falls es sich um einen Lese-Zugri handelt, und (write), falls es sich um einen Schreib-Zugri handelt, in der angegebenen Reihenfolge: 1. (s 1, o 2 ) (read) 4. (s 3, o 1 ) (write) 2. (s 3, o 3 ) (read) 5. (s 2, o 2 ) (read) 3. (s 2, o 3 ) (write) 6. (s 1, o 3 ) (write) Gehen Sie davon aus, dass vor den obigen Anfragen bereits die folgenden Zugrie erfolgt sind und durchgeführt wurden: (i) (s 1, o 1 ) (read) (ii) (s 2, o 2 ) (write) (iii) (s 2, o 2 ) (read) Geben Sie für die einzelnen Zugrie jeweils an, ob die ss- oder -Eigenschaft erfüllt oder verletzt ist. Nutzen Sie dafür die Spalten ss und der unten stehenden Tabelle. Benutzen Sie dabei für erfüllt und für verletzt. Geben Sie für verletzte Eigenschaften in der Spalte Bemerkung an, warum sie jeweils verletzt sind. Zugri ss Bemerkung 1. (s 1, o 2 ) (read) 2. (s 3, o 3 ) (read) 3. (s 2, o 3 ) (write) 4. (s 3, o 1 ) (write) 5. (s 2, o 2 ) (read) 6. (s 1, o 3 ) (write) (b) Geben Sie die Denition der -Eigenschaft des Chinese-Wall-Modells aus der Vorlesung an. 8
10 Lösungsvorschlag zu Aufgabe 6. (a) Gültig sind die einzelnen Zugrie b S O, falls die ss- und die -Eigenschaft erfüllt sind und damit die Systemsicherheit erhalten bleibt. Erfüllt sind alle genannten Eigenschaften, falls in den Spalten ss und das Symbol zu nden ist. In der unten stehenden Tabelle ndet sich ein Lösungsvorschlag. Zugri ss Bemerkung 1. (s 1, o 2 ) (read) y(o 2 ) x(o 1 ) und y(o 2 ) y(o 1 ) 2. (s 3, o 3 ) (read) 3. (s 2, o 3 ) (write) (x(o 2 ) = ) 4. (s 3, o 1 ) (write) y(o 1 ) x(o 3 ), x(o 3 ) und y(o 1 ) y(o 3 ) 5. (s 2, o 2 ) (read) y(o 2 ) x(o 3 ) und y(o 2 ) y(o 3 ) 6. (s 1, o 3 ) (write) x(o 1 ) und y(o 3 ) y(o 1 ) (b) Eine write-anfrage (s, o) hat die -Eigenschaft, falls für alle Objekte o, auf die s schon lesend zugreift, gilt: y(o ) = y(o) oder x(o ) =. 9
11 Aufgabe 7. (10 Punkte) Bei dieser Multiple-Choice-Aufgabe gibt jede richtige Antwort 1 Punkt. Kreuzen Sie jeweils an, ob die Aussage wahr oder falsch ist. Für jede falsche Antwort wird 1 Punkt abgezogen, die Gesamtpunktzahl der Aufgabe kann jedoch nicht negativ werden. Für nicht beantwortete Fragen (kein Kreuz) werden keine Punkte abgezogen. Lösungsvorschlag zu Aufgabe 7. Mit Hilfe des Transkripts zwischen einem Prover A und Verier B eines sicheren Public-Key-Identikationsprotokolls mit Zero-Knowledge- und Proof-of-Knowledge-Eigenschaft lässt sich auch eine dritte Person C von A's Identität überzeugen. Das One-Time-Pad ist eine Einwegfunktion, weil es nur einmal verwendet werden kann. Im Spiel der Sicherheitsdenition für Public-Key-Identikationsprotokolle aus der Vorlesung nimmt der Angreifer in Phase 1 die Rolle des Veriers und in Phase 2 die Rolle des Provers ein. Im Bell-LaPadula-Modell aus der Vorlesung werden verdeckte Kanäle nicht grundsätzlich verhindert. Tritt bei einer im CBC-Modus verschlüsselten Nachricht ein Bitfehler in einem Block auf, so können alle folgenden Blöcke nicht mehr richtig entschlüsselt werden. wahr falsch Der Betriebsmodus XTS verwendet eine Blockchire mit Tweak. Jede Einwegfunktion ist kollisionsresistent. Wird in der Programmiersprache C bei einem Schreibzugri auf ein Array dessen Gröÿe nicht überprüft, kann dies Angrie durch Buer Overows ermöglichen. Bei EUF-CMA-sicheren digitalen Signaturverfahren gibt es im Allgemeinen zu jedem geheimen Schlüssel sk nur einen einzigen und eindeutigen öentlichen Schlüssel pk. Die Hashfunktion SHA-3 basiert auf der Merkle-Damgård-Konstruktion. 10
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Klausur Hinweise
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Klausur 21.07.2015 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen
MehrInstitut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Nachklausur Hinweise
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2016 Nachklausur 12.10.2016 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung
MehrInstitut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Nachklausur. Lösung Hinweise
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2016 Nachklausur Lösung 12.10.2016 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung
MehrInstitut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Klausur Hinweise
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Klausur 22.07.2014 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen
MehrInstitut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Nachklausur Hinweise
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Nachklausur 29.09.2014 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung
MehrInstitut für Theoretische Informatik Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Klausur. Lösung
Institut für Theoretische Informatik Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2017 Klausur Lösung 02.08.2017 Vorname: Nachname: Matrikelnummer: Klausur-ID: Hinweise - Schreiben
MehrInstitut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Klausur Hinweise
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Klausur 22.07.2014 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen
MehrInstitut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Nachklausur
Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz IKS Institut für Kryptographie und Sicherheit Stammvorlesung Sicherheit im Sommersemester 2013 Nachklausur 07.10.2013 Vorname: Nachname:
MehrÜbungsblatt 3. Stammvorlesung Sicherheit im Sommersemester Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Übungsblatt 3 Aufgabe 1. Beurteilen Sie für die folgenden Konstruktionen jeweils, ob es sich
MehrÜbung zur Vorlesung Sicherheit Übungsblatt 3. Björn Kaidel 1 / 52
Übung zur Vorlesung Sicherheit 21.05.2014 Übungsblatt 3 Björn Kaidel bjoern.kaidel@kit.edu 1 / 52 Kummerkasten Bitte helleren Laserpointer verwenden. Sind die Skriptlinks vertauscht? Nein! Wegen allgemeiner
MehrVorlesung Sicherheit
Vorlesung Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 23.05.2016 1 / 32 Überblick 1 Symmetrische Authentifikation von Nachrichten Ziel Konstruktionen MACs
MehrInstitut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Übungsblatt 5. pk = (g, y) und sk = (g, x). ? = y H(t m) t. g s
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Übungsblatt 5 Hinweis: Übungsblätter können freiwillig bei Jessica Koch, Raum 256, Geb.
MehrInstitut für Theoretische Informatik Prof. Dr. Dennis Hofheinz Übungsleiter: Thomas Agrikola. Stammvorlesung Sicherheit im Sommersemester 2017
Institut für Theoretische Informatik Prof. Dr. Dennis Hofheinz Übungsleiter: Thomas Agrikola Stammvorlesung Sicherheit im Sommersemester 2017 Übungsblatt 4 Aufgabe 1. Wir instanziieren das ElGamal-Verschlüsselungsverfahren
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 12.05.2014 1 / 26 Überblick 1 Hashfunktionen Erinnerung Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel:
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 15.05.2017 1 / 25 Überblick 1 Hashfunktionen Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel: RSA
MehrInstitut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Klausur
Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz IKS Institut für Kryptographie und Sicherheit Stammvorlesung Sicherheit im Sommersemester 2013 Klausur 26.07.2013 Vorname: Nachname:
MehrVorlesung Sicherheit
Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 18.05.2015 1 / 30 Überblick 1 Asymmetrische Authentifikation von Nachrichten Erinnerung
MehrÜbung zur Vorlesung. Sicherheit Übungsblatt 5 Björn Kaidel
Übung zur Vorlesung Sicherheit 30.06.2016 Übungsblatt 5 Björn Kaidel bjoern.kaidel@kit.edu https://b.socrative.com/login/student/ Room: SICHERHEIT Bitte gleich einloggen! 1 / 55 Evaluation (siehe Evaluations-PDF)
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 06.05.2013 1 / 25 Überblick 1 Hashfunktionen Erinnerung Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel:
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Vorlesung 4 Alexander Koch (Vertretung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 KIT 2015-11-12 Universität desalexander Landes Baden-Württemberg
MehrHomomorphe Verschlüsselung
Homomorphe Verschlüsselung Definition Homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : G G für Gruppen G, G. Π heißt homomorph, falls Enc(m 1 ) G Enc(m 2 ) eine gültige Verschlüsselung
MehrÜbung zur Vorlesung Sicherheit Übungsblatt 2. Alexander Koch Björn Kaidel
Übung zur Vorlesung Sicherheit 07.05.2014 Übungsblatt 2 Alexander Koch alexander.koch@kit.edu Björn Kaidel bjoern.kaidel@kit.edu 1 / 32 Kummerkasten In der Übung lauter und deutlicher sprechen: Wir geben
MehrNachklausur zur Vorlesung Sicherheit Sommersemester 2012
Institut für Kryptographie und Sicherheit Prof. Dr. Jörn Müller-Quade Nachklausur zur Vorlesung Sicherheit Sommersemester 2012 Vorname Nachname Matrikelnummer Ergebniscode Hinweise Für die Bearbeitung
MehrÜbung zur Vorlesung Sicherheit Übungsblatt 2. Alexander Koch Björn Kaidel
Übung zur Vorlesung Sicherheit 07.05.2014 Übungsblatt 2 Alexander Koch alexander.koch@kit.edu Björn Kaidel bjoern.kaidel@kit.edu 1 / 32 Kummerkasten In der Übung lauter und deutlicher sprechen: Wir geben
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 23.06.2014 1 / 26 Überblick 1 Zero-Knowledge-Protokolle Erinnerung Beispiel für Zero-Knowledge-Protokoll Analyse des Beispiel-Zero-Knowledge-Protokolls Proof-of-Knowledge-Eigenschaft
MehrVorlesung Sicherheit
Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 08.06.2015 1 / 34 Überblick 1 Schlüsselaustauschprotokolle Erinnerung Weitere Schlüsselaustauschtypen
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Vorlesung 4 Alexander Koch (Vertretung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-11-10 Alexander Koch Asymmetrische Verschlüsselungsverfahren
MehrDigitale Signaturen. GHR-und Chamäleon-Signaturen Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen GHR-und Chamäleon-Signaturen Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen KIT
MehrDigitale Signaturen. RSA-FDH & das Random Oracle Model Björn Kaidel (mit Folien von Gunnar Hartung)
Digitale Signaturen RSA-FDH & das Random Oracle Model Björn Kaidel (mit Folien von Gunnar Hartung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-12-01 B. Kaidel Digitale Signaturen:
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Digitale Signaturen Prof. Jörn Müller-Quade mit Folien von G. Hartung und B. Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2018-01-25 J.
MehrDigitale Signaturen. RSA-FDH & das Random Oracle Model Jiaxin Pan (Slides from Björn Kaidel and Gunnar Hartung)
Digitale Signaturen RSA-FDH & das Random Oracle Model Jiaxin Pan (Slides from Björn Kaidel and Gunnar Hartung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2018-10-26 B. Kaidel Digitale
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 30.04.2018 1 / 35 Überblick 1 Hashfunktionen Motivation Formalisierung Die Merkle-Damgård-Konstruktion (Weitere) Angriffe auf Hashfunktionen Zusammenfassung
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Einmalsignaturen Björn Kaidel (Vertretung für Prof. Müller-Quade) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2018-02-01 B. Kaidel Asymmetrische
MehrSicherheit von Merkle Signaturen
Sicherheit von Merkle Signaturen Algorithmus Angreifer A für die Einwegsignatur EINGABE: pk, Zugriff auf eine Anfrage an Orakel Sign sk ( ) 1 Berechne (pk (i), sk (i) ) Gen(1 n ) für i = 1,...,l. Wähle
MehrVorlesung Digitale Signaturen im Wintersemester 2016/-17. Socrative-Fragen aus der Vorlesung vom
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Dozenten: Gunnar Hartung, Björn Kaidel Vorlesung Digitale Signaturen im Wintersemester 2016/-17 Socrative-Fragen aus der Vorlesung vom 25.11.2016
MehrVorlesung Digitale Signaturen im Wintersemester 2017/-18. Socrative-Fragen aus der Vorlesung vom
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Dozenten: Björn Kaidel Vorlesung Digitale Signaturen im Wintersemester 2017/-18 Socrative-Fragen aus der Vorlesung vom 17.11.2017 1 Quiz 1:
MehrVorlesung Sicherheit
Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 04.05.2015 1 / 20 Kummerkasten Vorlesungsfolien bitte einen Tag vorher hochladen : Sollte
MehrDigitale Signaturen. GHR-und Chamäleon-Signaturen Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen GHR-und Chamäleon-Signaturen Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-01-12 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen KIT
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Digitale Signaturen Björn Kaidel - Vertretung für Prof. Müller-Quade FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-01-19 B. Kaidel Asymmetrische
MehrSocrative-Fragen aus der Übung vom
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Übungsleiter: Björn Kaidel, Alexander Koch Stammvorlesung Sicherheit im Sommersemester 2016 Socrative-Fragen aus der Übung vom 28.04.2016
MehrDigitale Signaturen. Sicherheitsdefinitionen Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Sicherheitsdefinitionen Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-10-28 B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen
MehrInstitut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Übungsblatt 3
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Übungsblatt 3 Hinweis: Übungsblätter können freiwillig bei Florian Böhl, Raum 255, Geb.
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 26.06.2017 1 / 41 Überblick 1 Identifikationsprotokolle Erinnerung Sicherheitsmodell Ein sicheres Protokoll Noch ein sicheres Protokoll 2 Zero-Knowledge-Protokolle
MehrZiel: Zertifiziere Pfad von Wurzel zu m mittels Signaturen. Signieren Public-Keys auf Pfad inklusive der Nachbarknoten.
Merkle-Baum Idee: Konstruktion von Merkle-Bäumen Ersetze Signaturkette durch Baum (sogenannter Merkle-Baum). Verwenden Baum der Tiefe n für Nachrichten der Länge n. Die Wurzel erhält Label ɛ. Die Kinder
MehrPrivacy-Preserving Authentication 2 Kryptografische Bausteine WS 2015/2016
Privacy-Preserving Authentication 2 Kryptografische Bausteine WS 2015/2016 Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum Übersicht 1 Vorteil und Sicherheit 2 Hash Funktionen 3 Digitale
MehrMusterlösung der Nachklausur zur Vorlesung Sicherheit Sommersemester 2012
Institut für Kryptographie und Sicherheit Prof. Dr. Jörn Müller-Quade Musterlösung der Nachklausur zur Vorlesung Sicherheit Sommersemester 2012 Vorname Nachname Matrikelnummer Ergebniscode Hinweise Für
MehrVorlesung Sicherheit
Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 02.05.2016 1 / 22 Überblick 1 Hashfunktionen Erinnerung Formalisierung Die Merkle-Damgård-Konstruktion
MehrÜbungsblatt 4. Stammvorlesung Sicherheit im Sommersemester Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Übungsblatt 4 Aufgabe 1. Wir instanziieren das ElGamal-Verschlüsselungsverfahren aus der
MehrInstitut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Übungsblatt 5
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Übungsblatt 5 Aufgabe 1. (1.) In der Vorlesung wurde gezeigt, dass Lehrbuch-RSA-Signaturen
MehrDigitale Signaturen. Einmalsignaturen Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Einmalsignaturen Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-11-04 B. Kaidel Digitale Signaturen: Einmalsignaturen KIT Die Forschungsuniversität
Mehrhttps://b.socrative.com/login/student/
Übung zur Vorlesung Sicherheit 23.06.2016 Übungsblatt 4 Björn Kaidel bjoern.kaidel@kit.edu https://b.socrative.com/login/student/ Room: SICHERHEIT Bitte gleich einloggen! 1 / 62 Feedback: Kummerkasten/Feedback
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 29.04.2013 1 / 22 Überblick 1 Zusammenfassung und Korrektur Zusammenfassung Korrektur Definition semantische Sicherheit 2 Hashfunktionen Motivation Formalisierung
MehrVII. Hashfunktionen und Authentifizierungscodes
VII. Hashfunktionen und Authentifizierungscodes Bob Eve Eve möchte - lauschen - ändern - personifizieren Alice 1 Aufgaben - Vertraulichkeit Lauschen - Authentizität Tauschen des Datenursprungs - Integrität
Mehr3 Public-Key-Kryptosysteme
Stand: 05.11.2013 Vorlesung Grundlagen und Methoden der Kryptographie Dietzfelbinger 3 Public-Key-Kryptosysteme 3.1 Verschlüsselung von Nachrichten Wir betrachten ganz einfache Kommunikationsszenarien.
Mehrhttps://b.socrative.com/login/student/
Übung zur Vorlesung Sicherheit 23.06.2016 Übungsblatt 4 Björn Kaidel bjoern.kaidel@kit.edu https://b.socrative.com/login/student/ Room: SICHERHEIT Bitte gleich einloggen! 1 / 62 Feedback: Kummerkasten/Feedback
MehrKryptologie. K l a u s u r WS 2006/2007, Prof. Dr. Harald Baier
Kryptologie K l a u s u r WS 2006/2007, 2007-02-01 Prof. Dr. Harald Baier Name, Vorname: Matrikelnummer: Hinweise: (a) Als Hilfsmittel ist nur der Taschenrechner TI-30 zugelassen. Weitere Hilfsmittel sind
MehrHybride Verschlüsselungsverfahren
Hybride Verschlüsselungsverfahren Ziel: Flexibilität von asym. Verfahren und Effizienz von sym. Verfahren. Szenario: Sei Π = (Gen, Enc, Dec) ein PK-Verschlüsselungsverfahren und Π = (Gen, Enc, Dec ) ein
MehrVoll homomorpe Verschlüsselung
Voll homomorpe Verschlüsselung Definition Voll homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : R R für Ringe R, R. Π heißt voll homomorph, falls 1 Enc(m 1 ) + Enc(m 2 ) eine gültige
MehrKryptographie. Klausur mit Lösung zum Wintersemester 2008/2009. Name, Vorname:... Matrikelnummer:... Studiengang:... Diplom Bachelor Master
Einführung in die Kryptographie WS 2008/2009 Technische Universität Darmstadt Fachbereich Informatik Prof. Johannes Buchmann Erik Tews 25. Februar 2009 Klausur mit Lösung zum Wintersemester 2008/2009 Name,
MehrÜbung zur Vorlesung Sicherheit Übungsblatt 4. Björn Kaidel 1 / 70
Übung zur Vorlesung Sicherheit 18.06.2015 Übungsblatt 4 Björn Kaidel bjoern.kaidel@kit.edu 1 / 70 RSA: Warnung! Mehrere Nachfragen nach der letzten Übung: Wir wollen zu e ein d berechnen mit e d = 1 mod
MehrÜbung zur Vorlesung. Sicherheit Übungsblatt 6. Alexander Koch
Übung zur Vorlesung Sicherheit 09.07.2015 Übungsblatt 6 Alexander Koch alexander.koch@kit.edu 1 / 21 Kummerkasten Könnten Sie bitte eine kleine Wiederholung aller klausurrelevanten Themen in [der] letzten
MehrCPA-Sicherheit ist ungenügend
CPA-Sicherheit ist ungenügend Definition CCA CCA (=Chosen Ciphertext Attack) ist ein Angriff, bei dem der Angreifer sich Chiffretext seiner Wahl entschlüsseln lassen kann. Beispiele in denen CPA nicht
MehrBeliebige Anzahl von Signaturen
Beliebige Anzahl von Signaturen Algorithmus Signaturketten Sei Π = (Gen, Sign, Vrfy) ein Einwegsignaturverfahren. 1 Gen : (pk 1, sk 1 ) Gen(1 n ) 2 Sign : Signieren der Nachricht m i. Verwende gemerkten
MehrÜbung zur Vorlesung Sicherheit Übungsblatt 2. Alexander Koch Björn Kaidel
Übung zur Vorlesung Sicherheit 07.05.2014 Übungsblatt 2 Alexander Koch alexander.koch@kit.edu Björn Kaidel bjoern.kaidel@kit.edu 1 / 39 Werbung: KASTEL-Zertifikat Nachweis für Spezialisierung in IT-Sicherheit
MehrVI.4 Elgamal. - vorgestellt 1985 von Taher Elgamal. - nach RSA das wichtigste Public-Key Verfahren
VI.4 Elgamal - vorgestellt 1985 von Taher Elgamal - nach RSA das wichtigste Public-Key Verfahren - besitzt viele unterschiedliche Varianten, abhängig von zugrunde liegender zyklischer Gruppe - Elgamal
MehrInstitut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Übungsblatt 4
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Übungsblatt 4 Hinweis: Übungsblätter können freiwillig bei Florian Böhl, Raum 255, Geb.
MehrHashfunktionen und MACs
3. Mai 2006 Message Authentication Code MAC: Message Authentication Code Was ist ein MAC? Der CBC-MAC Der XOR-MAC Kryptographische Hashfunktionen Iterierte Hashfunktionen Message Authentication Code Nachrichten
MehrInstitut für Theoretische Informatik Prof. Dr. Dennis Hofheinz Übungsleiter: Thomas Agrikola. Stammvorlesung Sicherheit im Sommersemester 2017
Institut für Theoretische Informatik Prof. Dr. Dennis Hofheinz Übungsleiter: Thomas Agrikola Stammvorlesung Sicherheit im Sommersemester 2017 Übungsblatt 5 Aufgabe 1. (1.) In der Vorlesung wurde gezeigt,
MehrMessage Authentication Codes. Konstruktion von MACs. Hash-then-Encrypt. Sicherheitsmodell
Message Authentication Codes Entspricht Hashfunktionen mit geheimen Schlüsseln. h : K M H, MAC = h k (m). h parametrisierte Hashfunktion. m Nachricht. k geheimer Schlüssel. Mit der Nachricht m wird h k
MehrDigitale Signaturen. Andreas Spillner. Kryptografie, SS 2018
Digitale Signaturen Andreas Spillner Kryptografie, SS 2018 Ausgangspunkt Digitale Signaturen bieten unter anderem das, was man auch mit einer eigenhändigen Unterschrift auf einem Dokument bezweckt. Beispiel:
MehrKryptologie. Bernd Borchert. Univ. Tübingen SS Vorlesung. Teil 10. Signaturen, Diffie-Hellman
Kryptologie Bernd Borchert Univ. Tübingen SS 2017 Vorlesung Teil 10 Signaturen, Diffie-Hellman Signatur Signatur s(m) einer Nachricht m Alice m, s(m) Bob K priv K pub K pub Signatur Signatur (Thema Integrity
MehrDigitale Signaturen. Sicherheitsdefinitionen Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Sicherheitsdefinitionen Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-10-27 B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen KIT Die Forschungsuniversität
MehrUniversität Tübingen SS Kryptologie. B. Borchert, D. Reichl. Klausur , (90 min)
Universität Tübingen SS 2017 Kryptologie B. Borchert, D. Reichl Klausur 28.7.2017, 12.30-14.00 (90 min) Name: Matrikel-Nr.: Studiengang: MSc Informatik MSc Bioinformatik MSc Medieninformatik MSc Kognitionswissenschaft
MehrKryptographie und Komplexität
Kryptographie und Komplexität Einheit 4.4 Semantische Sicherheit 1. Sicherheit partieller Informationen 2. Das Verfahren von Rabin 3. Sicherheit durch Randomisierung Semantische Sicherheit Mehr als nur
MehrPrinzipien der modernen Kryptographie Sicherheit
Prinzipien der modernen Kryptographie Sicherheit Prinzip 1 Sicherheitsziel Die Sicherheitsziele müssen präzise definiert werden. Beispiele für ungenügende Definitionen von Sicherheit Kein Angreifer kann
MehrKonstruktion von MACs. Message Authentication Codes. Sicherheitsmodell CBC-MAC
Message Authentication Codes Entspricht Hashfunktionen mit geheimen Schlüsseln. h : K M H, MAC = h k (m). h parametrisierte Hashfunktion. m Nachricht. k geheimer Schlüssel. Mit der Nachricht m wird h k
MehrHashfunktionen und Kollisionen
Hashfunktionen und Kollisionen Definition Hashfunktion Eine Hashfunktion ist ein Paar (Gen, H) von pt Algorithmen mit 1 Gen: s Gen(1 n ). Gen ist probabilistisch. 2 H: H s berechnet Funktion {0, 1} {0,
MehrUniversität Tübingen WS 2015/16. Kryptologie. Klausur
Universität Tübingen WS 2015/16 Kryptologie Klausur 31.3.2016 Name: Matrikel-Nr.: 1 2 3 4 5 6 7 8 9 10 Summe 10 15 10 10 8 10 12 5 10 10 100 Aufgabe 1 a) (8P) Testen Sie mit Miller-Rabin, ob 13 eine Primzahl
MehrDigitale Signaturen. seuf-cma & Pairings Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen seuf-cma & Pairings Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2018-01-19 B. Kaidel Digitale Signaturen: seuf-cma & Pairings KIT Die Forschungsuniversität
MehrUnunterscheidbarkeit von Chiffretexten
Ununterscheidbarkeit von Chiffretexten Spiel Ununterscheidbarkeit von Chiffretexten PrivK eav A,Π (n) Sei Π ein Verschlüsselungsverfahren und A ein Angreifer. 1 (m 0, m 1 ) A. 2 k Gen(1 n ). 3 Wähle b
MehrDigitale Signaturen. Anwendung von Einmalsignaturen Gunnar Hartung, Björn Kaidel.
Digitale Signaturen Anwendung von Einmalsignaturen Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-11-18 G. Hartung Digitale Signaturen: Anwendung von
MehrPrinzipien der modernen Kryptographie Sicherheit
Prinzipien der modernen Kryptographie Sicherheit Prinzip 1 Sicherheitsziel Die Sicherheitsziele müssen präzise definiert werden. Beispiele für ungenügende Definitionen von Sicherheit: Kein Angreifer kann
MehrBjörn Kaidel Alexander Koch
Übung zur Vorlesung Sicherheit Übung 1 Björn Kaidel Bjoern.Kaidel@kit.edu Alexander Koch Alexander.Koch@kit.edu 23.04.2015 1 / 31 Sicherheit Literatur zur Vorlesung Jonathan Katz, Yehuda Lindell. Introduction
MehrVerteilte Kyroptographie
Verteilte Kyroptographie Klassische kryptographische Verfahren Kryptographische Hash-Funktionen Public-Key-Signaturen Verteilte Mechanismen Schwellwert-Signaturen Verteilt generierte Zufallszahlen Verteilte
MehrDigitale Signaturen. Einführung Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Einführung Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-10-21 G. Hartung, B. Kaidel Digitale Signaturen: Einführung KIT Die Forschungsuniversität
MehrWS 2013/14. Diskrete Strukturen
WS 2013/14 Diskrete Strukturen Prof. Dr. J. Esparza Lehrstuhl für Grundlagen der Softwarezuverlässigkeit und theoretische Informatik Fakultät für Informatik Technische Universität München http://www7.in.tum.de/um/courses/ds/ws1314
MehrMusterlösung der Hauptklausur zur Vorlesung Sicherheit Sommersemester 2012
Institut für Kryptographie und Sicherheit Prof. Dr. Jörn Müller-Quade Musterlösung der Hauptklausur zur Vorlesung Sicherheit Sommersemester 2012 Vorname Nachname Matrikelnummer Ergebniscode Hinweise Für
MehrÜbung zur Vorlesung Sicherheit Übungsblatt 2. Alexander Koch Björn Kaidel
Übung zur Vorlesung Sicherheit 07.05.2014 Übungsblatt 2 Alexander Koch alexander.koch@kit.edu Björn Kaidel bjoern.kaidel@kit.edu 1 / 39 Werbung: KASTEL-Zertifikat Nachweis für Spezialisierung in IT-Sicherheit
MehrUnunterscheidbarkeit von Chiffretexten
Ununterscheidbarkeit von Chiffretexten Spiel Ununterscheidbarkeit von Chiffretexten PrivK eav A,Π (n) Sei Π ein Verschlüsselungsverfahren und A ein Angreifer. (m 0, m ) A. 2 k Gen( n ). 3 Wähle b R {0,
MehrSicherheit von ElGamal
Sicherheit von ElGamal Satz CPA-Sicherheit ElGamal ElGamal Π ist CPA-sicher unter der DDH-Annahme. Beweis: Sei A ein Angreifer auf ElGamal Π mit Erfolgsws ɛ(n) := Ws[PubK cpa A,Π (n) = 1]. Wir konstruieren
MehrVIII. Digitale Signaturen
VIII. Digitale Signaturen Bob Eve Eve möchte - lauschen - ändern - personifizieren Alice 1 Aufgaben - Vertraulichkeit - Lauschen - Authentizität - Tauschen des Datenursprungs - Integrität - Änderung der
MehrUnunterscheidbarkeit von Chiffretexten
Ununterscheidbarkeit von Chiffretexten Spiel Ununterscheidbarkeit von Chiffretexten PrivK eav A,Π (n) Sei Π ein Verschlüsselungsverfahren und A ein Angreifer. 1 (m 0, m 1 ) A. 2 k Gen(1 n ). 3 Wähle b
MehrDigitale Signaturen. Einführung Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Einführung Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-10-20 B. Kaidel Digitale Signaturen: Einführung KIT Die Forschungsuniversität in der Helmholtz-Gemeinschaft
MehrKlausur zu Mathematische Grundlagen BachelorStudiengänge der Informatik
Klausur zu Mathematische Grundlagen BachelorStudiengänge der Informatik SS 2016, 16.07.2016 Prof. Dr. Hans-Jürgen Steens Name: Vorname: Matrikelnummer: Die Klausur besteht aus 23 Aufgaben. Es sind maximal
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Björn Kaidel - Vertretung für Prof. J. Müller-Quade (Folien von A. Koch) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 17.11.2016 Björn Kaidel
MehrProseminar Bakkalaureat TM 2008/2009 Datensicherheit und Versicherungsmathematik Public-Key-Kryptosystem
Proseminar Bakkalaureat TM 2008/2009 Datensicherheit und Versicherungsmathematik Technische Universität Graz 29. Dezember 2008 Überblick Unterschied zwischen symmetrischen und asymmetrischen Verschlüsselungsverfahren
MehrDigitale Signaturen. Kapitel 8
Digitale Signaturen Kapitel 8 Handschriftliche vs. digitale Unterschrift digitalisieren mp3 Unterschrift digitale Unterschrift von D.H. für mp3? (Scannen und als Bitmap anhängen z.b. zu leicht zu fälschen)
Mehr