Musterlösung der Nachklausur zur Vorlesung Sicherheit Sommersemester 2012
|
|
- Gerhardt Böhme
- vor 5 Jahren
- Abrufe
Transkript
1 Institut für Kryptographie und Sicherheit Prof. Dr. Jörn Müller-Quade Musterlösung der Nachklausur zur Vorlesung Sicherheit Sommersemester 2012 Vorname Nachname Matrikelnummer Ergebniscode Hinweise Für die Bearbeitung stehen Ihnen 60 Minuten zur Verfügung. Zum Bestehen der Klausur sind 20 der 60 möglichen Punkte hinreichend. Es sind keine Hilfsmittel zugelassen. Schreiben Sie Ihre Lösungen auf Aufgabenblätter und Rückseiten. Zusätzliches Papier erhalten Sie bei Bedarf von der Aufsicht. Aufgabe mögliche Punkte erreichte Punkte a b c Σ a b c Σ x1 10 Σ 60
2 Seite 1 Aufgabe 1 (3+3+4 = 10 Punkte) a) Beschreiben Sie kurz das ElGamal-Verschlüsselungsverfahren (Schlüsselerzeugung, Nachrichtenraum, Ver- und Entschlüsselung) über der Gruppe G mit Erzeuger g. Lösung: Für die Schlüsselerzeugung wird eine Zufallszahl x gleichverteilt aus {1,..., G } gezogen. Der private Schlüssel ist x, der öffentliche Schlüssel ist y := g x. Das Chiffrat zu einer als Gruppenelement m von G codierten Nachricht unter dem öffentlichen Schlüssel y wird wie folgt berechnet: Man zieht eine Zufallszahl r gleichverteilt aus {1,..., G }. Anschließend ergibt sich das Chiffrat als (g r, y r m). Für ein gegebenes Chiffrat (A, B) lässt sich mit dem zugehörigen geheimen Schlüssel x die Nachricht m := A x B berechnen. b) Wir betrachten nun ElGamal-Verschlüsselung über der Gruppe G := Z 23 mit Erzeuger g := 5. Berechnen sie den öffentlichen Schlüssel y zum geheimen Schlüssel x := 13. Entschlüsseln Sie mit Hilfe des geheimen Schlüssels x das Chiffrat C := (8, 20). Lösung: Öffentlicher Schlüssel: Es gilt (mod 23). Damit ist y g x 5 13 (5 2 ) (mod 23) Chiffrat entschlüsseln: Z. B. mit dem ELBA berechnet man 8 1 = 3, d. h ( mod 23). Dann gilt ( mod 23) und ( 3) (mod 23). Die Codierung der Nachricht als Gruppenelement ist also 19.
3 Seite 2 c) Wir betrachten eine modifizierte Version des ElGamal-Verfahrens aus Teilaufgabe a). Sämtliche Zufallswahlen bei der Verschlüsselung einer Nachricht m werden nun durch einen kryptographischen Hashwert h(m) ersetzt; Schlüsselerzeugung und Entschlüsselung bleiben unverändert. Ist dieses modifizierte Verfahren unter der DDH-Annahme IND-CPA-sicher? Falls ja, geben Sie einen entsprechenden Reduktionsbeweis an. Falls nein, geben Sie einen Angreifer im Sinne der Vorlesung an, der das IND-CPA-Experiment mit nicht-vernachlässigbarer Wahrscheinlichkeit gewinnt. Lösung: Nein, das modifizierte Verfahren ist nicht IND-CPA sicher, da es deterministisch ist. Der folgende Angreifer A gewinnt das IND-CPA-Experiment mit Wahrscheinlichkeit 1 (für G 2): A wählt zwei verschieden Nachrichten m 0, m 1 und berechnet mit dem öffentlichen Schlüssel y die dazugehörigen Chiffrate c 0, c 1. Er gibt m 0 und m 1 an das Experiment und erhält das Challenge-Chiffrat c. Nun vergleicht er c mit c 0 und c 1 und erfährt so, ob m 0 oder m 1 verschlüsselt wurde.
4 Seite 3 Aufgabe 2 (4+2+4 = 10 Punkte) a) Es sei eine kollisionsresistente Einwegfunktion h : {0, 1} {0, 1} n gegeben. Zeigen Sie: Die Abbildung g : {0, 1} {0, 1} n, x h(x) ist ebenfalls eine kollisionsresistente Einwegfunktion. Dabei bezeichne x das bitweise Komplement von x. Lösung: Wir nehmen zunächst an, dass g keine Einwegfunktion ist; d. h. zu einem zufälligen Bild y {0, 1} n können wir mit signifikanter Wahrscheinlichkeit ein Urbild x g 1 (y) effizient berechnen. Damit können wir zu y aber auch ein Urbild x unter h effizient berechnen, nämlich x = x. Dies ist ein Widerspruch zur Voraussetzung, dass h eine Einwegfunktion ist; also muss g ebenfalls eine Einwegfunktion sein. Nun nehmen wir an, das g nicht kollisionsresistent ist; d. h. wir können x 1 und x 2 mit x 1 x 2 und g(x 1 ) = g(x 2 ) effizient berechnen. Damit gilt aber auch x 1 x 2 und h(x 1 ) = h(x 2 ), d. h. wir haben eine Kollision für h gefunden. Dies ist ein Widerspruch zur Voraussetzung, dass h kollisionsresistent ist; also muss g ebenfalls kollisionsresistent sein.
5 Seite 4 b) Die Rabin-Variante der RSA-Einwegfunktion ist gegeben durch Rab n (x) = x 2 mod n, wobei n = p q ein RSA-Modulus ist. Berechnen Sie Rab 513 (25) und Rab 513 (510). Lösung: Rab 513 (25) mod 513 Rab 513 (510) ( 3) 2 9 mod 513 c) Aus der Vorlesung ist bekannt, dass man eine Nachricht immer erst hashen sollte, bevor man sie mittels RSA signiert. Warum ist die Rabin-Einwegfunktion hierbei nicht als Hashfunktion geeignet, falls derselbe Modulus wie für das RSA- Verfahren verwendet wird? Lösung: Sowohl die Rabin-Einwegfunktion, als auch die RSA-Signatur-Operation sind multiplikativ homomorph. Gegeben zwei Nachrichten-Signatur-Paare (m 1, σ 1 ) und (m 2, σ 2 ) kann ein Angreifer die passende Signatur für die Nachricht m 3 := m 1 m 2 berechnen, nämlich σ 3 = σ 1 σ 2.
6 Seite 5 Aufgabe 3 Wir betrachten die folgendermaßen definierte Blockchiffre: (4+2+4 = 10 Punkte) Enc k (m) := s box(k m) Dabei sei die Funktion s box durch folgende Wertetabelle gegeben: x s box(x) x s box(x) a) Verschlüsseln Sie die Nachricht mit der gegebenen Chiffre und dem Schlüssel k = 1110 im CBC- und im OFB-Modus. Wird ein Initialisierungsvektor benötigt, so wählen Sie dafür IV = Lösung: CBC: OFB: b) Beim OFB-Modus ist es wichtig, für jede Nachricht einen neuen Initialisierungsvektor zu verwenden. Was lernt ein Angreifer, wenn man denselben Initialisierungsvektor wiederverwendet? Lösung: Gegeben zwei Nachrichten M und M, sowie die zugehörigen OFB- Chiffate C und C, kann ein Angreifer in solch einem Fall M M = C C berechnen. c) Beim CBC-Modus ist es wichtig, dass man keine zu langen Nachrichten verschlüsselt, damit nicht zufällig identische Chiffratblöcke auftreten. Was lernt ein Angreifer im Fall c i = c j über m i und m j? Hinweis: Wie lautet die Formel, nach der c i und c j bei der Verschlüsselung berechnet werden? Lösung: Es gilt c i = Enc k (m i c i 1 ) und c j = Enc k (m j c j 1 ). Im Fall c i = c j kann der Angreifer damit m i m j = c i 1 c j 1 berechnen.
7 Seite 6 Aufgabe 4 (6+4 = 10 Punkte) a) Skizzieren Sie den Key-Renegotiation-Angriff auf das TLS-Protokoll, wie er in der Vorlesung vorgestellt wurde. Lösung: Alice Eve Bob TLS Handshake 1 halten TLS Handshake 2 Application Layer Commands Renegotiation starten TLS Handshake 1 fortgeführt in der verschlüsselten 2. Session Daten von Alice sind verschlüsselt
8 Seite 7 b) Wir betrachten folgendes Szenario: Ein Pizzalieferant bietet die Möglichkeit an, online per HTTPS (TLS) eine Bestellung entgegenzunehmen. Dazu werden die Wahlen ( W ) und die Adresse des Benutzers abgeschickt und im Server gepuffert. Die Bestellung wird abgeschlossen, sobald der Nutzer seine Kundennummer ( N ) abschickt, sodass sein Konto belastet werden kann. Ein Nutzer hat weiterhin die Möglichkeit, Kommentare ( % ) einzugeben um beispielsweise die Pizzen später einzelnen Personen zuordnen zu können. Jedes Kommando wird per ; abgeschlossen. Beispiel: W: Speciale HausC; %: Carols Lieblingspizza; N: ; Nun möchte Bob (N: , HausB) eine Pizza Adversare bestellen, ohne dafür zu zahlen. Alice (N: , HausA) wiederum möchte eine Pizza Victime bestellen. Wie kann Bob mittels eines Key-Renegotiation-Angriffs auf TLS bewirken, dass das Konto von Alice für seine Bestellung belastet wird? Nennen Sie (in obiger Notation) die beiden Nachrichten, die Alice und Bob abschicken, sowie die Nachricht, die der Pizzalieferant sieht! Machen Sie dabei explizit deutlich, an welcher Stelle die Key-Renegotiation stattfindet. Lösung: Bob: W: Adversare HausB; %: Hier wird die Key-Renegotiation ausgefürt Alice W: Victime HausA; %:... N: ; Server führt aus: W: Adversare HausB; %: W: Victime HausA; %:... N: ;
9 Seite 8 Aufgabe 5 (6+4 = 10 Punkte) a) Wir betrachten das folgende System im Bell-LaPadula-Modell: Subjektmenge S = {Alice, Bob} Objektmenge O = {D 1, D 2, D 3, D 4 } Menge der Zugriffsoperationen A = {read, write, append, execute} Menge der Sicherheitsstufen L = {streng geheim, privat, dienstlich, öffentlich} mit der folgenden partiellen Ordnung: streng geheim privat öffentlich streng geheim dienstlich öffentlich Wir betrachten den folgenden Systemzustand (B, M, F ): Die Menge der aktuellen Zugriffe B ist gegeben durch: B = D 1 D 2 D 3 D 4 Alice r,x r r,w r,a Bob x r,a w w,x Die Zugriffskontrollmatrix M ist gegeben durch: M = D 1 D 2 D 3 D 4 Alice r,w,a,x r,w r Bob a r,w,a w,a r,w,a,x Die Zuordnung der Sicherheitsstufen F = (f S, f C, f O ) ist gegeben durch: f S f C Alice dienstlich dienstlich Bob privat öffentlich D 1 D 2 D 3 D 4 f O öffentlich privat streng geheim öffentlich Der gegebene Systemzustand verstößt vielfach gegen die Sicherheitsregeln des Bell-La-Padula-Modells. Geben Sie im Folgenden jeweils entsprechende aktuelle Zugriffe an. Gehen Sie dabei davon aus, dass execute keinerlei Lese- oder Schreibzugriff impliziert. 1. Geben Sie für Alice und Bob jeweils eine Verletzung der ss-eigenschaft an. Lösung: Alice: read D 2 Bob: write D 3 2. Geben Sie für Alice und Bob jeweils eine Verletzung der -Eigenschaft an. Lösung: Alice: append D 4 Bob: read D 2 & write D 4 3. Geben Sie für Alice und Bob jeweils eine Verletzung der ds-eigenschaft an. Lösung: Alice: append D 4 Bob: execute D 1
10 Seite 9 b) Gegeben sei nun eine Unternehmensberaterin S = {Alice}, welche fünf Projekte O = {D 1, D 2, D 3, D 4, D 5 } bei vier Firmen C = {C 1, C 2, C 3, C 4 } betreut. Für die Projekte gelten die folgenden Zugehörigkeiten und Konflikte: Zugehörigkeit y Konflikte x D 1 C 1 D 2 C 2 {C 1, C 3 } D 3 C 1 {C 3 } D 4 C 3 {C 2 } D 5 C 4 Die Unternehmensberaterin benutzt das Chinese-Wall-Modell, um zu verhindern, dass es zu Interessenkonflikten kommt. Prüfen Sie, welche der folgenden Arbeitsschritte nach dem Modell zulässig sind. Berücksichtigen Sie gültige Arbeitsschritte für nachfolgende Entscheidungen. Beachten Sie dabei, dass write-rechte read-rechte implizieren. Geben Sie für abgelehnte Anfragen als Begründung an, welche Sicherheitseigenschaft(en) verletzt würde(n), wenn der Zugriff erteilt würde. Gehen Sie von einem konfliktfreien Initialzustand aus. Lösung: Zugriffsanforderung Zugriff erteilt/verweigert Begründung (falls verweigert) 1. (Alice, D 3, w) erteilt 2. (Alice, D 2, r) erteilt 3. (Alice, D 5, w) verweigert -Eigenschaft 4. (Alice, D 1, w) verweigert ss- & -Eigenschaft
11 Seite 10 Aufgabe 6 (10 Punkte) Bei dieser Multiple-Choice-Aufgabe gibt jede richtige Antwort 1 Punkt; für jede e Antwort wird 1 Punkt abgezogen, die Gesamtpunktzahl der Aufgabe kann jedoch nicht negativ werden. Für nicht beantwortete Fragen (kein Kreuz) werden keine Punkte abgezogen. Wenn P = NP gilt, dann gibt es keine kryptographischen Hashfunktionen. Bei k-anonymität wird das sensible Attribut soweit vergröbert, bis k Datensätze das gleiche sensible Attribut haben. Das Transkript eines Zero-Knowledge-Beweises zwischen Alice und Bob überzeugt auch Carol. ElGamal ist unter der DDH-Annahme IND-CCA-sicher. Eine Funktion µ : N R 0 ist genau dann vernachlässigbar, wenn es eine Funktion α : N R gibt mit lim inf k N α(k) = und es gilt: µ(k) = k α(k) für alle k > 1 mit µ(k) 0. Jede Einwegfunktion ist insbesondere auch kollisionsresistent, umgekehrt impliziert Kollisionsresistenz aber nicht unbedingt die Einwegeigenschaft. Im Bell-LaPadula-Modell gibt es einen potentiellen Seitenkanal über die Existenz bzw. Nichtexistenz von Dateien, womit man Information aus einem höheren Sicherheitslevel in einen niedrigeren Sicherheitslevel übertragen kann. Eine sichere Blockchiffre mit n bit Blocklänge ist für einen polynomiell beschränkten Angreifer ohne Schlüsselzugriff ununterscheidbar von einer zufälligen Injektion {0, 1} n {0, 1} n. Für digitale Signaturen benötigt man Verfahren aus der Public- Key-Kryptographie. Allein die Existenz von Einwegfunktionen reicht hierfür noch nicht aus. Blockchiffren dürfen nur aus invertierbaren Bausteinen zusammengesetzt sein, da man sonst nicht mehr entschlüsseln kann.
Nachklausur zur Vorlesung Sicherheit Sommersemester 2012
Institut für Kryptographie und Sicherheit Prof. Dr. Jörn Müller-Quade Nachklausur zur Vorlesung Sicherheit Sommersemester 2012 Vorname Nachname Matrikelnummer Ergebniscode Hinweise Für die Bearbeitung
MehrInstitut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Klausur Hinweise
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Klausur 21.07.2015 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen
MehrInstitut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Nachklausur Hinweise
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2016 Nachklausur 12.10.2016 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung
MehrInstitut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Klausur Hinweise
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Klausur 22.07.2014 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen
MehrInstitut für Theoretische Informatik Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Klausur. Lösung
Institut für Theoretische Informatik Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2017 Klausur Lösung 02.08.2017 Vorname: Nachname: Matrikelnummer: Klausur-ID: Hinweise - Schreiben
MehrInstitut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Nachklausur
Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz IKS Institut für Kryptographie und Sicherheit Stammvorlesung Sicherheit im Sommersemester 2013 Nachklausur 07.10.2013 Vorname: Nachname:
MehrMusterlösung der Hauptklausur zur Vorlesung Sicherheit Sommersemester 2012
Institut für Kryptographie und Sicherheit Prof. Dr. Jörn Müller-Quade Musterlösung der Hauptklausur zur Vorlesung Sicherheit Sommersemester 2012 Vorname Nachname Matrikelnummer Ergebniscode Hinweise Für
MehrInstitut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Nachklausur. Lösung Hinweise
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2016 Nachklausur Lösung 12.10.2016 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung
MehrInstitut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Nachklausur Hinweise
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Nachklausur 29.09.2014 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung
MehrInstitut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Klausur Hinweise
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Klausur 22.07.2014 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen
MehrInstitut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Klausur
Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz IKS Institut für Kryptographie und Sicherheit Stammvorlesung Sicherheit im Sommersemester 2013 Klausur 26.07.2013 Vorname: Nachname:
MehrInstitut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Nachklausur. Lösungsvorschlag Hinweise
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Nachklausur Lösungsvorschlag 29.09.2015 Vorname: Nachname: Matrikelnummer: Hinweise - Für
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 12.05.2014 1 / 26 Überblick 1 Hashfunktionen Erinnerung Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel:
MehrName:... Vorname:... Matrikel-Nr.:... Studienfach:...
Christian Forler DHBW Mosbach 2. April 2015 Klausur Name:.............................. Vorname:........................... Matrikel-Nr.:....................... Studienfach:........................ Wichtige
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 15.05.2017 1 / 25 Überblick 1 Hashfunktionen Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel: RSA
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 08.05.2017 1 / 32 Überblick 1 Blockchiffren Erinnerung Varianten von DES Beispiel: AES Angriffe auf Blockchiffren 2 Formalisierung von Sicherheit (symmetrischer
MehrInstitut für Theoretische Informatik Prof. Dr. Dennis Hofheinz Übungsleiter: Thomas Agrikola. Stammvorlesung Sicherheit im Sommersemester 2017
Institut für Theoretische Informatik Prof. Dr. Dennis Hofheinz Übungsleiter: Thomas Agrikola Stammvorlesung Sicherheit im Sommersemester 2017 Übungsblatt 4 Aufgabe 1. Wir instanziieren das ElGamal-Verschlüsselungsverfahren
MehrÜbung zur Vorlesung. Sicherheit Übungsblatt 6. Alexander Koch
Übung zur Vorlesung Sicherheit 09.07.2015 Übungsblatt 6 Alexander Koch alexander.koch@kit.edu 1 / 21 Kummerkasten Könnten Sie bitte eine kleine Wiederholung aller klausurrelevanten Themen in [der] letzten
MehrKryptologie. K l a u s u r WS 2006/2007, Prof. Dr. Harald Baier
Kryptologie K l a u s u r WS 2006/2007, 2007-02-01 Prof. Dr. Harald Baier Name, Vorname: Matrikelnummer: Hinweise: (a) Als Hilfsmittel ist nur der Taschenrechner TI-30 zugelassen. Weitere Hilfsmittel sind
MehrÜbungsblatt 3. Stammvorlesung Sicherheit im Sommersemester Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Übungsblatt 3 Aufgabe 1. Beurteilen Sie für die folgenden Konstruktionen jeweils, ob es sich
MehrKryptographie und Komplexität
Kryptographie und Komplexität Einheit 5.2 ElGamal Systeme 1. Verschlüsselungsverfahren 2. Korrektheit und Komplexität 3. Sicherheitsaspekte Das ElGamal Verschlüsselungsverfahren Public-Key Verfahren von
MehrVorlesung Sicherheit
Vorlesung Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 23.05.2016 1 / 32 Überblick 1 Symmetrische Authentifikation von Nachrichten Ziel Konstruktionen MACs
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 29.04.2013 1 / 22 Überblick 1 Zusammenfassung und Korrektur Zusammenfassung Korrektur Definition semantische Sicherheit 2 Hashfunktionen Motivation Formalisierung
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 30.04.2018 1 / 35 Überblick 1 Hashfunktionen Motivation Formalisierung Die Merkle-Damgård-Konstruktion (Weitere) Angriffe auf Hashfunktionen Zusammenfassung
MehrKryptographie und Komplexität
Kryptographie und Komplexität Einheit 6.2 Digitale Signaturen 1. Sicherheitsanforderungen 2. RSA Signaturen 3. ElGamal Signaturen Wozu Unterschriften? Verbindliche Urheberschaft von Dokumenten Unterschrift
MehrVII. Hashfunktionen und Authentifizierungscodes
VII. Hashfunktionen und Authentifizierungscodes Bob Eve Eve möchte - lauschen - ändern - personifizieren Alice 1 Aufgaben - Vertraulichkeit Lauschen - Authentizität Tauschen des Datenursprungs - Integrität
MehrKryptographie und Komplexität
Kryptographie und Komplexität Einheit 4.4 Semantische Sicherheit 1. Sicherheit partieller Informationen 2. Das Verfahren von Rabin 3. Sicherheit durch Randomisierung Semantische Sicherheit Mehr als nur
MehrVorlesung Sicherheit
Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 02.05.2016 1 / 22 Überblick 1 Hashfunktionen Erinnerung Formalisierung Die Merkle-Damgård-Konstruktion
MehrHybride Verschlüsselungsverfahren
Hybride Verschlüsselungsverfahren Ziel: Flexibilität von asym. Verfahren und Effizienz von sym. Verfahren. Szenario: Sei Π = (Gen, Enc, Dec) ein PK-Verschlüsselungsverfahren und Π = (Gen, Enc, Dec ) ein
MehrSicherheit von Merkle Signaturen
Sicherheit von Merkle Signaturen Algorithmus Angreifer A für die Einwegsignatur EINGABE: pk, Zugriff auf eine Anfrage an Orakel Sign sk ( ) 1 Berechne (pk (i), sk (i) ) Gen(1 n ) für i = 1,...,l. Wähle
MehrInstitut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Übungsblatt 5. pk = (g, y) und sk = (g, x). ? = y H(t m) t. g s
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Übungsblatt 5 Hinweis: Übungsblätter können freiwillig bei Jessica Koch, Raum 256, Geb.
MehrÜbung zur Vorlesung. Sicherheit Übungsblatt 6 Alexander Koch
Übung zur Vorlesung Sicherheit 14.07.2015 Übungsblatt 6 Alexander Koch alexander.koch@kit.edu https://b.socrative.com/login/student/ Room: SICHERHEIT Bitte gleich einloggen! 1 / 26 Sicherheit Übungsblatt
MehrKryptologie. Bernd Borchert. Univ. Tübingen SS Vorlesung. Teil 10. Signaturen, Diffie-Hellman
Kryptologie Bernd Borchert Univ. Tübingen SS 2017 Vorlesung Teil 10 Signaturen, Diffie-Hellman Signatur Signatur s(m) einer Nachricht m Alice m, s(m) Bob K priv K pub K pub Signatur Signatur (Thema Integrity
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Vorlesung 4 Alexander Koch (Vertretung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 KIT 2015-11-12 Universität desalexander Landes Baden-Württemberg
MehrHomomorphe Verschlüsselung
Homomorphe Verschlüsselung Definition Homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : G G für Gruppen G, G. Π heißt homomorph, falls Enc(m 1 ) G Enc(m 2 ) eine gültige Verschlüsselung
MehrÜbung zur Vorlesung. Sicherheit Übungsblatt 5 Björn Kaidel
Übung zur Vorlesung Sicherheit 30.06.2016 Übungsblatt 5 Björn Kaidel bjoern.kaidel@kit.edu https://b.socrative.com/login/student/ Room: SICHERHEIT Bitte gleich einloggen! 1 / 55 Evaluation (siehe Evaluations-PDF)
MehrÜbung zur Vorlesung. Sicherheit Übungsblatt 6 Alexander Koch
Übung zur Vorlesung Sicherheit 14.07.2015 Übungsblatt 6 Alexander Koch alexander.koch@kit.edu https://b.socrative.com/login/student/ Room: SICHERHEIT Bitte gleich einloggen! 1 / 26 Sicherheit Übungsblatt
MehrVorlesung Sicherheit
Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 20.04.2014 1 / 28 Überblick 1 Blockchiffren Erinnerung Angriffe auf Blockchiffren 2 Formalisierung
MehrVI.4 Elgamal. - vorgestellt 1985 von Taher Elgamal. - nach RSA das wichtigste Public-Key Verfahren
VI.4 Elgamal - vorgestellt 1985 von Taher Elgamal - nach RSA das wichtigste Public-Key Verfahren - besitzt viele unterschiedliche Varianten, abhängig von zugrunde liegender zyklischer Gruppe - Elgamal
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 06.05.2013 1 / 25 Überblick 1 Hashfunktionen Erinnerung Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel:
MehrZiel: Zertifiziere Pfad von Wurzel zu m mittels Signaturen. Signieren Public-Keys auf Pfad inklusive der Nachbarknoten.
Merkle-Baum Idee: Konstruktion von Merkle-Bäumen Ersetze Signaturkette durch Baum (sogenannter Merkle-Baum). Verwenden Baum der Tiefe n für Nachrichten der Länge n. Die Wurzel erhält Label ɛ. Die Kinder
MehrVorlesung Sicherheit
Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 18.05.2015 1 / 30 Überblick 1 Asymmetrische Authentifikation von Nachrichten Erinnerung
MehrÜbung zur Vorlesung Sicherheit Übungsblatt 3. Björn Kaidel 1 / 52
Übung zur Vorlesung Sicherheit 21.05.2014 Übungsblatt 3 Björn Kaidel bjoern.kaidel@kit.edu 1 / 52 Kummerkasten Bitte helleren Laserpointer verwenden. Sind die Skriptlinks vertauscht? Nein! Wegen allgemeiner
MehrSocrative-Fragen aus der Übung vom
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Übungsleiter: Björn Kaidel, Alexander Koch Stammvorlesung Sicherheit im Sommersemester 2016 Socrative-Fragen aus der Übung vom 28.04.2016
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Einmalsignaturen Björn Kaidel (Vertretung für Prof. Müller-Quade) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2018-02-01 B. Kaidel Asymmetrische
MehrKryptographie. Nachricht
Kryptographie Kryptographie Sender Nachricht Angreifer Empfänger Ziele: Vertraulichkeit Angreifer kann die Nachricht nicht lesen (Flüstern). Integrität Angreifer kann die Nachricht nicht ändern ohne dass
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Vorlesung 4 Alexander Koch (Vertretung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-11-10 Alexander Koch Asymmetrische Verschlüsselungsverfahren
MehrDigitale Signaturen. Andreas Spillner. Kryptografie, SS 2018
Digitale Signaturen Andreas Spillner Kryptografie, SS 2018 Ausgangspunkt Digitale Signaturen bieten unter anderem das, was man auch mit einer eigenhändigen Unterschrift auf einem Dokument bezweckt. Beispiel:
MehrCPA-Sicherheit ist ungenügend
CPA-Sicherheit ist ungenügend Definition CCA CCA (=Chosen Ciphertext Attack) ist ein Angriff, bei dem der Angreifer sich Chiffretext seiner Wahl entschlüsseln lassen kann. Beispiele in denen CPA nicht
MehrÜbung GSS Blatt 6. SVS Sicherheit in Verteilten Systemen
Übung GSS Blatt 6 SVS Sicherheit in Verteilten Systemen 1 Einladung zum SVS-Sommerfest SVS-Sommerfest am 12.07.16 ab 17 Uhr Ihr seid eingeladen! :-) Es gibt Thüringer Bratwürste im Brötchen oder Grillkäse
MehrÜbung zur Vorlesung Sicherheit Übungsblatt 2. Alexander Koch Björn Kaidel
Übung zur Vorlesung Sicherheit 07.05.2014 Übungsblatt 2 Alexander Koch alexander.koch@kit.edu Björn Kaidel bjoern.kaidel@kit.edu 1 / 32 Kummerkasten In der Übung lauter und deutlicher sprechen: Wir geben
MehrÜbung zur Vorlesung Sicherheit Übungsblatt 2. Alexander Koch Björn Kaidel
Übung zur Vorlesung Sicherheit 07.05.2014 Übungsblatt 2 Alexander Koch alexander.koch@kit.edu Björn Kaidel bjoern.kaidel@kit.edu 1 / 32 Kummerkasten In der Übung lauter und deutlicher sprechen: Wir geben
MehrÜbung zur Vorlesung Sicherheit Übungsblatt 2. Alexander Koch Björn Kaidel
Übung zur Vorlesung Sicherheit 07.05.2014 Übungsblatt 2 Alexander Koch alexander.koch@kit.edu Björn Kaidel bjoern.kaidel@kit.edu 1 / 39 Werbung: KASTEL-Zertifikat Nachweis für Spezialisierung in IT-Sicherheit
MehrVoll homomorpe Verschlüsselung
Voll homomorpe Verschlüsselung Definition Voll homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : R R für Ringe R, R. Π heißt voll homomorph, falls 1 Enc(m 1 ) + Enc(m 2 ) eine gültige
MehrSicherheit von ElGamal
Sicherheit von ElGamal Satz CPA-Sicherheit ElGamal ElGamal Π ist CPA-sicher unter der DDH-Annahme. Beweis: Sei A ein Angreifer auf ElGamal Π mit Erfolgsws ɛ(n) := Ws[PubK cpa A,Π (n) = 1]. Wir konstruieren
Mehr3 Public-Key-Kryptosysteme
Stand: 05.11.2013 Vorlesung Grundlagen und Methoden der Kryptographie Dietzfelbinger 3 Public-Key-Kryptosysteme 3.1 Verschlüsselung von Nachrichten Wir betrachten ganz einfache Kommunikationsszenarien.
MehrInstitut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Übungsblatt 3
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Übungsblatt 3 Hinweis: Übungsblätter können freiwillig bei Florian Böhl, Raum 255, Geb.
MehrKryptograhie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik
Kryptograhie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik Übersicht Zwecke der Krytographie Techniken Symmetrische Verschlüsselung( One-time Pad,
MehrNachklausur zur Vorlesung Theoretische Grundlagen der Informatik Wintersemester 2012/13
Institut für Kryptographie und Sicherheit Prof. Dr. Jörn Müller-Quade Nachklausur zur Vorlesung Theoretische Grundlagen der Informatik Wintersemester 2012/13 Vorname Nachname Matrikelnummer Hinweise Für
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 15.04.2013 1 / 29 Überblick 1 Sicherheit 2 Struktur der Vorlesung 3 Symmetrische Verschlüsselung Ziel Geheime Verfahren Kerckhoffs Prinzip Cäsar Vigenère Weitere
MehrKryptographie. Klausur mit Lösung zum Wintersemester 2008/2009. Name, Vorname:... Matrikelnummer:... Studiengang:... Diplom Bachelor Master
Einführung in die Kryptographie WS 2008/2009 Technische Universität Darmstadt Fachbereich Informatik Prof. Johannes Buchmann Erik Tews 25. Februar 2009 Klausur mit Lösung zum Wintersemester 2008/2009 Name,
MehrKonstruktion von MACs. Message Authentication Codes. Sicherheitsmodell CBC-MAC
Message Authentication Codes Entspricht Hashfunktionen mit geheimen Schlüsseln. h : K M H, MAC = h k (m). h parametrisierte Hashfunktion. m Nachricht. k geheimer Schlüssel. Mit der Nachricht m wird h k
MehrÜbung zur Vorlesung Sicherheit Übungsblatt 2. Alexander Koch Björn Kaidel
Übung zur Vorlesung Sicherheit 07.05.2014 Übungsblatt 2 Alexander Koch alexander.koch@kit.edu Björn Kaidel bjoern.kaidel@kit.edu 1 / 39 Werbung: KASTEL-Zertifikat Nachweis für Spezialisierung in IT-Sicherheit
MehrNachklausur zur Vorlesung Theoretische Grundlagen der Informatik Wintersemester 2013/14
Institut für Theoretische Informatik Prof. Dr. Jörn Müller-Quade Nachklausur zur Vorlesung Theoretische Grundlagen der Informatik Wintersemester 2013/14 Vorname Nachname Matrikelnummer Hinweise Für die
MehrEinführung in die. Kryptographie WS 2016/ Lösungsblatt
Technische Universität Darmstadt Fachgebiet Theoretische Informatik Prof. Johannes Buchmann Thomas Wunderer Einführung in die Kryptographie WS 6/ 7. Lösungsblatt 8..6 Ankündigungen Arithmetik modulo n
MehrHashfunktionen und Kollisionen
Hashfunktionen und Kollisionen Definition Hashfunktion Eine Hashfunktion ist ein Paar (Gen, H) von pt Algorithmen mit 1 Gen: s Gen(1 n ). Gen ist probabilistisch. 2 H: H s berechnet Funktion {0, 1} {0,
MehrDigitale Signaturen. Einmalsignaturen Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Einmalsignaturen Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-11-04 B. Kaidel Digitale Signaturen: Einmalsignaturen KIT Die Forschungsuniversität
MehrName:... Vorname:... Matrikel-Nr.:... Studienfach:...
Stefan Lucks Medien Bauhaus-Univ. Weimar Probeklausur Name:.............................. Vorname:........................... Matrikel-Nr.:....................... Studienfach:........................ Wichtige
MehrDigitale Signaturen. Einführung und das Schnorr Signatur Schema. 1 Digitale Signaturen Einführung & das Schnorr Signatur Schema.
Digitale Signaturen Einführung und das Schnorr Signatur Schema 1 Übersicht 1. Prinzip der digitalen Signatur 2. Grundlagen Hash Funktionen Diskreter Logarithmus 3. ElGamal Signatur Schema 4. Schnorr Signatur
MehrVIII. Digitale Signaturen
VIII. Digitale Signaturen Bob Eve Eve möchte - lauschen - ändern - personifizieren Alice 1 Aufgaben - Vertraulichkeit - Lauschen - Authentizität - Tauschen des Datenursprungs - Integrität - Änderung der
MehrStromchiffre. Algorithmus Stromchiffre
Stromchiffre Algorithmus Stromchiffre Sei G ein Pseudozufallsgenerator mit Expansionsfaktor l(n). Wir definieren Π s = (Gen, Enc, Dec) mit Sicherheitsparameter n für Nachrichten der Länge l(n). 1 Gen:
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 25.04.2013 1 / 19 Überblick 1 Blockchiffren Erinnerung Beispiel: AES Angriffe auf Blockchiffren 2 Formalisierung von Sicherheit (symmetrischer Verschlüsselung)
MehrInstitut für Theoretische Informatik Prof. Dr. J. Müller-Quade Übungsleiter: Björn Kaidel, Alexander Koch
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Übungsleiter: Björn Kaidel, Alexander Koch Stammvorlesung Sicherheit im Sommersemester 2016 Übungsblatt 6 Aufgabe 1. Der ebenso geniale wie
MehrÜbungen zur Vorlesung Systemsicherheit
Übungen zur Vorlesung Systemsicherheit Asymmetrische Kryptographie Tilo Müller, Reinhard Tartler, Michael Gernoth Lehrstuhl Informatik 1 + 4 24. November 2010 c (Lehrstuhl Informatik 1 + 4) Übungen zur
MehrMessage Authentication Codes. Konstruktion von MACs. Hash-then-Encrypt. Sicherheitsmodell
Message Authentication Codes Entspricht Hashfunktionen mit geheimen Schlüsseln. h : K M H, MAC = h k (m). h parametrisierte Hashfunktion. m Nachricht. k geheimer Schlüssel. Mit der Nachricht m wird h k
MehrKryptografische Hashfunktionen
Kryptografische Hashfunktionen Andreas Spillner Kryptografie, SS 2018 Wo verwenden wir kryptografische Hashfunktionen? Der Hashwert H(x) einer Nachricht x wird oft wie ein Fingerabdruck von x vewendet.
MehrDas Generalized Birthday Problem
Das Generalized Birthday Problem Problem Birthday Gegeben: L 1, L 2 Listen mit Elementen aus {0, 1} n Gesucht: x 1 L 1 und x 2 L 2 mit x 1 x 2 = 0. Anwendungen: Meet-in-the-Middle Angriffe (z.b. für RSA,
MehrLeistungsnachweis-Klausur Kurs Sicherheit im Internet I Ergänzungen Lösungshinweise
Leistungsnachweis-Klausur Kurs 01868 Sicherheit im Internet I Ergänzungen 05.02.2010 Lösungshinweise Name: Matr.-Nr. Seite: 1 Aufgabe 1: (8 Punkte) Geben Sie vier Systeminformationen an, die zum Systemzustand
MehrKryptographie für CTFs
Kryptographie für CTFs Eine Einführung KIT Die Forschungsuniversität in der Helmholtz-Gemeinschaft www.kitctf.de Einführung Cryptography is the practice and study of techniques for secure communication
MehrHausübung Abgabe bis 16. Juni 2009
Prof. Stefan Katzenbeisser Sami Alsouri Sascha Müller IT-Sicherheit SS 09 Hausübung Abgabe bis 16. Juni 2009 Der Fachbereich Informatik misst der Einhaltung der Grundregeln der wissenschaftlichen Ethik
MehrDenn es geh t um ihr Geld: Kryptographie
Denn es geht um ihr Geld: Kryptographie Ilja Donhauser Inhalt Allgemeines Symmetrisch Asymmetrisch Hybridverfahren Brute Force Primzahlen Hashing Zertifikate Seite 2 Allgemeines Allgemeines Wissenschaft
MehrVorlesung Sicherheit
Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 08.06.2015 1 / 34 Überblick 1 Schlüsselaustauschprotokolle Erinnerung Weitere Schlüsselaustauschtypen
MehrProseminar Schlüsselaustausch (Diffie - Hellman)
Proseminar Schlüsselaustausch (Diffie - Hellman) Schlüsselaustausch Mathematische Grundlagen Das DH Protokoll Sicherheit Anwendung 23.06.2009 Proseminar Kryptographische Protokolle SS 2009 : Diffie Hellman
MehrPrivacy-Preserving Authentication 2 Kryptografische Bausteine WS 2015/2016
Privacy-Preserving Authentication 2 Kryptografische Bausteine WS 2015/2016 Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum Übersicht 1 Vorteil und Sicherheit 2 Hash Funktionen 3 Digitale
MehrStromchiffre. Algorithmus Stromchiffre
Stromchiffre Algorithmus Stromchiffre Sei G ein Pseudozufallsgenerator mit Expansionsfaktor l(n). Wir definieren Π s = (Gen, Enc, Dec) mit Sicherheitsparameter n für Nachrichten der Länge l(n). 1 Gen:
Mehr6: Public-Key Kryptographie (Grundidee)
6: Public-Key Kryptographie (Grundidee) Ein Teil des Schlüssels ist nur dem Empfänger bekannt. Der auch dem Sender bekannte Teil kann sogar veröffentlicht werden. Man spricht dann von einem Schlüsselpaar.
MehrDigitale Unterschriften mit ElGamal
Digitale Unterschriften mit ElGamal Seminar Kryptographie und Datensicherheit Institut für Informatik Andreas Havenstein Inhalt Einführung RSA Angriffe auf Signaturen und Verschlüsselung ElGamal Ausblick
MehrII.1 Verschlüsselungsverfahren
II.1 Verschlüsselungsverfahren Definition 2.1 Ein Verschlüsselungsverfahren ist ein 5-Tupel (P,C,K,E,D), wobei 1. P die Menge der Klartexte ist. 2. C die Menge der Chiffretexte ist. 3. K die Menge der
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Digitale Signaturen Prof. Jörn Müller-Quade mit Folien von G. Hartung und B. Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2018-01-25 J.
MehrVorlesung Digitale Signaturen im Wintersemester 2017/-18. Socrative-Fragen aus der Vorlesung vom
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Dozenten: Björn Kaidel Vorlesung Digitale Signaturen im Wintersemester 2017/-18 Socrative-Fragen aus der Vorlesung vom 17.11.2017 1 Quiz 1:
Mehr13. Woche: NP-Vollständigkeit Satz von Cook-Levin Anwendungen in der Kryptographie
13 Woche: NP-Vollständigkeit Satz von Cook-Levin Anwendungen in der Kryptographie 13 Woche: NP-Vollständigkeit, Satz von Cook-Levin, Anwendungen 276/ 333 N P-Vollständigkeit Ḋefinition NP-vollständig Sei
MehrWiederholung: Informationssicherheit Ziele
Wiederholung: Informationssicherheit Ziele Vertraulichkeit : Schutz der Information vor unberechtigtem Zugriff bei Speicherung, Verarbeitung und Übertragung Methode: Verschüsselung symmetrische Verfahren
MehrDigitale Signaturen. GHR-und Chamäleon-Signaturen Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen GHR-und Chamäleon-Signaturen Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen KIT
MehrPrinzipien der modernen Kryptographie Sicherheit
Prinzipien der modernen Kryptographie Sicherheit Prinzip 1 Sicherheitsziel Die Sicherheitsziele müssen präzise definiert werden. Beispiele für ungenügende Definitionen von Sicherheit: Kein Angreifer kann
MehrEinführung in die Kryptographie - Multiple Choice Quiz
Technische Universität Darmstadt Einführung in die Kryptographie - Multiple Choice Quiz Oren Halvani. M.Sc. Inf ormatik. Matrikel N o. Disclaimer Um was für ein Dokument handelt es sich hier genau?. Im
MehrKryptographie und Komplexität
Kryptographie und Komplexität Einheit 5 Kryptosysteme auf der Basis diskreter Logarithmen 1. Diffie Hellman Schlüsselaustausch 2. El Gamal Systeme 3. Angriffe auf Diskrete Logarithmen 4. Elliptische Kurven
Mehr