Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Nachklausur. Lösung Hinweise
|
|
- Susanne Bach
- vor 5 Jahren
- Abrufe
Transkript
1 Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2016 Nachklausur Lösung Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen Ihnen 60 Minuten zur Verfügung. - Zum Bestehen der Klausur sind 20 der 60 möglichen Punkte hinreichend. - Es sind keine Hilfsmittel zugelassen. - Schreiben Sie Ihre Lösungen auf die Aufgabenblätter sowie auf deren Rückseiten. - Zusätzliches Papier erhalten Sie bei Bedarf von der Aufsicht. Aufgabe mögliche Punkte erreichte Punkte a b c d e f Σ a b c d e f Σ Σ 60
2 Aufgabe 1. ( Punkte) Betrachten Sie das ElGamal-Verschlüsselungsverfahren aus der Vorlesung. Es sei eine zyklische (Unter-)Gruppe G Z 23 mit G-Erzeuger g = 6 der Ordnung 11 gegeben. (a) Berechnen Sie zu dem geheimen Schlüssel sk = (G, g = 6, x = 3) den öentlichen Schlüssel pk. Hinweise: 6 = 2 9 mod 23; 2 ist ein Element der Untergruppe G. (b) (i) Geben Sie an, wie beim ElGamal-Verschlüsselungsverfahren eine Nachricht M verschlüsselt wird. (ii) Verschlüsseln Sie die Nachricht M = 4 mit den Schlüsseln aus (a). Verwenden Sie als Zufall die Zahl 2. Hinweise: 13 = 2 7 mod 23, 1024 = 12 mod 23. Betrachten Sie das ElGamal-Signaturverfahren aus der Vorlesung. (c) Geben Sie den Schlüsselerzeugungs-, den Signier- und den Verikationsalgorithmus des ElGamal- Signaturverfahrens aus der Vorlesung an. (d) Es sei M eine Nachricht und H eine Hashfunktion. Wir betrachten eine modizerte Version des ElGamal-Signaturverfahrens, bei dem beim Signieren einer Nachricht M durch den Signieralgorithmus statt Zufall der Wert H(M) verwendet wird. Zeigen Sie: Kennt ein Angreifer ein Nachrichten- Signaturpaar (M, σ) des modizierten Verfahrens, so kann er ezient den geheimen Schlüssel des modizierten Verfahrens berechnen. Lösungsvorschlag zu Aufgabe 1. (a) pk := (G, g, h) = (G, 6, 9), da: g x = 6 3 mod 23 = (2 9 ) 3 mod 23 = 2 27 mod 11 mod 23 = 2 5 mod 23 = 32 mod 23 = 9 mod 23 (b) (i) Es wird Enc(pk, M) = (g y, g xy M) mit zufälligem y berechnet. (ii) Um M zu verschlüsseln, berechnen wir g y und g xy : g y = 6 2 mod 23 = 36 mod 23 = 13 mod 23. g xy = 13 x mod 23 = (2 7 ) 3 mod 23 = 2 21 mod 11 mod 23 = 2 10 mod 23 = 1024 mod 23 = 12 mod 23. Auÿerdem gilt g xy M = 12 4 = 2 mod 23. Somit gilt: Enc(pk, M) = (g y, g xy M) = (13, 2). (c) Es sei G eine endliche zyklische Gruppe und g ein Erzeuger von G. 1
3 ˆ Gen(1 k ): Zieht ein x zufällig und gibt als geheimen Schlüssel sk = (G, g, x) und als öentlichen Schlüssel: pk = (G, g, g x ) aus ˆ Sig(sk, M): Wähle ein e zufällig und setze a := g e. Berechne b als Lösung von a x + e b = M mod G. Die Signatur ist dann σ = (a, b). ˆ Ver(pk, M, σ = (a, b)) : Gebe 1 aus, wenn (g x ) a a b = g M, sonst gebe 0 aus. (d) Es sei (M, σ) ein Nachrichten-Signaturpaar mit σ = (a, b). Dann gilt a x + H(M) b = M mod G, da σ eine gültige Signatur für M ist. Da wir M, H(M), a und b kennen, können wir die Gleichung nach x auösen: x = (M H(M) b) a 1 mod G. Damit haben wir den geheimen Schlüssel x berechnet. 2
4 Aufgabe 2. ( Punkte) Es sei (E, D) eine Blockchire mit Block- und Schlüssellänge k N. Es sei IV {0, 1} k ein Initialisierungsvektor, M = M 1 M 2... M n (n N) ein Klartext mit M i {0, 1} k für alle 1 i n und K {0, 1} k ein Schlüssel. Das folgende Diagramm stellt den Verschlüsselungsalgorithmus eines Betriebsmodus für Blockchiren dar, den wir im Folgenden ABC nennen: IV... K E K E K E P 1 := E(K, IV ) P 2 := E(K, P 1 )... P n := E(K, P n 1 ) M 1 M 2 M n C 1 C 2... C n Die Ausgabe ist IV und C := C 1 C 2... C n. (a) Geben Sie ein Diagramm für einen Entschlüsselungsalgorithmus an, der Chirate, die mit dem Betriebsmodus ABC erstellt wurden, korrekt entschlüsselt. (b) Es sei C {0, 1} n k ein Chirat zur Nachricht M = 0 n k (der Bitstring bestehend aus n k Nullen) und C {0, 1} n k das Chirat zu einer beliebigen Nachricht M {0, 1} n k. Beide Chirate wurden mit der Blockchire (E, D) im Betriebsmodus ABC mit dem selben IV {0, 1} k erstellt. Wie kann ein Angreifer, der C und C kennt, ezient die Nachricht M berechnen? Begründen Sie Ihre Antwort! (c) Es sei C = (C 1, C 2,..., C n ) ein Chirat, welches mit der Blockchire (E, D) im Betriebsmodus ABC erstellt wurde und IV der verwendete Initialisierungsvektor. Welche Blöcke können garantiert korrekt entschlüsselt werden, wenn bei der Übertragung des Chirats und Initialisierungsvektors ausschlieÿlich ein Bitfehler... (i)... bei IV auftritt? (ii)... bei C 1 auftritt? (d) Geben Sie den Verschlüsselungs- und den Entschlüsselungsalgorithmus des CBC-Betriebsmodus für Blockchiren (E, D) mit Blocklänge k an! (e) Die Blocklänge der Blockchire (E, D) sei nun k = 4. Es sei K {0, 1} 4 ein Schlüssel und IV {0, 1} 4 ein Initialisierungsvektor. Es sei M = M 1 M 2 {0, 1} 8 eine Nachricht und C = IV C 1 C 2 {0, 1} 12 ein Chirat von M, welches bei Anwendung der Blockchire (E, D) mit K und IV im CBC-Betriebsmodus entstand. M und C sind dabei gegeben durch: M = und C = IV Geben Sie ein Chirat C = IV C 1 C 2 {0, 1} 12 an, sodass bei der Entschlüsselung von C im CBC-Betriebsmodus unter Verwendung von K und IV der zweite Klartextblock gleich 1111 ist! Lösungsvorschlag zu Aufgabe 2. (a) Das folgende Diagramm stellt den Entschlüsselungsalgorithmus des Betriebsmodus ABC dar: IV... K E K E K E P 1 := E(K, IV ) P 2 := E(K, P 1 )... E(K, P n 1 ) C 1 C 2 C n M 1 M 2... M n 3
5 (b) Im Folgenden bezeichnen M i, M i, C i, C i die k-bit Blöcke von M, M, C und C. Der Angreifer berechnet C C und erhält damit M. Dies gilt, da für alle 1 i n gilt, dass C i = P i 0 k = P i und C i = P i M i (der Zusammenhang, dass sowohl bei C i und C i die gleichen P i verwendet wurden, folgt daraus, dass beide Mal der gleiche IV verwendet wurde). Somit gilt C i C i = P i P i 0 k M i = M i. (c) (i) Tritt ein Bitfehler bei der Übertragung des Initialisierungsvektors IV auf, so kann für keinen Chiratblock garantiert werden, dass er richtig entschlüsselt wird. (ii) Tritt ein Bitfehler ausschlieÿlich bei der Übertragung des Chiratblocks C 1 auf, so kann für alle Chiratblöcke auÿer C 1, also C 2, C 3,...C n, garantiert werden, dass sie richtig entschlüsselt werden. (d) Es sei M = M 1 M 2... M n {0, 1} n k eine Nachricht und C = C 1 C 2... C n {0, 1} n k das zugehörige Chirat. ˆ Verschlüsselung: Wähle einen zufälligen Initialisierungsvektor IV {0, 1} k und setze C 0 := IV. Dann ist C i = E(K, M i C i 1 ) für 0 i n. ˆ Entschlüsselung: M i = D(K, C i ) C i 1 für 0 i n. (e) Wir wissen, dass 1001 = M 2 = D(K, C 2 ) C 1 gilt. Das gesuchte Chirat ist somit C = IV C 1 C 2 = IV , da M 2 = D(K, C 2) C 1 = D(K, 0110) 1000 }{{} =D(K,C 2) C 1=M = =
6 Aufgabe 3. (5+4 Punkte) (a) Es sei F : {0, 1} 2k {0, 1} k (k N) eine kollisionsresistente Hashfunktion. Betrachten Sie die folgende Konstruktion einer Hashfunktion H, die eine Variante der Merkle-Damgård-Konstruktion darstellt: Bei Eingabe von M {0, 1}, mit M < 2 k, führe folgenden Algorithmus aus. 1. Es sei l = k ( M mod k). Setze M := { M 0 l, falls M mod k 0, M, sonst (Dabei bezeichne 0 n den Bitstring der Länge n, der nur Nullen enthält; es werden also an M so viele Nullen angehängt, bis die Länge ein Vielfaches von k ergibt). Teile M dann in einzelne k-bit Blöcke M 1, M 2,..., M B (B := M k ) auf. 2. Setze Z 0 := 0 k. 3. Für i = 1 bis i = B berechne Z i := F(Z i 1 M i ). 4. Gebe Z B als Hashwert aus. Der Hashwert von M ist also H(M) = Z B. (i) Zeigen Sie: H ist nicht kollisionsresistent. Geben Sie dazu eine Möglichkeit an, ezient Kollisionen für H zu berechnen. (ii) Modizieren Sie die Hashfunktion H so, dass sie kollisionsresistent wird. Sie müssen die Kollisionsresistenz ihrer modizierten Hashfunktion nicht beweisen. (b) Es sei R {0, 1} k und H : {0, 1} {0, 1} k (k N) eine kollisionsresistente Hashfunktion. Betrachten Sie die Hashfunktion H R (M) := H(M R). Ist H R kollisionsresistent? Beweisen Sie Ihre Antwort, indem Sie entweder die Kollisionsresistenz von H R beweisen oder eine ezient aundbare Kollision angeben und nachweisen, dass es sich tatsächlich um eine Kollision handelt! Lösungsvorschlag zu Aufgabe 3. (a) (i) Wir können eine ezient berechenbare Kollision folgendermaÿen konstruieren: Es sei M {0, 1} k 1 beliebig, d.h. es gilt M = k 1 0 mod k. Im ersten Schritt des Algorithmus wird M mit einer Null zu M 0 gepaddet. Alle weiteren Schritte werden dann mit M 0 berechnet. Wir setzen M = M 0. Im ersten Schritt des Algorithmus wird nun kein Padding durchgeführt, da M = k = 0 mod k. Alle weiteren Schritten laufen exakt ab wie für M. Somit gilt H(M) = H(M ). (ii) In Schritt 1 des Algorithmus fügen wir zusätzlich einen Block M B+1 ein, der in genau k Bits die Bitlänge von M codiert. In Schritt 3 iterieren wir nun bis i = B + 1 und geben in Schritt 4 als Hashwert den Wert Z B+1 aus. (Anmerkungen: Mit diesen Modikationen entspricht H der Konstruktion von Merkle und Damgård.) (b) Ja, H R ist kollisionsresistent. Angenommen, H R sei nicht kollisionsresistent und es sei X, Y eine ezient berechenbare Kollision für H. D.h. es gilt H R (X) = H R (Y ). Dann gilt H(X R) = H R (X) = H R (Y ) = H(Y R). Somit ist also X R und Y R eine ezient berechenbare Kollision für H, im Widerspruch zur Kollisionsresistenz von H. 5
7 Aufgabe 4. (5+3+5 Punkte) (a) Es sei Σ = (Gen, Sig, Ver) ein EUF-CMA-sicheres digitales Signaturverfahren mit Nachrichten aus M := k i=1 {0, 1}i (k ist der Sicherheitsparameter). Für M M bezeichne M das bitweise Komplement und M i das i-te Bit von M. Es sei f(m) := M 1 M 2 M 3... M M. Betrachten Sie das digitale Signaturverfahren Σ = (Gen, Sig, Ver ), wobei die Algorithmen folgendermaÿen deniert sind: Gen (1 k ) = Gen(1 k ) { Sig Sig(sk, M), falls f(m) = 1, (sk, M) = Sig(sk, M), falls f(m) = 0. { Ver Ver(pk, M, σ), falls f(m) = 1, (pk, M, σ) = Ver(pk, M, σ), falls f(m) = 0. Ist Σ EUF-CMA-sicher? Beweisen Sie Ihre Antwort, indem Sie entweder die EUF-CMA-Sicherheit von Σ beweisen oder einen EUF-CMA-Angreifer mit polynomieller Laufzeit angeben (zeigen Sie in diesem Fall auch, dass Ihr Angreifer tatsächlich erfolgreich ist). (b) Geben Sie das IND-CPA-Sicherheitsspiel für asymmetrische Verschlüsselungsverfahren aus der Vorlesung an. Wann ist ein asymmetrisches Verschlüsselungsverfahren IND-CPA-sicher? (c) Es sei PKE = (Gen, Enc, Dec) ein IND-CPA-sicheres asymmetrisches Verschlüsselungsverfahren mit Nachrichtenraum {0, 1} 2k. Betrachten Sie das asymmetrische Verschlüsselungsverfahren PKE = (Gen, Enc, Dec ) mit Nachrichtenraum {0, 1} k, wobei die Algorithmen folgendermaÿen deniert sind: ˆ Gen (1 k ) zieht ein R {0, 1} k zufällig, berechnet (pk, sk) Gen(1 k ) und gibt pk := (pk, R) als öentlichen und sk := sk als geheimen Schlüssel aus. ˆ Enc (pk = (pk, R), M) := Enc(pk, M R) ˆ Dec (sk, C) berechnet M = Dec(sk, C) und gibt die ersten k Bit von M aus. Beweisen Sie: PKE ist IND-CPA-sicher. Lösungsvorschlag zu Aufgabe 4. (a) Σ ist nicht EUF-CMA-sicher. Wir betrachten den folgenden Angreifer A: ˆ A erhält den öentlichen Schlüssel pk vom EUF-CMA-Challenger. ˆ A schickt die Nachricht M = 1 an sein Sig -Orakel und erhält als Antwort die Signatur σ. Dabei gilt σ = Sig (sk, 1) f(1)=1 = Sig(sk, 1). ˆ A gibt nun als Fälschung die Nachricht M = 0 und die Signatur σ = σ aus. Die von A ausgegebene Fälschung ist eine gültige Signatur, denn es gilt Ver (pk, M, σ ) = Ver (pk, 0, σ) = Ver(pk, 1, σ) (da f(0) = 0) = Ver(pk, 1, Sig(sk, 1)) = 1. Auÿerdem gilt M M, d.h. M wurde nie ans Signaturorakel geschickt. Die Erfolgswahrscheinlichkeit von A ist gleich 1 und damit nicht vernachlässigbar. Seine Laufzeit ist polynomiell. (b) Das IND-CPA-Spiel für asymmetrische Verfahren läuft wie folgt ab: ˆ Der Challenger erzeugt ein Schlüsselpaar (pk, sk) Gen(1 k ). ˆ Der Angreifer A erhält pk vom Challenger. 6
8 ˆ A wählt zwei gleichlange Nachrichten M 0, M 1 und schickt diese an den Challenger. ˆ A erhält C := Enc(pk, M b ) mit b {0, 1}. ˆ A gibt ein Bit b aus. ˆ A gewinnt, wenn b = b. Ein asymmetrisches Verschlüsselungsverfahren ist IND-CPA-sicher, wenn für alle PPT-Algorithmen A die Wahrscheinlichkeit Pr[A gewinnt] 1/2 vernachlässigbar ist. (c) Angenommen, PKE ist nicht IND-CPA-sicher. Dann existiert ein PPT-Angreifer B mit nichtvernachlässigbarer Erfolgswahrscheinlichkeit im IND-CPA-Spiel gegen PKE. Wir konstruieren einen Angreifer A, der die IND-CPA-Sicherheit von PKE bricht: ˆ Das Spiel zieht (pk, sk) Gen(1 k ). ˆ A erhält vom Spiel pk. ˆ A simuliert das IND-CPA-Spiel mit PKE für B folgendermaÿen: ˆ A zieht R {0, 1} k und setzt pk := (pk, R). ˆ A sendet pk an B. ˆ B schickt irgendwann zwei Nachrichten M 0, M 1 mit M 0 = M 1 = k (da der Nachrichtenraum von PKE gleich {0, 1} k ist und die Nachrichten gleichlang sein müssen). A behandelt dies folgendermaÿen: A schickt M 0 = M 0 R und M 1 = M 1 R an das Spiel. Es gilt M 0 = M 1. A erhält ein Chirat C vom Spiel, dieses gibt er unverändert weiter an B. Damit simuliert A die Challenge-Phase für B perfekt, da C = Enc(pk, M b) = Enc(pk, M b R) = Enc (pk, M b ). ˆ B gibt irgendwann ein Bit b aus. A gibt nun ebenfalls b aus. Insgesamt simuliert A das IND-CPA-Spiel mit PKE perfekt für B. Die Laufzeit von A entspricht im wesentlichen der von B plus einem kleinen Overhead und ist somit auch polynomiell. Wir müssen nun die Erfolgswahrscheinlichkeit von A analyiseren. Nach obiger Begründung gilt: Pr[A gewinnt im IND-CPA-Spiel mit PKE] = Pr[B gewinnt im IND-CPA-Spiel mit PKE ], was nach Annahme nicht vernachlässigbar ist. Dies steht im Widerspruch zur IND-CPA-Sicherheit von PKE, woraus die IND-CPA-Sicherheit von PKE folgt. 7
9 Aufgabe 5. (4+3 Punkte) (a) Im Bell-LaPadula-Modell aus der Vorlesung seien die Subjektmenge S = {s 1, s 2, s 3 }, die Objektmenge O = {o 1, o 2, o 3 }, die Menge der Zugrisoperationen A = {read, write} und die Menge der Sicherheitslevel L = {Nicht Geheim, Geheim, Streng Geheim} mit der Ordnung Nicht Geheim < Geheim < Streng Geheim gegeben. Alle Sicherheitslevel sind unterschiedlich. Die Zugriskontrollmatrix M = (M s,o ) s S,o O sei durch die Tabelle o 1 o 2 o 3 s 1 {read} {read, write} {read} s 2 {read} {read, write} {read} s 3 {read, write} {read, write} {read, write} deniert und die Zuordung der Sicherheitslevel F = (f s, f c, f o ) sei durch die Tabellen f c ( ) f s ( ) s 1 Nicht Geheim Geheim s 2 Nicht Geheim Geheim s 3 Geheim Streng Geheim f o ( ) o 1 Nicht Geheim o 2 Geheim o 3 Streng Geheim beschrieben. In den folgenden Aufgaben müssen Sie selbst Zugrie angeben. Gehen Sie davon aus, dass noch keine Zugrie stattgefunden haben. (i) Geben Sie eine Anfrage des Subjekts s 1 an, welche die ds-eigenschaft verletzt! Sie müssen Ihre Antwort nicht begründen. (ii) Geben Sie eine Anfrage des Subjekts s 1 an, welche die ds-eigenschaft erfüllt, aber die ss- Eigenschaft verletzt! Sie müssen Ihre Antwort nicht begründen. (iii) Geben Sie eine Anfrage des Subjekts s 2 an, welche die ds- und ss-eigenschaften erfüllt und nach ihrer Ausführung zu einer Anpassung von f c (s 2 ) führt! Geben Sie ebenfalls den Wert f c (s 2 ) nach Ausführung der Anfrage an! Sie müssen Ihre Antwort nicht begründen. (iv) Geben Sie eine Anfrage des Subjekts s 3 an, welche die ds- und ss-eigenschaften erfüllt, aber vom System trotzdem nicht genehmigt wird! Begründen Sie auch, warum die Anfrage nicht genehmigt wird! 8
10 (b) Im Chinese-Wall-Modell aus der Vorlesung seien mit die Menge von Firmen C = {c 1, c 2, c 3 }, die Menge von Beratern S = {s 1, s 2 }, die Menge von Objekten O = {o 1, o 2, o 3 }, y(o i ) = c i für i {1, 2, 3}, x(o 1 ) = {c 2, c 3 }, x(o 2 ) = {c 1 } und x(o 3 ) = {c 2 } gegeben. Betrachten Sie die folgenden Zugrie (ohne Reihenfolge): (Z1) (s 2, o 3, read) (Z2) (s 1, o 1, read) (Z3) (s 1, o 3, read) (Z4) (s 2, o 2, write) Geben Sie eine Reihenfolge für die obigen vier Zugrie an, sodass alle Zugrie genehmigt werden (d.h. keine der Zugrie verletzt in der von Ihnen angegebenen Reihenfolge die ss- oder -Eigenschaft). Gehen Sie davon aus, dass zu Beginn noch keine Zugrie getätigt wurden. Lösungsvorschlag zu Aufgabe 5. (a) (i) Mögliche Anfragen sind (s 1, o 1, write) und (s 1, o 3, write). (ii) Eine mögliche Anfrage ist (s 1, o 3, read). (iii) Eine mögliche Anfrage ist (s 2, o 2, read). Nach der Anfrage ist f c (s 2 ) gleich Geheim. (iv) Eine mögliche Anfrage ist (s 3, o 1, write). Diese Anfrage erfüllt die ss- und ds-eigenschaften, wird aber nicht genehmigt, da f c (s 3 ) = Geheim Nicht Geheim = f o (o 1 ) gilt und somit die -Eigenschaft verletzt ist. (b) Eine mögliche Reihenfolge ist: (1.) (Z3) = (s 1, o 3, read) (2.) (Z2) = (s 1, o 1, read) (3.) (Z4) = (s 2, o 2, write) (4.) (Z1) = (s 2, o 3, read) 9
11 Aufgabe 6. ( Punkte) (a) Was besagt Kerckhos' Prinzip? (b) Es sei f : N [0, 1] eine vernachlässigbare Funktion und g : N N eine beliebige Funktion. (i) Ist die Funktion f n (k) = n i=1 f(k) für festes n N in k vernachlässigbar oder nicht vernachlässigbar? Sie müssen Ihre Antwort nicht begründen. (ii) Ist die Funktion g (k) = f(k) g(k) im Allgemeinen vernachlässigbar oder nicht vernachlässigbar? Beweisen Sie ihre Antwort! (c) Geben Sie die formale Denition der Binding-Eigenschaft für ein Commitment-Verfahren Com aus der Vorlesung an. (d) Das folgende Diagramm stellt die Padding-Funktion des RSA-OAEP-Verschlüsselungsverfahrens aus der Vorlesung dar. Dabei sei M die Nachricht, die gepaddet wird. Ergänzen Sie fehlende Beschriftungen, Pfeile o.ä.: M R zufällig G H X Y ˆ Die Ausgabe der Paddingfunktion ist:... ˆ G und H sind:... Lösungsvorschlag zu Aufgabe 6. (a) Kerkho's Prinzip besagt, dass die Sicherheit eines kryptographischen Verfahrens, z.b. eines Verschlüsselungsverfahrens, nicht von der Geheimhaltung seiner Algorithmen, sondern nur von der Geheimhaltung des geheimen Schlüssels abhängen darf. (b) (i) Die Funktion f n ist für alle n N vernachlässigbar. (ii) Die Funktion g ist im Allgemeinen nicht vernachlässigbar. Es sei f(k) := 1/2 k und g(k) := 2 k, dann ist f vernachlässigbar in k. Es gilt aber g (k) = 2 k /2 k = 1. Somit ist g (k) nicht vernachlässigbar. (c) Ein Commitment Com hat die Binding-Eigenschaft, wenn für jeden PPT-Angreifer A die Wahrscheinlichkeit Pr[Com(M; R) = Com(M, R ) M M ] vernachlässigbar in k ist, wobei die Wahrscheinlichkeit über (M, R, M, R ) A(1 k ) gemeint ist. (d) In der folgenden Graphik wurden alle fehlenden Pfeile, Beschriftungen etc. ergänzt. M R zufällig G H X Y 10
12 ˆ Die Ausgabe der Paddingfunktion ist: X Y ˆ G und H sind: Hashfunktionen 11
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Nachklausur Hinweise
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2016 Nachklausur 12.10.2016 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung
MehrInstitut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Klausur Hinweise
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Klausur 21.07.2015 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen
MehrInstitut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Nachklausur. Lösungsvorschlag Hinweise
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Nachklausur Lösungsvorschlag 29.09.2015 Vorname: Nachname: Matrikelnummer: Hinweise - Für
MehrInstitut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Klausur Hinweise
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Klausur 22.07.2014 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen
MehrInstitut für Theoretische Informatik Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Klausur. Lösung
Institut für Theoretische Informatik Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2017 Klausur Lösung 02.08.2017 Vorname: Nachname: Matrikelnummer: Klausur-ID: Hinweise - Schreiben
MehrInstitut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Nachklausur Hinweise
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Nachklausur 29.09.2014 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung
MehrInstitut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Klausur Hinweise
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Klausur 22.07.2014 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen
MehrInstitut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Nachklausur
Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz IKS Institut für Kryptographie und Sicherheit Stammvorlesung Sicherheit im Sommersemester 2013 Nachklausur 07.10.2013 Vorname: Nachname:
MehrÜbungsblatt 3. Stammvorlesung Sicherheit im Sommersemester Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Übungsblatt 3 Aufgabe 1. Beurteilen Sie für die folgenden Konstruktionen jeweils, ob es sich
MehrÜbung zur Vorlesung Sicherheit Übungsblatt 3. Björn Kaidel 1 / 52
Übung zur Vorlesung Sicherheit 21.05.2014 Übungsblatt 3 Björn Kaidel bjoern.kaidel@kit.edu 1 / 52 Kummerkasten Bitte helleren Laserpointer verwenden. Sind die Skriptlinks vertauscht? Nein! Wegen allgemeiner
MehrVorlesung Sicherheit
Vorlesung Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 23.05.2016 1 / 32 Überblick 1 Symmetrische Authentifikation von Nachrichten Ziel Konstruktionen MACs
MehrInstitut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Übungsblatt 5. pk = (g, y) und sk = (g, x). ? = y H(t m) t. g s
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Übungsblatt 5 Hinweis: Übungsblätter können freiwillig bei Jessica Koch, Raum 256, Geb.
MehrInstitut für Theoretische Informatik Prof. Dr. Dennis Hofheinz Übungsleiter: Thomas Agrikola. Stammvorlesung Sicherheit im Sommersemester 2017
Institut für Theoretische Informatik Prof. Dr. Dennis Hofheinz Übungsleiter: Thomas Agrikola Stammvorlesung Sicherheit im Sommersemester 2017 Übungsblatt 4 Aufgabe 1. Wir instanziieren das ElGamal-Verschlüsselungsverfahren
MehrInstitut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Klausur
Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz IKS Institut für Kryptographie und Sicherheit Stammvorlesung Sicherheit im Sommersemester 2013 Klausur 26.07.2013 Vorname: Nachname:
MehrÜbung zur Vorlesung Sicherheit Übungsblatt 2. Alexander Koch Björn Kaidel
Übung zur Vorlesung Sicherheit 07.05.2014 Übungsblatt 2 Alexander Koch alexander.koch@kit.edu Björn Kaidel bjoern.kaidel@kit.edu 1 / 32 Kummerkasten In der Übung lauter und deutlicher sprechen: Wir geben
MehrÜbung zur Vorlesung Sicherheit Übungsblatt 2. Alexander Koch Björn Kaidel
Übung zur Vorlesung Sicherheit 07.05.2014 Übungsblatt 2 Alexander Koch alexander.koch@kit.edu Björn Kaidel bjoern.kaidel@kit.edu 1 / 32 Kummerkasten In der Übung lauter und deutlicher sprechen: Wir geben
MehrNachklausur zur Vorlesung Sicherheit Sommersemester 2012
Institut für Kryptographie und Sicherheit Prof. Dr. Jörn Müller-Quade Nachklausur zur Vorlesung Sicherheit Sommersemester 2012 Vorname Nachname Matrikelnummer Ergebniscode Hinweise Für die Bearbeitung
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Vorlesung 4 Alexander Koch (Vertretung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 KIT 2015-11-12 Universität desalexander Landes Baden-Württemberg
MehrÜbung zur Vorlesung. Sicherheit Übungsblatt 5 Björn Kaidel
Übung zur Vorlesung Sicherheit 30.06.2016 Übungsblatt 5 Björn Kaidel bjoern.kaidel@kit.edu https://b.socrative.com/login/student/ Room: SICHERHEIT Bitte gleich einloggen! 1 / 55 Evaluation (siehe Evaluations-PDF)
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Vorlesung 4 Alexander Koch (Vertretung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-11-10 Alexander Koch Asymmetrische Verschlüsselungsverfahren
MehrVorlesung Sicherheit
Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 18.05.2015 1 / 30 Überblick 1 Asymmetrische Authentifikation von Nachrichten Erinnerung
MehrHomomorphe Verschlüsselung
Homomorphe Verschlüsselung Definition Homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : G G für Gruppen G, G. Π heißt homomorph, falls Enc(m 1 ) G Enc(m 2 ) eine gültige Verschlüsselung
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Einmalsignaturen Björn Kaidel (Vertretung für Prof. Müller-Quade) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2018-02-01 B. Kaidel Asymmetrische
MehrVorlesung Digitale Signaturen im Wintersemester 2017/-18. Socrative-Fragen aus der Vorlesung vom
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Dozenten: Björn Kaidel Vorlesung Digitale Signaturen im Wintersemester 2017/-18 Socrative-Fragen aus der Vorlesung vom 17.11.2017 1 Quiz 1:
MehrMusterlösung der Nachklausur zur Vorlesung Sicherheit Sommersemester 2012
Institut für Kryptographie und Sicherheit Prof. Dr. Jörn Müller-Quade Musterlösung der Nachklausur zur Vorlesung Sicherheit Sommersemester 2012 Vorname Nachname Matrikelnummer Ergebniscode Hinweise Für
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 15.05.2017 1 / 25 Überblick 1 Hashfunktionen Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel: RSA
MehrDigitale Signaturen. GHR-und Chamäleon-Signaturen Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen GHR-und Chamäleon-Signaturen Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen KIT
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 12.05.2014 1 / 26 Überblick 1 Hashfunktionen Erinnerung Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel:
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Digitale Signaturen Prof. Jörn Müller-Quade mit Folien von G. Hartung und B. Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2018-01-25 J.
MehrInstitut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Übungsblatt 3
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Übungsblatt 3 Hinweis: Übungsblätter können freiwillig bei Florian Böhl, Raum 255, Geb.
MehrDigitale Signaturen. Sicherheitsdefinitionen Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Sicherheitsdefinitionen Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-10-28 B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen
MehrSocrative-Fragen aus der Übung vom
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Übungsleiter: Björn Kaidel, Alexander Koch Stammvorlesung Sicherheit im Sommersemester 2016 Socrative-Fragen aus der Übung vom 28.04.2016
MehrÜbungsblatt 4. Stammvorlesung Sicherheit im Sommersemester Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Übungsblatt 4 Aufgabe 1. Wir instanziieren das ElGamal-Verschlüsselungsverfahren aus der
MehrDigitale Signaturen. GHR-und Chamäleon-Signaturen Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen GHR-und Chamäleon-Signaturen Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-01-12 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen KIT
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Digitale Signaturen Björn Kaidel - Vertretung für Prof. Müller-Quade FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-01-19 B. Kaidel Asymmetrische
Mehrhttps://b.socrative.com/login/student/
Übung zur Vorlesung Sicherheit 23.06.2016 Übungsblatt 4 Björn Kaidel bjoern.kaidel@kit.edu https://b.socrative.com/login/student/ Room: SICHERHEIT Bitte gleich einloggen! 1 / 62 Feedback: Kummerkasten/Feedback
MehrDigitale Signaturen. RSA-FDH & das Random Oracle Model Jiaxin Pan (Slides from Björn Kaidel and Gunnar Hartung)
Digitale Signaturen RSA-FDH & das Random Oracle Model Jiaxin Pan (Slides from Björn Kaidel and Gunnar Hartung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2018-10-26 B. Kaidel Digitale
MehrHybride Verschlüsselungsverfahren
Hybride Verschlüsselungsverfahren Ziel: Flexibilität von asym. Verfahren und Effizienz von sym. Verfahren. Szenario: Sei Π = (Gen, Enc, Dec) ein PK-Verschlüsselungsverfahren und Π = (Gen, Enc, Dec ) ein
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 06.05.2013 1 / 25 Überblick 1 Hashfunktionen Erinnerung Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel:
MehrDigitale Signaturen. RSA-FDH & das Random Oracle Model Björn Kaidel (mit Folien von Gunnar Hartung)
Digitale Signaturen RSA-FDH & das Random Oracle Model Björn Kaidel (mit Folien von Gunnar Hartung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-12-01 B. Kaidel Digitale Signaturen:
MehrVorlesung Digitale Signaturen im Wintersemester 2016/-17. Socrative-Fragen aus der Vorlesung vom
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Dozenten: Gunnar Hartung, Björn Kaidel Vorlesung Digitale Signaturen im Wintersemester 2016/-17 Socrative-Fragen aus der Vorlesung vom 25.11.2016
MehrPrivacy-Preserving Authentication 2 Kryptografische Bausteine WS 2015/2016
Privacy-Preserving Authentication 2 Kryptografische Bausteine WS 2015/2016 Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum Übersicht 1 Vorteil und Sicherheit 2 Hash Funktionen 3 Digitale
Mehrhttps://b.socrative.com/login/student/
Übung zur Vorlesung Sicherheit 23.06.2016 Übungsblatt 4 Björn Kaidel bjoern.kaidel@kit.edu https://b.socrative.com/login/student/ Room: SICHERHEIT Bitte gleich einloggen! 1 / 62 Feedback: Kummerkasten/Feedback
MehrZiel: Zertifiziere Pfad von Wurzel zu m mittels Signaturen. Signieren Public-Keys auf Pfad inklusive der Nachbarknoten.
Merkle-Baum Idee: Konstruktion von Merkle-Bäumen Ersetze Signaturkette durch Baum (sogenannter Merkle-Baum). Verwenden Baum der Tiefe n für Nachrichten der Länge n. Die Wurzel erhält Label ɛ. Die Kinder
MehrDigitale Signaturen. Einmalsignaturen Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Einmalsignaturen Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-11-04 B. Kaidel Digitale Signaturen: Einmalsignaturen KIT Die Forschungsuniversität
MehrInstitut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Übungsblatt 5
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Übungsblatt 5 Aufgabe 1. (1.) In der Vorlesung wurde gezeigt, dass Lehrbuch-RSA-Signaturen
MehrÜbung zur Vorlesung Sicherheit Übungsblatt 2. Alexander Koch Björn Kaidel
Übung zur Vorlesung Sicherheit 07.05.2014 Übungsblatt 2 Alexander Koch alexander.koch@kit.edu Björn Kaidel bjoern.kaidel@kit.edu 1 / 39 Werbung: KASTEL-Zertifikat Nachweis für Spezialisierung in IT-Sicherheit
MehrSicherheit von Merkle Signaturen
Sicherheit von Merkle Signaturen Algorithmus Angreifer A für die Einwegsignatur EINGABE: pk, Zugriff auf eine Anfrage an Orakel Sign sk ( ) 1 Berechne (pk (i), sk (i) ) Gen(1 n ) für i = 1,...,l. Wähle
MehrVorlesung Sicherheit
Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 04.05.2015 1 / 20 Kummerkasten Vorlesungsfolien bitte einen Tag vorher hochladen : Sollte
MehrVII. Hashfunktionen und Authentifizierungscodes
VII. Hashfunktionen und Authentifizierungscodes Bob Eve Eve möchte - lauschen - ändern - personifizieren Alice 1 Aufgaben - Vertraulichkeit Lauschen - Authentizität Tauschen des Datenursprungs - Integrität
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 30.04.2018 1 / 35 Überblick 1 Hashfunktionen Motivation Formalisierung Die Merkle-Damgård-Konstruktion (Weitere) Angriffe auf Hashfunktionen Zusammenfassung
MehrVoll homomorpe Verschlüsselung
Voll homomorpe Verschlüsselung Definition Voll homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : R R für Ringe R, R. Π heißt voll homomorph, falls 1 Enc(m 1 ) + Enc(m 2 ) eine gültige
MehrÜbung zur Vorlesung Sicherheit Übungsblatt 2. Alexander Koch Björn Kaidel
Übung zur Vorlesung Sicherheit 07.05.2014 Übungsblatt 2 Alexander Koch alexander.koch@kit.edu Björn Kaidel bjoern.kaidel@kit.edu 1 / 39 Werbung: KASTEL-Zertifikat Nachweis für Spezialisierung in IT-Sicherheit
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 23.06.2014 1 / 26 Überblick 1 Zero-Knowledge-Protokolle Erinnerung Beispiel für Zero-Knowledge-Protokoll Analyse des Beispiel-Zero-Knowledge-Protokolls Proof-of-Knowledge-Eigenschaft
MehrBjörn Kaidel Alexander Koch
Übung zur Vorlesung Sicherheit Übung 1 Björn Kaidel Bjoern.Kaidel@kit.edu Alexander Koch Alexander.Koch@kit.edu 23.04.2015 1 / 31 Sicherheit Literatur zur Vorlesung Jonathan Katz, Yehuda Lindell. Introduction
MehrInstitut für Theoretische Informatik Prof. Dr. Dennis Hofheinz Übungsleiter: Thomas Agrikola. Stammvorlesung Sicherheit im Sommersemester 2017
Institut für Theoretische Informatik Prof. Dr. Dennis Hofheinz Übungsleiter: Thomas Agrikola Stammvorlesung Sicherheit im Sommersemester 2017 Übungsblatt 5 Aufgabe 1. (1.) In der Vorlesung wurde gezeigt,
MehrMusterlösung der Hauptklausur zur Vorlesung Sicherheit Sommersemester 2012
Institut für Kryptographie und Sicherheit Prof. Dr. Jörn Müller-Quade Musterlösung der Hauptklausur zur Vorlesung Sicherheit Sommersemester 2012 Vorname Nachname Matrikelnummer Ergebniscode Hinweise Für
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 26.06.2017 1 / 41 Überblick 1 Identifikationsprotokolle Erinnerung Sicherheitsmodell Ein sicheres Protokoll Noch ein sicheres Protokoll 2 Zero-Knowledge-Protokolle
MehrDigitale Signaturen. Anwendung von Einmalsignaturen Gunnar Hartung, Björn Kaidel.
Digitale Signaturen Anwendung von Einmalsignaturen Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-11-18 G. Hartung Digitale Signaturen: Anwendung von
MehrÜbung zur Vorlesung Sicherheit Übungsblatt 4. Björn Kaidel 1 / 70
Übung zur Vorlesung Sicherheit 18.06.2015 Übungsblatt 4 Björn Kaidel bjoern.kaidel@kit.edu 1 / 70 RSA: Warnung! Mehrere Nachfragen nach der letzten Übung: Wir wollen zu e ein d berechnen mit e d = 1 mod
MehrHashfunktionen und MACs
3. Mai 2006 Message Authentication Code MAC: Message Authentication Code Was ist ein MAC? Der CBC-MAC Der XOR-MAC Kryptographische Hashfunktionen Iterierte Hashfunktionen Message Authentication Code Nachrichten
MehrDigitale Signaturen. Sicherheitsdefinitionen Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Sicherheitsdefinitionen Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-10-27 B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen KIT Die Forschungsuniversität
MehrHashfunktionen und Kollisionen
Hashfunktionen und Kollisionen Definition Hashfunktion Eine Hashfunktion ist ein Paar (Gen, H) von pt Algorithmen mit 1 Gen: s Gen(1 n ). Gen ist probabilistisch. 2 H: H s berechnet Funktion {0, 1} {0,
MehrVorlesung Sicherheit
Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 08.06.2015 1 / 34 Überblick 1 Schlüsselaustauschprotokolle Erinnerung Weitere Schlüsselaustauschtypen
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Björn Kaidel - Vertretung für Prof. J. Müller-Quade (Folien von A. Koch) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 17.11.2016 Björn Kaidel
Mehr3 Public-Key-Kryptosysteme
Stand: 05.11.2013 Vorlesung Grundlagen und Methoden der Kryptographie Dietzfelbinger 3 Public-Key-Kryptosysteme 3.1 Verschlüsselung von Nachrichten Wir betrachten ganz einfache Kommunikationsszenarien.
MehrDigitale Signaturen. Andreas Spillner. Kryptografie, SS 2018
Digitale Signaturen Andreas Spillner Kryptografie, SS 2018 Ausgangspunkt Digitale Signaturen bieten unter anderem das, was man auch mit einer eigenhändigen Unterschrift auf einem Dokument bezweckt. Beispiel:
MehrBeliebige Anzahl von Signaturen
Beliebige Anzahl von Signaturen Algorithmus Signaturketten Sei Π = (Gen, Sign, Vrfy) ein Einwegsignaturverfahren. 1 Gen : (pk 1, sk 1 ) Gen(1 n ) 2 Sign : Signieren der Nachricht m i. Verwende gemerkten
MehrDigitale Signaturen. Kapitel 8
Digitale Signaturen Kapitel 8 Handschriftliche vs. digitale Unterschrift digitalisieren mp3 Unterschrift digitale Unterschrift von D.H. für mp3? (Scannen und als Bitmap anhängen z.b. zu leicht zu fälschen)
MehrMerkle-Damgard Transformation
Merkle-Damgard Transformation Ziel: Konstruiere H : {0, 1} {0, 1} l aus h : {0, 1} 2l {0, 1} l. Algorithmus Merkle-Damgard Konstruktion Sei (Gen, h) eine kollisionsresistente Hashfunktion mit h : {0, 1}
MehrInstitut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Übungsblatt 4
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Übungsblatt 4 Hinweis: Übungsblätter können freiwillig bei Florian Böhl, Raum 255, Geb.
MehrDigitale Signaturen. Einführung Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Einführung Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-10-21 G. Hartung, B. Kaidel Digitale Signaturen: Einführung KIT Die Forschungsuniversität
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 13.05.2013 1 / 16 Überblick 1 Asymmetrische Verschlüsselung Erinnerung Andere Verfahren Demonstration Zusammenfassung 2 Symmetrische Authentifikation von Nachrichten
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 08.05.2017 1 / 32 Überblick 1 Blockchiffren Erinnerung Varianten von DES Beispiel: AES Angriffe auf Blockchiffren 2 Formalisierung von Sicherheit (symmetrischer
MehrDigitale Signaturen. Anwendung von Einmalsignaturen Gunnar Hartung, Björn Kaidel.
Digitale Signaturen Anwendung von Einmalsignaturen Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-11-15 G. Hartung Digitale Signaturen: Anwendung von
MehrDigitale Signaturen. seuf-cma & Pairings Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen seuf-cma & Pairings Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-01-20 B. Kaidel Digitale Signaturen: seuf-cma & Pairings KIT Die
MehrÜbung zur Vorlesung. Sicherheit Übungsblatt 6. Alexander Koch
Übung zur Vorlesung Sicherheit 09.07.2015 Übungsblatt 6 Alexander Koch alexander.koch@kit.edu 1 / 21 Kummerkasten Könnten Sie bitte eine kleine Wiederholung aller klausurrelevanten Themen in [der] letzten
MehrSicherheit von ElGamal
Sicherheit von ElGamal Satz CPA-Sicherheit ElGamal ElGamal Π ist CPA-sicher unter der DDH-Annahme. Beweis: Sei A ein Angreifer auf ElGamal Π mit Erfolgsws ɛ(n) := Ws[PubK cpa A,Π (n) = 1]. Wir konstruieren
MehrKryptografische Hashfunktionen
Kryptografische Hashfunktionen Andreas Spillner Kryptografie, SS 2018 Wo verwenden wir kryptografische Hashfunktionen? Der Hashwert H(x) einer Nachricht x wird oft wie ein Fingerabdruck von x vewendet.
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 29.04.2013 1 / 22 Überblick 1 Zusammenfassung und Korrektur Zusammenfassung Korrektur Definition semantische Sicherheit 2 Hashfunktionen Motivation Formalisierung
MehrVIII. Digitale Signaturen
VIII. Digitale Signaturen Bob Eve Eve möchte - lauschen - ändern - personifizieren Alice 1 Aufgaben - Vertraulichkeit - Lauschen - Authentizität - Tauschen des Datenursprungs - Integrität - Änderung der
MehrDigitale Signaturen. Einführung Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Einführung Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-10-20 B. Kaidel Digitale Signaturen: Einführung KIT Die Forschungsuniversität in der Helmholtz-Gemeinschaft
MehrSicherer MAC für Nachrichten beliebiger Länge
Sicherer MAC für Nachrichten beliebiger Länge Korollar Sicherer MAC für Nachrichten beliebiger Länge Sei F eine Pseudozufallsfunktion. Dann ist Π MAC2 für Π = Π MAC sicher. Nachteile: Für m ({0, 1} n 4
MehrCPA-Sicherheit ist ungenügend
CPA-Sicherheit ist ungenügend Definition CCA CCA (=Chosen Ciphertext Attack) ist ein Angriff, bei dem der Angreifer sich Chiffretext seiner Wahl entschlüsseln lassen kann. Beispiele in denen CPA nicht
MehrRSA Full Domain Hash (RSA-FDH) Signaturen
RSA Full Domain Hash (RSA-FDH) Signaturen Signatur RSA-FDH Sei H : {0, 1} Z N ein Random-Oracle. 1 Gen: (N, e, d) GenRSA(1 n ) mit pk = (N, e) und sk = (N, d). 2 Sign: Für eine Nachricht m {0, 1} berechne
MehrUnunterscheidbarkeit von Chiffretexten
Ununterscheidbarkeit von Chiffretexten Spiel Ununterscheidbarkeit von Chiffretexten PrivK eav A,Π (n) Sei Π ein Verschlüsselungsverfahren und A ein Angreifer. 1 (m 0, m 1 ) A. 2 k Gen(1 n ). 3 Wähle b
MehrUnunterscheidbarkeit von Chiffretexten
Ununterscheidbarkeit von Chiffretexten Spiel Ununterscheidbarkeit von Chiffretexten PrivK eav A,Π (n) Sei Π ein Verschlüsselungsverfahren und A ein Angreifer. (m 0, m ) A. 2 k Gen( n ). 3 Wähle b R {0,
MehrUnunterscheidbarkeit von Chiffretexten
Ununterscheidbarkeit von Chiffretexten Spiel Ununterscheidbarkeit von Chiffretexten PrivK eav A,Π (n) Sei Π ein Verschlüsselungsverfahren und A ein Angreifer. 1 (m 0, m 1 ) A. 2 k Gen(1 n ). 3 Wähle b
MehrKonstruktion von MACs. Message Authentication Codes. Sicherheitsmodell CBC-MAC
Message Authentication Codes Entspricht Hashfunktionen mit geheimen Schlüsseln. h : K M H, MAC = h k (m). h parametrisierte Hashfunktion. m Nachricht. k geheimer Schlüssel. Mit der Nachricht m wird h k
MehrKryptologie. K l a u s u r WS 2006/2007, Prof. Dr. Harald Baier
Kryptologie K l a u s u r WS 2006/2007, 2007-02-01 Prof. Dr. Harald Baier Name, Vorname: Matrikelnummer: Hinweise: (a) Als Hilfsmittel ist nur der Taschenrechner TI-30 zugelassen. Weitere Hilfsmittel sind
MehrDigitale Signaturen. seuf-cma & Pairings Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen seuf-cma & Pairings Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2018-01-19 B. Kaidel Digitale Signaturen: seuf-cma & Pairings KIT Die Forschungsuniversität
MehrKryptographie - eine mathematische Einführung
Kryptographie - eine mathematische Einführung Rosa Freund 28. Dezember 2004 Überblick Grundlegende Fragestellungen Symmetrische Verschlüsselung: Blockchiffren, Hashfunktionen
MehrMessage Authentication Codes. Konstruktion von MACs. Hash-then-Encrypt. Sicherheitsmodell
Message Authentication Codes Entspricht Hashfunktionen mit geheimen Schlüsseln. h : K M H, MAC = h k (m). h parametrisierte Hashfunktion. m Nachricht. k geheimer Schlüssel. Mit der Nachricht m wird h k
MehrVI.4 Elgamal. - vorgestellt 1985 von Taher Elgamal. - nach RSA das wichtigste Public-Key Verfahren
VI.4 Elgamal - vorgestellt 1985 von Taher Elgamal - nach RSA das wichtigste Public-Key Verfahren - besitzt viele unterschiedliche Varianten, abhängig von zugrunde liegender zyklischer Gruppe - Elgamal
MehrKryptographie und Komplexität
Kryptographie und Komplexität Einheit 6.2 Digitale Signaturen 1. Sicherheitsanforderungen 2. RSA Signaturen 3. ElGamal Signaturen Wozu Unterschriften? Verbindliche Urheberschaft von Dokumenten Unterschrift
MehrPrinzipien der modernen Kryptographie Sicherheit
Prinzipien der modernen Kryptographie Sicherheit Prinzip 1 Sicherheitsziel Die Sicherheitsziele müssen präzise definiert werden. Beispiele für ungenügende Definitionen von Sicherheit: Kein Angreifer kann
MehrKryptographie. Klausur mit Lösung zum Wintersemester 2008/2009. Name, Vorname:... Matrikelnummer:... Studiengang:... Diplom Bachelor Master
Einführung in die Kryptographie WS 2008/2009 Technische Universität Darmstadt Fachbereich Informatik Prof. Johannes Buchmann Erik Tews 25. Februar 2009 Klausur mit Lösung zum Wintersemester 2008/2009 Name,
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 26.05.2014 1 / 32 Überblick 1 Hinweis 2 Asymmetrische Authentifikation von Nachrichten Erinnerung RSA als Signaturschema ElGamal-Signaturen Hash-Then-Sign
Mehr