Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Nachklausur. Lösung Hinweise

Transkript

1 Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2016 Nachklausur Lösung Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen Ihnen 60 Minuten zur Verfügung. - Zum Bestehen der Klausur sind 20 der 60 möglichen Punkte hinreichend. - Es sind keine Hilfsmittel zugelassen. - Schreiben Sie Ihre Lösungen auf die Aufgabenblätter sowie auf deren Rückseiten. - Zusätzliches Papier erhalten Sie bei Bedarf von der Aufsicht. Aufgabe mögliche Punkte erreichte Punkte a b c d e f Σ a b c d e f Σ Σ 60

2 Aufgabe 1. ( Punkte) Betrachten Sie das ElGamal-Verschlüsselungsverfahren aus der Vorlesung. Es sei eine zyklische (Unter-)Gruppe G Z 23 mit G-Erzeuger g = 6 der Ordnung 11 gegeben. (a) Berechnen Sie zu dem geheimen Schlüssel sk = (G, g = 6, x = 3) den öentlichen Schlüssel pk. Hinweise: 6 = 2 9 mod 23; 2 ist ein Element der Untergruppe G. (b) (i) Geben Sie an, wie beim ElGamal-Verschlüsselungsverfahren eine Nachricht M verschlüsselt wird. (ii) Verschlüsseln Sie die Nachricht M = 4 mit den Schlüsseln aus (a). Verwenden Sie als Zufall die Zahl 2. Hinweise: 13 = 2 7 mod 23, 1024 = 12 mod 23. Betrachten Sie das ElGamal-Signaturverfahren aus der Vorlesung. (c) Geben Sie den Schlüsselerzeugungs-, den Signier- und den Verikationsalgorithmus des ElGamal- Signaturverfahrens aus der Vorlesung an. (d) Es sei M eine Nachricht und H eine Hashfunktion. Wir betrachten eine modizerte Version des ElGamal-Signaturverfahrens, bei dem beim Signieren einer Nachricht M durch den Signieralgorithmus statt Zufall der Wert H(M) verwendet wird. Zeigen Sie: Kennt ein Angreifer ein Nachrichten- Signaturpaar (M, σ) des modizierten Verfahrens, so kann er ezient den geheimen Schlüssel des modizierten Verfahrens berechnen. Lösungsvorschlag zu Aufgabe 1. (a) pk := (G, g, h) = (G, 6, 9), da: g x = 6 3 mod 23 = (2 9 ) 3 mod 23 = 2 27 mod 11 mod 23 = 2 5 mod 23 = 32 mod 23 = 9 mod 23 (b) (i) Es wird Enc(pk, M) = (g y, g xy M) mit zufälligem y berechnet. (ii) Um M zu verschlüsseln, berechnen wir g y und g xy : g y = 6 2 mod 23 = 36 mod 23 = 13 mod 23. g xy = 13 x mod 23 = (2 7 ) 3 mod 23 = 2 21 mod 11 mod 23 = 2 10 mod 23 = 1024 mod 23 = 12 mod 23. Auÿerdem gilt g xy M = 12 4 = 2 mod 23. Somit gilt: Enc(pk, M) = (g y, g xy M) = (13, 2). (c) Es sei G eine endliche zyklische Gruppe und g ein Erzeuger von G. 1

3 ˆ Gen(1 k ): Zieht ein x zufällig und gibt als geheimen Schlüssel sk = (G, g, x) und als öentlichen Schlüssel: pk = (G, g, g x ) aus ˆ Sig(sk, M): Wähle ein e zufällig und setze a := g e. Berechne b als Lösung von a x + e b = M mod G. Die Signatur ist dann σ = (a, b). ˆ Ver(pk, M, σ = (a, b)) : Gebe 1 aus, wenn (g x ) a a b = g M, sonst gebe 0 aus. (d) Es sei (M, σ) ein Nachrichten-Signaturpaar mit σ = (a, b). Dann gilt a x + H(M) b = M mod G, da σ eine gültige Signatur für M ist. Da wir M, H(M), a und b kennen, können wir die Gleichung nach x auösen: x = (M H(M) b) a 1 mod G. Damit haben wir den geheimen Schlüssel x berechnet. 2

4 Aufgabe 2. ( Punkte) Es sei (E, D) eine Blockchire mit Block- und Schlüssellänge k N. Es sei IV {0, 1} k ein Initialisierungsvektor, M = M 1 M 2... M n (n N) ein Klartext mit M i {0, 1} k für alle 1 i n und K {0, 1} k ein Schlüssel. Das folgende Diagramm stellt den Verschlüsselungsalgorithmus eines Betriebsmodus für Blockchiren dar, den wir im Folgenden ABC nennen: IV... K E K E K E P 1 := E(K, IV ) P 2 := E(K, P 1 )... P n := E(K, P n 1 ) M 1 M 2 M n C 1 C 2... C n Die Ausgabe ist IV und C := C 1 C 2... C n. (a) Geben Sie ein Diagramm für einen Entschlüsselungsalgorithmus an, der Chirate, die mit dem Betriebsmodus ABC erstellt wurden, korrekt entschlüsselt. (b) Es sei C {0, 1} n k ein Chirat zur Nachricht M = 0 n k (der Bitstring bestehend aus n k Nullen) und C {0, 1} n k das Chirat zu einer beliebigen Nachricht M {0, 1} n k. Beide Chirate wurden mit der Blockchire (E, D) im Betriebsmodus ABC mit dem selben IV {0, 1} k erstellt. Wie kann ein Angreifer, der C und C kennt, ezient die Nachricht M berechnen? Begründen Sie Ihre Antwort! (c) Es sei C = (C 1, C 2,..., C n ) ein Chirat, welches mit der Blockchire (E, D) im Betriebsmodus ABC erstellt wurde und IV der verwendete Initialisierungsvektor. Welche Blöcke können garantiert korrekt entschlüsselt werden, wenn bei der Übertragung des Chirats und Initialisierungsvektors ausschlieÿlich ein Bitfehler... (i)... bei IV auftritt? (ii)... bei C 1 auftritt? (d) Geben Sie den Verschlüsselungs- und den Entschlüsselungsalgorithmus des CBC-Betriebsmodus für Blockchiren (E, D) mit Blocklänge k an! (e) Die Blocklänge der Blockchire (E, D) sei nun k = 4. Es sei K {0, 1} 4 ein Schlüssel und IV {0, 1} 4 ein Initialisierungsvektor. Es sei M = M 1 M 2 {0, 1} 8 eine Nachricht und C = IV C 1 C 2 {0, 1} 12 ein Chirat von M, welches bei Anwendung der Blockchire (E, D) mit K und IV im CBC-Betriebsmodus entstand. M und C sind dabei gegeben durch: M = und C = IV Geben Sie ein Chirat C = IV C 1 C 2 {0, 1} 12 an, sodass bei der Entschlüsselung von C im CBC-Betriebsmodus unter Verwendung von K und IV der zweite Klartextblock gleich 1111 ist! Lösungsvorschlag zu Aufgabe 2. (a) Das folgende Diagramm stellt den Entschlüsselungsalgorithmus des Betriebsmodus ABC dar: IV... K E K E K E P 1 := E(K, IV ) P 2 := E(K, P 1 )... E(K, P n 1 ) C 1 C 2 C n M 1 M 2... M n 3

5 (b) Im Folgenden bezeichnen M i, M i, C i, C i die k-bit Blöcke von M, M, C und C. Der Angreifer berechnet C C und erhält damit M. Dies gilt, da für alle 1 i n gilt, dass C i = P i 0 k = P i und C i = P i M i (der Zusammenhang, dass sowohl bei C i und C i die gleichen P i verwendet wurden, folgt daraus, dass beide Mal der gleiche IV verwendet wurde). Somit gilt C i C i = P i P i 0 k M i = M i. (c) (i) Tritt ein Bitfehler bei der Übertragung des Initialisierungsvektors IV auf, so kann für keinen Chiratblock garantiert werden, dass er richtig entschlüsselt wird. (ii) Tritt ein Bitfehler ausschlieÿlich bei der Übertragung des Chiratblocks C 1 auf, so kann für alle Chiratblöcke auÿer C 1, also C 2, C 3,...C n, garantiert werden, dass sie richtig entschlüsselt werden. (d) Es sei M = M 1 M 2... M n {0, 1} n k eine Nachricht und C = C 1 C 2... C n {0, 1} n k das zugehörige Chirat. ˆ Verschlüsselung: Wähle einen zufälligen Initialisierungsvektor IV {0, 1} k und setze C 0 := IV. Dann ist C i = E(K, M i C i 1 ) für 0 i n. ˆ Entschlüsselung: M i = D(K, C i ) C i 1 für 0 i n. (e) Wir wissen, dass 1001 = M 2 = D(K, C 2 ) C 1 gilt. Das gesuchte Chirat ist somit C = IV C 1 C 2 = IV , da M 2 = D(K, C 2) C 1 = D(K, 0110) 1000 }{{} =D(K,C 2) C 1=M = =

6 Aufgabe 3. (5+4 Punkte) (a) Es sei F : {0, 1} 2k {0, 1} k (k N) eine kollisionsresistente Hashfunktion. Betrachten Sie die folgende Konstruktion einer Hashfunktion H, die eine Variante der Merkle-Damgård-Konstruktion darstellt: Bei Eingabe von M {0, 1}, mit M < 2 k, führe folgenden Algorithmus aus. 1. Es sei l = k ( M mod k). Setze M := { M 0 l, falls M mod k 0, M, sonst (Dabei bezeichne 0 n den Bitstring der Länge n, der nur Nullen enthält; es werden also an M so viele Nullen angehängt, bis die Länge ein Vielfaches von k ergibt). Teile M dann in einzelne k-bit Blöcke M 1, M 2,..., M B (B := M k ) auf. 2. Setze Z 0 := 0 k. 3. Für i = 1 bis i = B berechne Z i := F(Z i 1 M i ). 4. Gebe Z B als Hashwert aus. Der Hashwert von M ist also H(M) = Z B. (i) Zeigen Sie: H ist nicht kollisionsresistent. Geben Sie dazu eine Möglichkeit an, ezient Kollisionen für H zu berechnen. (ii) Modizieren Sie die Hashfunktion H so, dass sie kollisionsresistent wird. Sie müssen die Kollisionsresistenz ihrer modizierten Hashfunktion nicht beweisen. (b) Es sei R {0, 1} k und H : {0, 1} {0, 1} k (k N) eine kollisionsresistente Hashfunktion. Betrachten Sie die Hashfunktion H R (M) := H(M R). Ist H R kollisionsresistent? Beweisen Sie Ihre Antwort, indem Sie entweder die Kollisionsresistenz von H R beweisen oder eine ezient aundbare Kollision angeben und nachweisen, dass es sich tatsächlich um eine Kollision handelt! Lösungsvorschlag zu Aufgabe 3. (a) (i) Wir können eine ezient berechenbare Kollision folgendermaÿen konstruieren: Es sei M {0, 1} k 1 beliebig, d.h. es gilt M = k 1 0 mod k. Im ersten Schritt des Algorithmus wird M mit einer Null zu M 0 gepaddet. Alle weiteren Schritte werden dann mit M 0 berechnet. Wir setzen M = M 0. Im ersten Schritt des Algorithmus wird nun kein Padding durchgeführt, da M = k = 0 mod k. Alle weiteren Schritten laufen exakt ab wie für M. Somit gilt H(M) = H(M ). (ii) In Schritt 1 des Algorithmus fügen wir zusätzlich einen Block M B+1 ein, der in genau k Bits die Bitlänge von M codiert. In Schritt 3 iterieren wir nun bis i = B + 1 und geben in Schritt 4 als Hashwert den Wert Z B+1 aus. (Anmerkungen: Mit diesen Modikationen entspricht H der Konstruktion von Merkle und Damgård.) (b) Ja, H R ist kollisionsresistent. Angenommen, H R sei nicht kollisionsresistent und es sei X, Y eine ezient berechenbare Kollision für H. D.h. es gilt H R (X) = H R (Y ). Dann gilt H(X R) = H R (X) = H R (Y ) = H(Y R). Somit ist also X R und Y R eine ezient berechenbare Kollision für H, im Widerspruch zur Kollisionsresistenz von H. 5

7 Aufgabe 4. (5+3+5 Punkte) (a) Es sei Σ = (Gen, Sig, Ver) ein EUF-CMA-sicheres digitales Signaturverfahren mit Nachrichten aus M := k i=1 {0, 1}i (k ist der Sicherheitsparameter). Für M M bezeichne M das bitweise Komplement und M i das i-te Bit von M. Es sei f(m) := M 1 M 2 M 3... M M. Betrachten Sie das digitale Signaturverfahren Σ = (Gen, Sig, Ver ), wobei die Algorithmen folgendermaÿen deniert sind: Gen (1 k ) = Gen(1 k ) { Sig Sig(sk, M), falls f(m) = 1, (sk, M) = Sig(sk, M), falls f(m) = 0. { Ver Ver(pk, M, σ), falls f(m) = 1, (pk, M, σ) = Ver(pk, M, σ), falls f(m) = 0. Ist Σ EUF-CMA-sicher? Beweisen Sie Ihre Antwort, indem Sie entweder die EUF-CMA-Sicherheit von Σ beweisen oder einen EUF-CMA-Angreifer mit polynomieller Laufzeit angeben (zeigen Sie in diesem Fall auch, dass Ihr Angreifer tatsächlich erfolgreich ist). (b) Geben Sie das IND-CPA-Sicherheitsspiel für asymmetrische Verschlüsselungsverfahren aus der Vorlesung an. Wann ist ein asymmetrisches Verschlüsselungsverfahren IND-CPA-sicher? (c) Es sei PKE = (Gen, Enc, Dec) ein IND-CPA-sicheres asymmetrisches Verschlüsselungsverfahren mit Nachrichtenraum {0, 1} 2k. Betrachten Sie das asymmetrische Verschlüsselungsverfahren PKE = (Gen, Enc, Dec ) mit Nachrichtenraum {0, 1} k, wobei die Algorithmen folgendermaÿen deniert sind: ˆ Gen (1 k ) zieht ein R {0, 1} k zufällig, berechnet (pk, sk) Gen(1 k ) und gibt pk := (pk, R) als öentlichen und sk := sk als geheimen Schlüssel aus. ˆ Enc (pk = (pk, R), M) := Enc(pk, M R) ˆ Dec (sk, C) berechnet M = Dec(sk, C) und gibt die ersten k Bit von M aus. Beweisen Sie: PKE ist IND-CPA-sicher. Lösungsvorschlag zu Aufgabe 4. (a) Σ ist nicht EUF-CMA-sicher. Wir betrachten den folgenden Angreifer A: ˆ A erhält den öentlichen Schlüssel pk vom EUF-CMA-Challenger. ˆ A schickt die Nachricht M = 1 an sein Sig -Orakel und erhält als Antwort die Signatur σ. Dabei gilt σ = Sig (sk, 1) f(1)=1 = Sig(sk, 1). ˆ A gibt nun als Fälschung die Nachricht M = 0 und die Signatur σ = σ aus. Die von A ausgegebene Fälschung ist eine gültige Signatur, denn es gilt Ver (pk, M, σ ) = Ver (pk, 0, σ) = Ver(pk, 1, σ) (da f(0) = 0) = Ver(pk, 1, Sig(sk, 1)) = 1. Auÿerdem gilt M M, d.h. M wurde nie ans Signaturorakel geschickt. Die Erfolgswahrscheinlichkeit von A ist gleich 1 und damit nicht vernachlässigbar. Seine Laufzeit ist polynomiell. (b) Das IND-CPA-Spiel für asymmetrische Verfahren läuft wie folgt ab: ˆ Der Challenger erzeugt ein Schlüsselpaar (pk, sk) Gen(1 k ). ˆ Der Angreifer A erhält pk vom Challenger. 6

8 ˆ A wählt zwei gleichlange Nachrichten M 0, M 1 und schickt diese an den Challenger. ˆ A erhält C := Enc(pk, M b ) mit b {0, 1}. ˆ A gibt ein Bit b aus. ˆ A gewinnt, wenn b = b. Ein asymmetrisches Verschlüsselungsverfahren ist IND-CPA-sicher, wenn für alle PPT-Algorithmen A die Wahrscheinlichkeit Pr[A gewinnt] 1/2 vernachlässigbar ist. (c) Angenommen, PKE ist nicht IND-CPA-sicher. Dann existiert ein PPT-Angreifer B mit nichtvernachlässigbarer Erfolgswahrscheinlichkeit im IND-CPA-Spiel gegen PKE. Wir konstruieren einen Angreifer A, der die IND-CPA-Sicherheit von PKE bricht: ˆ Das Spiel zieht (pk, sk) Gen(1 k ). ˆ A erhält vom Spiel pk. ˆ A simuliert das IND-CPA-Spiel mit PKE für B folgendermaÿen: ˆ A zieht R {0, 1} k und setzt pk := (pk, R). ˆ A sendet pk an B. ˆ B schickt irgendwann zwei Nachrichten M 0, M 1 mit M 0 = M 1 = k (da der Nachrichtenraum von PKE gleich {0, 1} k ist und die Nachrichten gleichlang sein müssen). A behandelt dies folgendermaÿen: A schickt M 0 = M 0 R und M 1 = M 1 R an das Spiel. Es gilt M 0 = M 1. A erhält ein Chirat C vom Spiel, dieses gibt er unverändert weiter an B. Damit simuliert A die Challenge-Phase für B perfekt, da C = Enc(pk, M b) = Enc(pk, M b R) = Enc (pk, M b ). ˆ B gibt irgendwann ein Bit b aus. A gibt nun ebenfalls b aus. Insgesamt simuliert A das IND-CPA-Spiel mit PKE perfekt für B. Die Laufzeit von A entspricht im wesentlichen der von B plus einem kleinen Overhead und ist somit auch polynomiell. Wir müssen nun die Erfolgswahrscheinlichkeit von A analyiseren. Nach obiger Begründung gilt: Pr[A gewinnt im IND-CPA-Spiel mit PKE] = Pr[B gewinnt im IND-CPA-Spiel mit PKE ], was nach Annahme nicht vernachlässigbar ist. Dies steht im Widerspruch zur IND-CPA-Sicherheit von PKE, woraus die IND-CPA-Sicherheit von PKE folgt. 7

9 Aufgabe 5. (4+3 Punkte) (a) Im Bell-LaPadula-Modell aus der Vorlesung seien die Subjektmenge S = {s 1, s 2, s 3 }, die Objektmenge O = {o 1, o 2, o 3 }, die Menge der Zugrisoperationen A = {read, write} und die Menge der Sicherheitslevel L = {Nicht Geheim, Geheim, Streng Geheim} mit der Ordnung Nicht Geheim < Geheim < Streng Geheim gegeben. Alle Sicherheitslevel sind unterschiedlich. Die Zugriskontrollmatrix M = (M s,o ) s S,o O sei durch die Tabelle o 1 o 2 o 3 s 1 {read} {read, write} {read} s 2 {read} {read, write} {read} s 3 {read, write} {read, write} {read, write} deniert und die Zuordung der Sicherheitslevel F = (f s, f c, f o ) sei durch die Tabellen f c ( ) f s ( ) s 1 Nicht Geheim Geheim s 2 Nicht Geheim Geheim s 3 Geheim Streng Geheim f o ( ) o 1 Nicht Geheim o 2 Geheim o 3 Streng Geheim beschrieben. In den folgenden Aufgaben müssen Sie selbst Zugrie angeben. Gehen Sie davon aus, dass noch keine Zugrie stattgefunden haben. (i) Geben Sie eine Anfrage des Subjekts s 1 an, welche die ds-eigenschaft verletzt! Sie müssen Ihre Antwort nicht begründen. (ii) Geben Sie eine Anfrage des Subjekts s 1 an, welche die ds-eigenschaft erfüllt, aber die ss- Eigenschaft verletzt! Sie müssen Ihre Antwort nicht begründen. (iii) Geben Sie eine Anfrage des Subjekts s 2 an, welche die ds- und ss-eigenschaften erfüllt und nach ihrer Ausführung zu einer Anpassung von f c (s 2 ) führt! Geben Sie ebenfalls den Wert f c (s 2 ) nach Ausführung der Anfrage an! Sie müssen Ihre Antwort nicht begründen. (iv) Geben Sie eine Anfrage des Subjekts s 3 an, welche die ds- und ss-eigenschaften erfüllt, aber vom System trotzdem nicht genehmigt wird! Begründen Sie auch, warum die Anfrage nicht genehmigt wird! 8

10 (b) Im Chinese-Wall-Modell aus der Vorlesung seien mit die Menge von Firmen C = {c 1, c 2, c 3 }, die Menge von Beratern S = {s 1, s 2 }, die Menge von Objekten O = {o 1, o 2, o 3 }, y(o i ) = c i für i {1, 2, 3}, x(o 1 ) = {c 2, c 3 }, x(o 2 ) = {c 1 } und x(o 3 ) = {c 2 } gegeben. Betrachten Sie die folgenden Zugrie (ohne Reihenfolge): (Z1) (s 2, o 3, read) (Z2) (s 1, o 1, read) (Z3) (s 1, o 3, read) (Z4) (s 2, o 2, write) Geben Sie eine Reihenfolge für die obigen vier Zugrie an, sodass alle Zugrie genehmigt werden (d.h. keine der Zugrie verletzt in der von Ihnen angegebenen Reihenfolge die ss- oder -Eigenschaft). Gehen Sie davon aus, dass zu Beginn noch keine Zugrie getätigt wurden. Lösungsvorschlag zu Aufgabe 5. (a) (i) Mögliche Anfragen sind (s 1, o 1, write) und (s 1, o 3, write). (ii) Eine mögliche Anfrage ist (s 1, o 3, read). (iii) Eine mögliche Anfrage ist (s 2, o 2, read). Nach der Anfrage ist f c (s 2 ) gleich Geheim. (iv) Eine mögliche Anfrage ist (s 3, o 1, write). Diese Anfrage erfüllt die ss- und ds-eigenschaften, wird aber nicht genehmigt, da f c (s 3 ) = Geheim Nicht Geheim = f o (o 1 ) gilt und somit die -Eigenschaft verletzt ist. (b) Eine mögliche Reihenfolge ist: (1.) (Z3) = (s 1, o 3, read) (2.) (Z2) = (s 1, o 1, read) (3.) (Z4) = (s 2, o 2, write) (4.) (Z1) = (s 2, o 3, read) 9

11 Aufgabe 6. ( Punkte) (a) Was besagt Kerckhos' Prinzip? (b) Es sei f : N [0, 1] eine vernachlässigbare Funktion und g : N N eine beliebige Funktion. (i) Ist die Funktion f n (k) = n i=1 f(k) für festes n N in k vernachlässigbar oder nicht vernachlässigbar? Sie müssen Ihre Antwort nicht begründen. (ii) Ist die Funktion g (k) = f(k) g(k) im Allgemeinen vernachlässigbar oder nicht vernachlässigbar? Beweisen Sie ihre Antwort! (c) Geben Sie die formale Denition der Binding-Eigenschaft für ein Commitment-Verfahren Com aus der Vorlesung an. (d) Das folgende Diagramm stellt die Padding-Funktion des RSA-OAEP-Verschlüsselungsverfahrens aus der Vorlesung dar. Dabei sei M die Nachricht, die gepaddet wird. Ergänzen Sie fehlende Beschriftungen, Pfeile o.ä.: M R zufällig G H X Y ˆ Die Ausgabe der Paddingfunktion ist:... ˆ G und H sind:... Lösungsvorschlag zu Aufgabe 6. (a) Kerkho's Prinzip besagt, dass die Sicherheit eines kryptographischen Verfahrens, z.b. eines Verschlüsselungsverfahrens, nicht von der Geheimhaltung seiner Algorithmen, sondern nur von der Geheimhaltung des geheimen Schlüssels abhängen darf. (b) (i) Die Funktion f n ist für alle n N vernachlässigbar. (ii) Die Funktion g ist im Allgemeinen nicht vernachlässigbar. Es sei f(k) := 1/2 k und g(k) := 2 k, dann ist f vernachlässigbar in k. Es gilt aber g (k) = 2 k /2 k = 1. Somit ist g (k) nicht vernachlässigbar. (c) Ein Commitment Com hat die Binding-Eigenschaft, wenn für jeden PPT-Angreifer A die Wahrscheinlichkeit Pr[Com(M; R) = Com(M, R ) M M ] vernachlässigbar in k ist, wobei die Wahrscheinlichkeit über (M, R, M, R ) A(1 k ) gemeint ist. (d) In der folgenden Graphik wurden alle fehlenden Pfeile, Beschriftungen etc. ergänzt. M R zufällig G H X Y 10

12 ˆ Die Ausgabe der Paddingfunktion ist: X Y ˆ G und H sind: Hashfunktionen 11