Die Hashfunktion- Familie SHA und Angriffe darauf

Save this PDF as:
 WORD  PNG  TXT  JPG

Größe: px
Ab Seite anzeigen:

Download "Die Hashfunktion- Familie SHA und Angriffe darauf"

Transkript

1 Die Hashfunktion- Familie SHA und Angriffe darauf Ruth Janning Juni 2007

2 Secure Hash Algorithm Das National Institude of Standards and Technology (NIST) entwickelte zusammen mit der National Security Agency (NSA) eine zum Signieren gedachte sichere Hash-Funktion als Bestandteil des Digital Signature Algorithms (DSA) für den Digital Signature Standard (DSS).

3 Geschichte von SHA 1993: Veröffentlichung des durch die NSA und das NIST entwickelten und standardisierten Hashfunktion SHA, die auf den Design-Prinzipien von MD4 beruht und MD5 sehr ähnlich ist. 1995: Änderung an SHA wegen einer Schwäche von SHA-0 neuer Algorithmus: SHA-1(zusätzliche Linksrotation in der Expansionstransformation) 2002: Veröffentlichung von SHA-2 für ein höheres Sicherheits-Niveau Heute: SHA-1 ist die meist benutzte Hashfunktion.

4 Anwendung von SHA-1 Digitale Signaturen Zertifikate Integritätschecks von Software Speichern von Passwörtern durch Betriebssysteme (diese speichern nur deren Hashwert) Pseudo-Zufallszahlen-Generatoren Konstruktion von MACs

5 Protokolle/Standards/Anwendungen, die SHA-1 verwenden Open PGP (Programme: PGP, GnuPG) S/MIME IPSec SSH SSL VPN

6 Der Algorithmus

7 Struktur Merkle-Damgård Hashfunktion = allgemeine Konstruktion einer kryptographischen Hashfunktion: Eingabe in Blöcke zerteilen und diese nacheinander mit der Kompressionsfunktion verarbeiten, wobei jedes Mal ein Block der Eingabe mit der Ausgabe der vorherigen Runde kombiniert wird

8 Vorbereitende Berechnungen 1. Auffüllen der Nachricht und Anhängen der Länge der Ursprungs-Nachricht (Auffüllen: Ein 1-Bit und entsprechend viele 0-Bits) 2. Zerlegen der aufgefüllten Nachricht in Blöcke 3. Initialisierung des Hashwerts mit fest vorgegebenen Werten

9 Vorbereitende Berechnungen Nachricht Algorithmus Länge Nach Auffüllen (Bit) Länge der angehängten Nachrichten- Länge Nach Auffüllen und Länge Anhängen Vielfaches von Größe der Blöcke Initialisierung des Hashwerts SHA * x Bit 512 Bit Bit Worte 5 32-Bit Worte SHA * x Bit 512 Bit Bit Worte 8 32-Bit Worte SHA * x Bit 512 Bit Bit Worte 8 32-Bit Worte (gewonnen aus Primzahlen) SHA * x Bit 1024 Bit Bit Worte 8 64-Bit Worte (gewonnen aus Primzahlen) SHA * x Bit 1024 Bit Bit Worte 8 64-Bit Worte (gewonnen aus Primzahlen)

10 Berechnung des Hashwerts (Message Digest) Für jeden Nachrichten-Block: 1. Expansionstransformation: aus den /64-Bit Worten 80 (bzw. bei SHA-224 & ) gewinnen 2. Variablen mit dem für den vorherigen Nachrichtenblock ermittelten Hashwert initialisieren 3. Für jedes der 64/80 Worte die Rundenfunktionen anwenden 4. Der Hashwert für diesen Nachrichtenblock ergibt sich aus der Addition der Werte der Variablen mit dem für den vorherigen Nachrichtenblock ermittelten Hashwert.

11 Berechnung des Hashwerts (Message Digest) Ergebnis: Hashwert, der für den letzten Nachrichten-Block ermittelt wurde Bei SHA-224 und SHA-384 werden jeweils entsprechend viele rechts stehende Bits weggelassen, um die richtige Länge für den Message Digest zu erreichen.

12 Anmerkung SHA-224 und SHA-256, sowie SHA-384 und SHA-512 unterscheiden sich jeweils nur durch abweichende initiale Hash- Werte und die unterschiedliche Länge des Message Digest.

13

14 Die verschiedenen SHA-Algorithmen im Überblick (Security: Für die Geburtstagsattacke sind nur 2 m/2 zufällige Nachrichten erforderlich, wenn m die Länge des Message Digest ist.) Algorithmus Nachrichten- Block-Größe Wort-Länge Größe des Security (Bit) Länge (Bit) (Bit) (Bit) Message Digest (Bit) SHA-1 < SHA-224 < SHA-256 < SHA-384 < SHA-512 <

15 Beispiel SHA-0/-1 (Preprocessing) 1. Nachricht auffüllen: Ein 1-Bit und so viele 0-Bits anhängen, dass die Nachrichtenlänge in Bits bei der Division durch 512 den Rest 448 ergibt. Anhängen der Länge der Ursprungs-Nachricht: als Binärzahl der Länge 64 Bit. 2. Aufgefüllte Nachricht in 512-Bit Blöcke zerlegen (= Bit Worte) 3. Hashwert initialisieren: IV = (a 0, b 0, c 0, d 0, e 0 ) = (0x , 0xefcdab89, 0x98badcfe, 0x , 0xc3d2e1f0)

16 Beispiel SHA-0/-1 (Hash Computation) Für jeden Nachrichten-Block: 1. Expansionstransformation SHA-0: für i = 16,...,79: m i = (m i 3 XOR m i 8 XOR m i 14 XOR m i 16 ) Expansionstransformation SHA-1: für i = 16,...,79: m i = (m i 3 XOR m i 8 XOR m i 14 XOR m i 16 ) <<1 2. Variablen a, b, c, d, e mit dem für den vorherigen Nachrichtenblock ermittelten Hashwert initialisieren 3. Für jedes der 80 Worte die Schrittfunktion anwenden (4 Runden mit je 20 Schritten): für i = 0, 2,..., 79: a i = (a i 1 << 5) + f i (b i 1, c i 1, d i 1 ) + e i 1 + m i 1 + k i b i = a i 1 c i = b i 1 << 30 d i = c i 1 e i = d i 1 4. Hashwert H (i) des Blocks: H (i) 0 = a + H (i-1) 0 H (i) 1 = b + H (i-1) 1 H (i) 2 = c + H (i-1) 2 H (i) 3 = d + H (i-1) 3 H (i) 4 = e + H (i-1) Bit Message Digest (aus N Blöcken): H (N) 0 H (N) 1 H (N) 2 H (N) 3 H (N) 4

17 Beispiel SHA-0/-1: Rundenfunktionen Jede Runde benutzt eine eigene boolesche Funktion f i und Konstante k i. Runde Schritte Boolesche Funktion f i Konstante k i IF: ( x AND y) OR ( x AND z) 0x5a [wenn x = 1, dann Ergebnis = Wert von y wenn x = 0, dann Ergebnis = Wert von z] XOR: x XOR y XOR z 0x6ed6eba1 [Wird 1 wenn eine ungerade Anzahl der Variablen x, y, z den Wert 1 hat, sonst 0.] MAJ: (x AND y) OR (x AND z) OR (y AND z) 0x8fabbcdc [Ergibt den Wert, den die Mehrheit der Variablen x, y, z besitzt.] XOR: x XOR y XOR z 0xca62c1d6 [siehe oben]

18 Angriffe auf SHA-0 und SHA-1

19 Zwei Kategorien von Angriffen: Brute Force: Reines Ausprobieren aller möglichen Kombinationen ohne genaue Kenntnis des Algorithmus Der Aufwand hängt nicht von Algorithmus-Details ab, sondern von der Länge des Hashwerts. Beispiel: Passworte mit Hilfe sog. Rainbowtables aus deren Hashwerten erhalten (Gegenmaßnahme: Salt) Werden Angriffe gefunden, die deutlich weniger Aufwand benötigen, gilt das Verfahren als geknackt. Kryptoanalyse: Gewisse Eigenschaften der jeweiligen Funktion bzw. ihrer inneren Struktur werden ausgenutzt.

20 Wichtige Eigenschaften von kryptographischen Hashfunktionen (mit einem Hashwert der Länge n) Einweg-Funktion (preimage-resistance) Komplexität eines Brute-Force-Angriffs: 2 n Schwache Kollisonsresistenz (secondpreimageresistance) Komplexität eines Brute-Force-Angriffs: 2 n Starke Kollisonsresistenz (free-collision) Komplexität eines Brute-Force-Angriffs: 2 n/2 (Geburtstagsangriff, möglich durch Geburtstagsparadoxon)

21 Pseudokollisionen und Kompressionsfunktion-Attacken (V, V : IVs; V 0 : vorbestimmter IV; x, x : Eingaben; x 0 : vorbestimmte Eingabe; y 0 : vorbestimmte Ausgabe; *:frei wählbar; Für eine Attacke auf die Kompressionsfunktion: h (V 0, x) durch f (H i-1, x i ) ersetzen) Typ der Attacke V V x x y Finden: preimage V 0 * y 0 x : h (V 0, x) = y 0 pseudo-preimage * * y 0 x, V : h (V, x) = y 0 (IV frei wählbar) 2nd-preimage V 0 V 0 x 0 * h(v 0, x 0 ) x' : h (V 0, x 0 ) = h (V 0, x') Kollision V 0 V 0 * * x, x' : (fest vorgegebener IV) h (V 0, x) = h (V 0, x') Kollision * V * * x, x', V : (zufälliger IV) h (V, x) = h (V, x') Pseudo-Kollision (modifizierte Varianten von Hash-Funktionen, z.b. IV frei wählbar) * * * * x, x', V, V' : h (V, x) = h (V', x )

22 Chaining Attacks Sie basieren auf der iterativen Natur der Hashfunktion und konzentrieren sich auf die Kompressionsfunktion. 1. Correcting-block chaining attacks: Einen Block mit einem anderen ersetzen, ohne den Hash-Wert zu beeinflussen. 2. Meet-in-the-middle chaining attacks: Geburtstagsattacken, die aber Kollisionen bei Zwischenergebnissen suchen. 3. Fixed-point chaining attacks: Ein fixed point einer Kompressionsfunktion ist ein Paar (H i-1, x i ) mit f (H i-1, x i ) = H i-1. Damit kann man in eine Nachricht Blöcke einfügen, ohne dass sich der Hashwert dadurch verändert. 4. Differential chaining attacks: (Differentielle Kryptoanalyse) Es werden Eingabe-Differenzen und ihr Bezug zu den entsprechenden Ausgabe-Differenzen untersucht (Kollision: Ausgabe-Differenz = 0).

23 Daten der Angriffe auf SHA : Wang stellt eine Algebraische Methode vor, um eine Kollision für SHA-0 mit einer Wahrscheinlichkeit von 2-58 zu finden. 1998: Chabaud und Joux finden für SHA-0 eine Kollisions-Attacke mit einer Wahrscheinlichkeit von 2-61 (verbessert auf 2-45 durch Message Modification). 2004: Joux findet für SHA-0 eine 4-Block-Kollison mit Komplexität : Wang, Yu und Yin finden eine Kollision für SHA-0 mit einer Wahrscheinlichkeit von 2-39.

24 Daten der Angriffe auf SHA : Biham und Chen schätzen, dass Kollisionen für SHA-1, auf 53 Runden reduziert, mit einer Komplexität von 2 48 gefunden werden können. 2005: Wang, Yu und Yin finden Kollisionen für SHA-1, auf 53 Runden reduziert, in 2 33 Operationen. 2005: Wang, Yin und Yu finden eine Kollision für SHA-1 mit einer Wahrscheinlichkeit von 2-69 (verbessert auf 2-63 von Wang, Andrew Yao und Frances Yao). 2006: Angriff gegen eine auf 64 Schritte reduzierte Variante von SHA-1 von Christian Rechberger und Christophe De Cannière (Neu: Ein Teil der gefälschten Nachricht kann im Inhalt frei gewählt werden. Bisher wurden die Hash-Zwillinge lediglich mit sinnlosen Buchstabenkombinationen des Klartextes gebildet.)

25 Grundlegende Ideen bei Kollisionsattacken (Die Kryptoanalyse von Hashfunktionen konzentriert sich hauptsächlich auf das Finden von Kollisionen.) Allgemeine Strategie: Eine Nachrichten-Differenz zwischen zwei erweiterten Nachrichten finden, so dass die Wahrscheinlichkeit höher als erwartet ist, dass deren Hashwerte gleich sind. Dabei sollten während der Rundenberechnungen die Werte der Variablen a, b, c, d, e nie signifikant abweichen und mit hoher Wahrscheinlichkeit korrigiert werden können. Basis-Werkzeug: die lokale Kollision (eine Folge von ein paar Schritten, in denen kleine Unterschiede mit hoher Wahrscheinlichkeit absorbiert werden können)

26 Grundlegende Ideen bei Kollisionsattacken Störungsvektoren beschreiben, wie die lokalen Kollisionen miteinander verknüpft werden. Die vollständige Folge von Unterschieden in den Variablen wird differential path genannt. Die Erfolgswahrscheinlichkeit hängt von der Erfüllung einer Menge von Bedingungen für jede lokale Kollision ab.

27 Bedeutendster Angriff auf SHA-0 und SHA-1 durch Xiaoyun Wang, Yiqun Lisa Yin und Hongbo Yu (größtenteils von der Shangdong Universität, China) in 2005

28 Angriff auf SHA-0 Beobachtung: In SHA-0 (und SHA-1) gibt es eine lokale Kollision innerhalb von 6 Schritten, die bei jedem beliebigen Schritt starten kann. Genauer: Ein Unterschied von einem Bit zwischen zwei Nachrichten beeinflusst die Variablen a, b, c, d, e nacheinander in den nächsten 5 Schritten (b i = a i 1, c i = b i 1 << 30, ).

29 Angriff auf SHA-0 Um diese Differenzen auszugleichen und eine lokale Kollision herbeizuführen, werden in den folgenden Worten noch mehr unterschiedliche Bits eingeführt. Die Wahrscheinlichkeit für eine solche Kollision hängt von der booleschen Funktion, der Bitposition der Differenz und Bedingungen an die Nachrichten-Bits ab. Idee: Einen differential path finden, der aus bestimmten lokalen 6-Schritt-Kollisionen zusammengesetzt ist.

30 Methode (Angriff auf SHA-0)

31 1. Störungsvektor Störungsvektor mit geringem Hamming-Gewicht finden (eine Menge von Startpunkten für jede lokale Kollision). Er muss der Expansionsfunktion genügen 16 aufeinanderfolgende Variablen bestimmen den Rest der 80 Variablen des Vektors. Damit der Störungsvektor zu einer Kollision führen kann, müssen einige Bedingungen für ihn aufgestellt werden. Das Hamming-Gewicht des Störungsvektors hängt eng zusammen mit der Komplexität des Angriffs.

32 1. Störungsvektor Neue Technik von Wang: Es werden ein paar der Bedingungen nicht beachtet. Das vergrößert den Suchraum und erlaubt Vektoren mit geringerem Hamming Gewicht zu finden. Der Preis dafür sind kompliziertere differential paths in der ersten Runde. Da modification techniques benutzt werden können, um alle Bedingungen in der ersten Runde zu erfüllen, konzentriert man sich auf Vektoren mit geringem Hamming-Gewicht in den Runden 2-4.

33 2. Differential path Differential path mit einigen wenigen lokalen Kollisionen in den Runden 2-4 und einigen aufeinander folgenden lokalen Kollisionen in Runde 1 finden (noch kein gültiger path, da der Störungsvektor nicht alle Bedingungen erfüllte). Um einen gültigen differential path zu konstruieren, ist es wichtig die Ausbreitung der Differenzen in den Variablen a, b, c, d, e zu kontrollieren (zum Teil werden Differenzen absorbiert oder müssen durch neu eingeführte Differenzen beseitigt werden).

34 3. Bedingungen Eine Menge von Bedingungen für die Nachrichten-Worte und die Variablen a i festlegen, so dass der gewählte differential path eingehalten werden kann (die Differenzen in den Variablen a, b, c, d, e werden durch die Differenzen in a bestimmt).

35 4. Message modification Um alle nicht erfüllten Bedingungen in der ersten Runde zu korrigieren. Basis-Technik: Die Schrittfunktion F hat die Form: a i = F (Eingabevariablen, m i-1 ) Bedingungen (siehe 3.) für a i : a i, j = v (v = 0, 1 oder Wert eines Bits einer Variable aus einer vorherigen Runde) Idee: a i, j durch Modifizieren des entsprechenden Bits in m i-1 auf den richtigen Wert setzen. Kann für die ersten 16 Schritte angewendet werden. Fortgeschrittenere Techniken werden benutzt, um Bedingungen nach Schritt 16 zu korrigieren.

36 5. Analyse Es sind 42 Bedingungen übrig eine Implementierung würde eine Komplexität von 2 42 Hash-Operationen hervorbringen. Verbesserung (nur eine kleine Zahl von Schritten der 80- Schritt-Hash-Operation berechnen): Eine Menge von guten Nachrichten-Worten vorberechnen (Worte, die alle Bedingungen in den ersten 14 Schritten erfüllen und nur die beiden letzen Worte als freie Variablen lassen). Early stopping Technik (nur bis zu einem bestimmten Schritt rechnen, dann für die folgenden Schritte für Nachrichten testen, ob diese die Bedingungen erfüllen) Komplexität des Kollisionsangriffs: höchstens 2 39 Hash-Operationen

37 6. Schlussfolgerung Diese Analyse demonstriert eine Schwäche in der Schritt-Funktion von SHA-0 und SHA-1. Insbesondere wegen der simplen Struktur der Schritt-Operation, bestimmten Eigenschaften der Booleschen Funktion IF: ( x AND y) OR ( x AND z) kombiniert mit dem Carry Effect werden Differentielle Attacken eher erleichtert als erschwert.

38 Angriff auf SHA-1 Der erste Angriff auf den vollen 80-Schritt SHA-1 mit einer Komplexität kleiner als die theoretische Grenze 2 80 (Brute-Force- Angriff).

39 Methode (Angriff auf SHA-1)

40 1. Störungsvektor und nearcollision differential path Near-collision differential path mit geringem Hamming-Gewicht im Störungsvektor finden. Near-collision (Beinahe-Kollision): Wenn zwei Nachrichten zwar nicht den selben aber einen sehr ähnlichen Hashwert besitzen. Das Hamming-Gewicht des Störungsvektors (HW(sv)) ist ein wichtiger Faktor bei der Bestimmung des Erfolgs der Kollisionsattacke. Komplexität einer Attacke auf SHA-1: ca. 2 3HW(sv)

41 1. Störungsvektor und nearcollision differential path Idee: Es werden keine Bedingungen an den Störungsvektor gestellt, außer dass die Expansionsfunktion erfüllt sein muss das erlaubt, Störungsvektoren zu finden, deren Hamming-Gewicht viel kleiner ist, als bei existierenden Attacken. Da der Suchraum nun sehr groß ist, werden für die Suche nach guten Vektoren Heuristiken benutzt. Für den vollen SHA-1 ist das Hamming-Gewicht von Vektoren für 1-Block Kollisionen jedoch immer noch zu hoch. Daher sucht man nach guten Störungsvektoren für Beinahe-Kollisionen und 2-Block Kollisionen.

42 2. 2-Block collision differential path Mit der Idee der Multi-Block-Kollisionen kann man 2-Block-Kollisionen mit Beinahe-Kollisionen konstruieren. Zwei 1-Block near-collision differential paths werden in einen 2-Block collision differential path mit dem Zweifachen der Such-Komplexität umgewandelt. (Die Beinahe-Kollision für den zweiten Nachrichten-Block kann mit derselben Komplexität gefunden werden wie die für den ersten Block.)

43 3. Bedingungen Bedingungen für die Variablen: wie bei dem Angriff auf SHA-0 Bei den Bedingungen für die Nachrichten- Worte muss wegen der extra Shift- Operation in der Expansionsfunktion eine aufwendigere Technik benutzt werden.

44 4. Message modification Durch die Basis-Technik kann man eine Eingabe-Nachricht so modifizieren, dass alle Bedingungen an die Variablen in den ersten 16 Schritten eingehalten werden können. Mit etwas zusätzlichem Aufwand kann man die Nachricht so modifizieren, dass auch alle Bedingungen in Schritt 17 bis 22 eingehalten werden.

45 5. Komplexitäts-Analyse Man kann die Komplexität bestimmen, indem man die verbleibende Anzahl der Bedingungen in den Runden 2 bis 4 zählt. Die Regeln für das Zählen hängen von der booleschen Funktion und den Stellen, an denen die Differenzen in jeder Runde auftreten, ab.

46 5. Komplexitäts-Analyse Das Auswahlkriterium für Störungsvektoren für Beinahe-Kollisionen ist die minimale Anzahl an Bedingungen. Verbesserung: Precomputation Early stopping Technik Komplexität für eine Beinahe-Kollision: 2 68 Berechnungen Komplexität für die Kollision: 2 69

47 5. Komplexitäts-Analyse Kollisionen für SHA-1, reduziert auf 58 Schritte, können mit einer Komplexität kleiner als 2 33 gefunden werden.

48 6. Schlussfolgerung Die Expansionstransformation für SHA-1 scheint nicht genug avalanche effect (Lawinen-Effekt) für die Verbreitung der Eingabe-Differenzen zu bieten. Außerdem scheint es eine gewisse unerwartete Schwäche in der Struktur der Schrittfunktionen zu geben. Insbesondere wegen der einfachen Schritt-Operation, bestimmten Eigenschaften von einigen booleschen Funktionen kombiniert mit dem Carry Effekt werden Differentielle Attacken eher erleichtert, als verhindert.

49 Konsequenzen

50 Konsequenzen Hauptsächlich betroffen durch die bekannten Angriffe sind Signaturen (sie benötigen Kollisionsresistenz). Bei Anwendungen, die keine Kollisionsresistenz benötigen, ist es unwahrscheinlich, dass sie wegen der bekannten Angriffe in naher Zukunft Änderungen unterliegen müssen.

51 Konsequenzen Das BSI rät: SHA-1 sollte möglichst bald (Frist: Ende 2007) nicht mehr allgemein für qualifizierte elektronische Signaturen verwendet werden. Da ein Angreifer den Inhalt eines gemäß SigG/SigV ausgestellten qualifizierten Zertifikates nur in beschränktem Maße beeinflussen kann, kann von einer Eignung von SHA-1 für solche Zertifikate bis auf weiteres noch bis Ende 2009 ausgegangen werden. Grundsätzlich sollte für neue Produkte keine 160-Bit Hashfunktion mehr verwendet werden.

52 Konsequenzen BSI: Innerhalb der SHA-2-Familie ist es für langfristige Zwecke sinnvoll, statt SHA-224 eher SHA-256 (oder höher) zu verwenden. Die Sicherheit bereits erstellter Signaturen wird durch den Kollisionsangriff [von Wang] nicht gefährdet.

53 Mögliche Reaktionen Die Hashfunktion wechseln (führender Kandidat: die SHA-2-Familie) Die Protokolle selber neu entwerfen (ein Vorschlag ist z.b. randomized hashing) Vorschläge von Michael Szydlo und Yiqun Lisa Yin: Message Pre-processing Techniques

54 Message Pre-processing Techniques Idee: Die Nachricht wird vorbehandelt, bevor ihr Hashwert berechnet wird. Die zugrundeliegende Hashfunktion selbst wird nicht verändert.

55 Message Pre-processing Techniques Local Expansion Verfahren Message Whitening: Die Nachricht wird durch Einfügen von festgelegten Zeichen in regelmäßigen Abständen geändert. Message Self Interleaving: Jedes Nachrichten-Wort wird verdoppelt. verhindert das Finden guter differential paths und verringert die Effektivität von Message Modification.

56 Message Pre-processing Techniques IV Message Dependence Verfahren Es wird sichergestellt, dass der Initialisierungs-Vector (IV) abhängig von der Eingabe-Nachricht ist. Beispiel: Message Dublication (Die Nachricht wird mit sich selbst verknüpft, bevor der Hashwert berechnet wird. Der Wert des IV für die Verarbeitung der zweiten Nachricht ist eine Funktion der Nachricht selbst.) Die bekannten Angriffsstrategien können nicht angewandt werden.

57 NIST-Ausschreibung Das NIST hat einen öffentlichen Wettbewerb für den Nachfolger des Hash- Algorithmus SHA-1 ausgeschrieben. Man wird bis Ende 2008 Entwürfe für ein neues Verfahren entgegennehmen. Der Sieger des Auswahl-Verfahrens geht in den Secure Hashing Standard SHS über, was bis 2012 dauern soll.

58 Quellen NIST. Federal Information Processing Standards Publication (+ Change Notice to include SHA-224).1.August 2002 Xiaoyun Wang, Hongbo Yu, Yiqun Lisa Yin. Efficient Collision Search Attacks on SHA Xiaoyun Wang, Hongbo Yu, Yiqun Lisa Yin. Finding Collisions in the Full SHA Xiaoyun Wang. What s the Potential Danger behind the collisions of Hash Functions. Juni 2005, Hash Function Workshop Michael Szydlo, Yiqun Lisa Yin. Collision-Resistant usage of MD5 and SHA-1 via Message Preprocessing Alfred J. Menezes, Paul C. van Oorschot, Scott A. Vanstone. Handbook of Applied Cryptography. CRC Press, 1996 William Stallings. Cryptography and Network Security. Pearson, 2006 Bruce Schneier. Angewandte Kryptographie. Amerikanische Originalausgabe:1996, Übersetzung: Pearson, 2006 Stephan Wohlfeil. Sicherheit im Internet (Kurs 1866 der Fernuniversität in Hagen). Überarbeitet im SS 05 Reinhard Wobst, Jürgen Schmidt. Hash mich. Februar

iterative Hashfunktionen

iterative Hashfunktionen Presentation im Rahmen von "Kryptographie" (SS 2005, Universität Potsdam) über kryptographische Hashfunktionen (Teil 2) iterative Hashfunktionen Holger Herrlich 22.Mai.2005 Grundlage: "Cryptography: Theory

Mehr

Kryptographie und Komplexität

Kryptographie und Komplexität Kryptographie und Komplexität Einheit 6 Kryptographie und Sicherheit 1. Kryptographische Hashfunktionen 2. Passwörter und Identifikation 3. Digitale Signaturen 4. Secret Sharing 5. Anwendungen und Ausblick

Mehr

Wiederholung: Informationssicherheit Ziele

Wiederholung: Informationssicherheit Ziele Wiederholung: Informationssicherheit Ziele Vertraulichkeit : Schutz der Information vor unberechtigtem Zugriff bei Speicherung, Verarbeitung und Übertragung Methode: Verschüsselung symmetrische Verfahren

Mehr

In beiden Fällen auf Datenauthentizität und -integrität extra achten.

In beiden Fällen auf Datenauthentizität und -integrität extra achten. Stromchiffren Verschlüsseln eines Stroms von Daten m i (Bits/Bytes) mithilfe eines Schlüsselstroms k i in die Chiffretexte c i. Idee: Im One-Time Pad den zufälligen Schlüssel durch eine pseudo-zufällige

Mehr

Effizienten MAC-Konstruktion aus der Praxis: NMAC Idee von NMAC:

Effizienten MAC-Konstruktion aus der Praxis: NMAC Idee von NMAC: Effizienten MAC-Konstruktion aus der Praxis: NMAC Idee von NMAC: Hashe m {0, 1} auf einen Hashwert in {0, 1} n. Verwende Π MAC3 für Nachrichten fixer Länge auf dem Hashwert. Wir konstruieren Π MAC3 mittels

Mehr

Digitale Signaturen. Sven Tabbert

Digitale Signaturen. Sven Tabbert Digitale Signaturen Sven Tabbert Inhalt: Digitale Signaturen 1. Einleitung 2. Erzeugung Digitaler Signaturen 3. Signaturen und Einweg Hashfunktionen 4. Digital Signature Algorithmus 5. Zusammenfassung

Mehr

Hash-Algorithmen. Manuel Pöter TU-Wien - e November 2004

Hash-Algorithmen. Manuel Pöter TU-Wien - e November 2004 Hash-Algorithmen Manuel Pöter TU-Wien - e0226003 motzi@manuel-poeter.de November 2004 Kurzfassung Dieser Artikel liefert einen kurzen Überblick über Funktionsweise und Anwendungsgebiete von Hash-Algorithmen

Mehr

Reaktive Sicherheit. II. Passwörter. Dr. Michael Meier. technische universität dortmund

Reaktive Sicherheit. II. Passwörter. Dr. Michael Meier. technische universität dortmund Reaktive Sicherheit II. Passwörter Dr. Michael Meier technische universität dortmund Fakultät für Informatik Lehrstuhl VI, Informationssysteme und Sicherheit 20. Oktober 2009 Grundlegendes Grundlegendes

Mehr

Public-Key-Algorithmen WS2015/2016

Public-Key-Algorithmen WS2015/2016 Public-Key-Algorithmen WS2015/2016 Lernkontrollfragen Michael Braun Was bedeuten die kryptographischen Schutzziele Vertraulichkeit, Integrität, Nachrichtenauthentizität, Teilnehmerauthentizität, Verbindlichkeit?

Mehr

The most efficient SHA-1 attacks Seminar: Selected Topics in Mobile Security

The most efficient SHA-1 attacks Seminar: Selected Topics in Mobile Security RWTH Aachen University Research Group IT-Security http://itsec.rwth-aachen.de The most efficient SHA-1 attacks Seminar: Selected Topics in Mobile Security Johannes Gilger, 266 377 Betreut von Georg Neugebauer

Mehr

IT-Sicherheit - Sicherheit vernetzter Systeme -

IT-Sicherheit - Sicherheit vernetzter Systeme - IT-Sicherheit - Sicherheit vernetzter Systeme - Kapitel 7: Kryptographische Hash-Funktionen Wolfgang Hommel, Helmut Reiser, LRZ, WS 13/14 IT-Sicherheit 1 Inhalt Definition: Kryptographische Hash-Verfahren

Mehr

Wiederholung: Informationssicherheit Ziele

Wiederholung: Informationssicherheit Ziele Wiederholung: Informationssicherheit Ziele Vertraulichkeit: Schutz der Information vor unberechtigtem Zugriff bei Speicherung, Verarbeitung und Übertragung Verschlüsselungsverfahren Integrität: Garantie

Mehr

Algorithmische Anwendungen WS 2005/2006

Algorithmische Anwendungen WS 2005/2006 03.02.2005 Algorithmische Anwendungen WS 2005/2006 Jens Haag & Suna Atug Gruppe: D Grün Projektarbeit: Message Digest Algorithm 5 Schwachstellen der MD5-Verschlüsselung, Beispiele, Anwendungen 1 Message

Mehr

Diffie-Hellman, ElGamal und DSS. Vortrag von David Gümbel am 28.05.2002

Diffie-Hellman, ElGamal und DSS. Vortrag von David Gümbel am 28.05.2002 Diffie-Hellman, ElGamal und DSS Vortrag von David Gümbel am 28.05.2002 Übersicht Prinzipielle Probleme der sicheren Nachrichtenübermittlung 'Diskreter Logarithmus'-Problem Diffie-Hellman ElGamal DSS /

Mehr

Homomorphe Verschlüsselung

Homomorphe Verschlüsselung Homomorphe Verschlüsselung Definition Homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : G G für Gruppen G, G. Π heißt homomorph, falls Enc(m 1 ) G Enc(m 2 ) eine gültige Verschlüsselung

Mehr

Grundfach Informatik in der Sek II

Grundfach Informatik in der Sek II Grundfach Informatik in der Sek II Kryptologie 2 3 Konkrete Anwendung E-Mail- Verschlüsselung From: To: Subject: Unterschrift Date: Sat,

Mehr

Primzahlen und RSA-Verschlüsselung

Primzahlen und RSA-Verschlüsselung Primzahlen und RSA-Verschlüsselung Michael Fütterer und Jonathan Zachhuber 1 Einiges zu Primzahlen Ein paar Definitionen: Wir bezeichnen mit Z die Menge der positiven und negativen ganzen Zahlen, also

Mehr

Nachrichten- Verschlüsselung Mit S/MIME

Nachrichten- Verschlüsselung Mit S/MIME Nachrichten- Verschlüsselung Mit S/MIME Höma, watt is S/MIME?! S/MIME ist eine Methode zum signieren und verschlüsseln von Nachrichten, ähnlich wie das in der Öffentlichkeit vielleicht bekanntere PGP oder

Mehr

Eine Praxis-orientierte Einführung in die Kryptographie

Eine Praxis-orientierte Einführung in die Kryptographie Eine Praxis-orientierte Einführung in die Kryptographie Mag. Lukas Feiler, SSCP lukas.feiler@lukasfeiler.com http://www.lukasfeiler.com/lectures_brg9 Verschlüsselung & Entschlüsselung Kryptographie & Informationssicherheit

Mehr

Einführung in Computer Microsystems

Einführung in Computer Microsystems Einführung in Computer Microsystems Kapitel 9 Entwurf eines eingebetteten Systems für Anwendungen in der IT-Sicherheit Prof. Dr.-Ing. Sorin A. Huss Fachbereich Informatik Integrierte Schaltungen und Systeme

Mehr

Voll homomorpe Verschlüsselung

Voll homomorpe Verschlüsselung Voll homomorpe Verschlüsselung Definition Voll homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : R R für Ringe R, R. Π heißt voll homomorph, falls 1 Enc(m 1 ) + Enc(m 2 ) eine gültige

Mehr

Übungen zur Vorlesung Systemsicherheit

Übungen zur Vorlesung Systemsicherheit Übungen zur Vorlesung Systemsicherheit Symmetrische Kryptographie Tilo Müller, Reinhard Tartler, Michael Gernoth Lehrstuhl Informatik 1 + 4 17. November 2010 c (Lehrstuhl Informatik 1 + 4) Übungen zur

Mehr

Sicherheit von PDF-Dateien

Sicherheit von PDF-Dateien Sicherheit von PDF-Dateien 1 Berechtigungen/Nutzungsbeschränkungen zum Drucken Kopieren und Ändern von Inhalt bzw. des Dokumentes Auswählen von Text/Grafik Hinzufügen/Ändern von Anmerkungen und Formularfeldern

Mehr

Merkblatt: Sichere E-Mail-Kommunikation zur datenschutz cert GmbH

Merkblatt: Sichere E-Mail-Kommunikation zur datenschutz cert GmbH Version 1.3 März 2014 Merkblatt: Sichere E-Mail-Kommunikation zur datenschutz cert GmbH 1. Relevanz der Verschlüsselung E-Mails lassen sich mit geringen Kenntnissen auf dem Weg durch die elektronischen

Mehr

Digitale Signaturen. Einführung und das Schnorr Signatur Schema. 1 Digitale Signaturen Einführung & das Schnorr Signatur Schema.

Digitale Signaturen. Einführung und das Schnorr Signatur Schema. 1 Digitale Signaturen Einführung & das Schnorr Signatur Schema. Digitale Signaturen Einführung und das Schnorr Signatur Schema 1 Übersicht 1. Prinzip der digitalen Signatur 2. Grundlagen Hash Funktionen Diskreter Logarithmus 3. ElGamal Signatur Schema 4. Schnorr Signatur

Mehr

Authentifikation und digitale Signatur

Authentifikation und digitale Signatur Kryptographie Authentifikation und digitale Signatur Dana Boosmann Matr.Nr.: 100653 11. Juni 2004 Authentifikation und Digitale Signatur Inhaltsverzeichnis Inhaltsverzeichnis 1 Einleitung 2 2 Authentifikation

Mehr

Denn es geh t um ihr Geld: Kryptographie

Denn es geh t um ihr Geld: Kryptographie Denn es geht um ihr Geld: Kryptographie Ilja Donhauser Inhalt Allgemeines Symmetrisch Asymmetrisch Hybridverfahren Brute Force Primzahlen Hashing Zertifikate Seite 2 Allgemeines Allgemeines Wissenschaft

Mehr

Sichere Hashfunktionen

Sichere Hashfunktionen Sichere Hashfunktionen Prof. Dr.-Ing. Damian Weber Hochschule für Technik und Wirtschaft des Saarlandes Was tut eine Hashfunktion? Hashfunktionen (Definition) h: U V U = Universum, V = Hashwerte, V < Urbilder

Mehr

Konzepte von Betriebssystemkomponenten: Schwerpunkt Sicherheit. Asymmetrische Verschlüsselung, Digitale Signatur

Konzepte von Betriebssystemkomponenten: Schwerpunkt Sicherheit. Asymmetrische Verschlüsselung, Digitale Signatur Konzepte von Betriebssystemkomponenten: Schwerpunkt Sicherheit Thema: Asymmetrische Verschlüsselung, Digitale Signatur Vortragender: Rudi Pfister Überblick: Asymmetrische Verschlüsselungsverfahren - Prinzip

Mehr

10.6 Authentizität. Geheimhaltung: nur der Empfänger kann die Nachricht lesen

10.6 Authentizität. Geheimhaltung: nur der Empfänger kann die Nachricht lesen 10.6 Authentizität Zur Erinnerung: Geheimhaltung: nur der Empfänger kann die Nachricht lesen Integrität: Nachricht erreicht den Empfänger so, wie sie abgeschickt wurde Authentizität: es ist sichergestellt,

Mehr

10. Public-Key Kryptographie

10. Public-Key Kryptographie Stefan Lucks 10. PK-Krypto 274 orlesung Kryptographie (SS06) 10. Public-Key Kryptographie Analyse der Sicherheit von PK Kryptosystemen: Angreifer kennt öffentlichen Schlüssel Chosen Plaintext Angriffe

Mehr

Grundlagen der Verschlüsselung und Authentifizierung (2)

Grundlagen der Verschlüsselung und Authentifizierung (2) Grundlagen der Verschlüsselung und Authentifizierung (2) Benjamin Klink Friedrich-Alexander Universität Erlangen-Nürnberg Benjamin.Klink@informatik.stud.uni-erlangen.de Proseminar Konzepte von Betriebssystem-Komponenten

Mehr

8: Zufallsorakel. Wir suchen: Einfache mathematische Abstraktion für Hashfunktionen

8: Zufallsorakel. Wir suchen: Einfache mathematische Abstraktion für Hashfunktionen Stefan Lucks 8: Zufallsorakel 139 Kryptogr. Hashfunkt. (WS 08/09) 8: Zufallsorakel Unser Problem: Exakte Eigenschaften von effizienten Hashfunktionen nur schwer erfassbar (z.b. MD5, Tiger, RipeMD, SHA-1,...)

Mehr

Urbild Angriff auf Inkrementelle Hashfunktionen

Urbild Angriff auf Inkrementelle Hashfunktionen Urbild Angriff auf Inkrementelle Hashfunktionen AdHash Konstruktion: (Bellare, Micciancio 1997) Hashe Nachricht x = (x 1,..., x k ) als H(x) = k i=1 h(i, x i) mod M. Inkrementell: Block x i kann leicht

Mehr

IT-Sicherheitsmanagement. Teil 12: Asymmetrische Verschlüsselung

IT-Sicherheitsmanagement. Teil 12: Asymmetrische Verschlüsselung IT-Sicherheitsmanagement Teil 12: Asymmetrische Verschlüsselung 10.12.15 1 Literatur [12-1] Beutelspacher, A.; Schwenk, J.; Wolfenstetter, K.-D.: Moderne Verfahren der Kryptographie. 4. Auflage, Vieweg

Mehr

MAC Message Authentication Codes

MAC Message Authentication Codes Seminar Kryptographie SoSe 2005 MAC Message Authentication Codes Andrea Schminck, Carolin Lunemann Inhaltsverzeichnis (1) MAC (2) CBC-MAC (3) Nested MAC (4) HMAC (5) Unconditionally secure MAC (6) Strongly

Mehr

RSA Full Domain Hash (RSA-FDH) Signaturen

RSA Full Domain Hash (RSA-FDH) Signaturen RSA Full Domain Hash (RSA-FDH) Signaturen Signatur RSA-FDH Sei H : {0, 1} Z N ein Random-Oracle. 1 Gen: (N, e, d) GenRSA(1 n ) mit pk = (N, e) und sk = (N, d). 2 Sign: Für eine Nachricht m {0, 1} berechne

Mehr

Symmetrische und Asymmetrische Kryptographie. Technik Seminar 2012

Symmetrische und Asymmetrische Kryptographie. Technik Seminar 2012 Symmetrische und Asymmetrische Kryptographie Technik Seminar 2012 Inhalt Symmetrische Kryptographie Transpositionchiffre Substitutionchiffre Aktuelle Verfahren zur Verschlüsselung Hash-Funktionen Message

Mehr

MH3 D2/3 DB/4. Name: Matr.-Nr. Seite: 3. Aufgabe 1. (6 Punkte) a) Gegeben sei eine kryptographische Hashfunktion h^o,!}* mit Hashwert h^mo) = 4.

MH3 D2/3 DB/4. Name: Matr.-Nr. Seite: 3. Aufgabe 1. (6 Punkte) a) Gegeben sei eine kryptographische Hashfunktion h^o,!}* mit Hashwert h^mo) = 4. Aufgabe 1 a) Gegeben sei eine kryptographische Hashfunktion h^o,!} mit Hashwert h^mo) = 4. (14 Punkte) {0,2,4} sowie eine Nachricht M 0 Wie hoch ist die Wahrscheinlichkeit, dass bei einerweiteren Nachricht

Mehr

Zusammenfassung der Vorlesung vom 15.4.2015

Zusammenfassung der Vorlesung vom 15.4.2015 Zusammenfassung der Vorlesung vom 15.4.2015 Für welche Schutzziele ist Kryptographie der geeignete Schutzmechanismus? Was genau kann erreicht werden (verhindern / entdecken)? Was besagt das Prinzip von

Mehr

Was heißt Kryptographie I? Understanding Cryptography Christof Paar und Jan Pelzl

Was heißt Kryptographie I? Understanding Cryptography Christof Paar und Jan Pelzl Was heißt Kryptographie I? Understanding Cryptography Christof Paar und Jan Pelzl Die Autoren Dr.-Ing. Jan Pelzl Prof. Dr.-Ing. Christof Paar Gliederung Historischer Überblick Begrifflichkeiten Symmetrische

Mehr

2. Realisierung von Integrität und Authentizität

2. Realisierung von Integrität und Authentizität 2. Realisierung von Integrität und Authentizität Zur Prüfung der Integrität einer Nachricht oder Authentizität einer Person benötigt die prüfende Instanz eine zusätzliche Information, die nur vom Absender

Mehr

Ein typisches Problem

Ein typisches Problem Kryptographische Hashfunktionen Cyrill Stachniss Basierend auf [Buchmann 08, Daum 05, Lucks & Daum 05, Wang & Yu 05, Sridharan 06, Stevens 07, Sotirov et al. 08, Lucks 07, Gebhard et al. 06, Selinger 06,

Mehr

Skript zum Kryptologie-Referat Part II

Skript zum Kryptologie-Referat Part II Skript zum Kryptologie-Referat Part II c 1999 by Roland Krüppel 1 Grundlegende Unterscheidungen In der modernen Kryptologie unterscheidet man in der Kryptologie zwischen symmetrischen und public-key Verfahren.

Mehr

Password: Mein Geheimnis in Händen Dritter

Password: Mein Geheimnis in Händen Dritter Password: Mein Geheimnis in Händen Dritter 4. April 2014 Die Staatsanwaltschaft Verden (Aller) ist bei Ermittlungen im Internet auf einen Datensatz von rund 18 Millionen Mailadressen und zugehörigen Passworten

Mehr

Authentikation und digitale Signatur

Authentikation und digitale Signatur TU Graz 23. Jänner 2009 Überblick: Begriffe Authentikation Digitale Signatur Überblick: Begriffe Authentikation Digitale Signatur Überblick: Begriffe Authentikation Digitale Signatur Begriffe Alice und

Mehr

Das wichtigste Kennzeichen asymmetrischer Verschlüsselungsverfahren ist, dass die Kommunikationspartner dabei anstelle eines

Das wichtigste Kennzeichen asymmetrischer Verschlüsselungsverfahren ist, dass die Kommunikationspartner dabei anstelle eines Prof. Dr. Norbert Pohlmann, Malte Hesse Kryptographie: Von der Geheimwissenschaft zur alltäglichen Nutzanwendung (IV) Asymmetrische Verschlüsselungsverfahren In den letzten Ausgaben haben wir zunächst

Mehr

Algorithmen II Vorlesung am 15.11.2012

Algorithmen II Vorlesung am 15.11.2012 Algorithmen II Vorlesung am 15.11.2012 Kreisbasen, Matroide & Algorithmen INSTITUT FÜR THEORETISCHE INFORMATIK PROF. DR. DOROTHEA WAGNER KIT Universität des Landes Baden-Württemberg und Algorithmen nationales

Mehr

Das RSA-Verfahren. Armin Litzel. Proseminar Kryptographische Protokolle SS 2009

Das RSA-Verfahren. Armin Litzel. Proseminar Kryptographische Protokolle SS 2009 Das RSA-Verfahren Armin Litzel Proseminar Kryptographische Protokolle SS 2009 1 Einleitung RSA steht für die drei Namen Ronald L. Rivest, Adi Shamir und Leonard Adleman und bezeichnet ein von diesen Personen

Mehr

Hintergründe zur Kryptographie

Hintergründe zur Kryptographie 3. Januar 2009 Creative Commons by 3.0 http://creativecommons.org/licenses/by/3.0/ CAESAR-Chiffre Vigenère CAESAR-Chiffre Vigenère Einfache Verschiebung des Alphabets Schlüsselraum: 26 Schlüssel Einfaches

Mehr

Hashfunktionen. Roman Brunnemann Stephan Müller. 23. November Einleitung Anforderungen Konstruktion Beispiel MD5 MD5 vs.

Hashfunktionen. Roman Brunnemann Stephan Müller. 23. November Einleitung Anforderungen Konstruktion Beispiel MD5 MD5 vs. 23. November 2004 Einleitung Sicherheitsanforderungen Konstruktion von Präsentation einer eigenen Hashfunktion MD5 MD5 vs. SHA1 Angriffe auf Einteilung Kryptographische schlüssellos symmetrisch MDC andere

Mehr

Aktuelle Modulhandbücher der Informationssicherheit und Kryptographie

Aktuelle Modulhandbücher der Informationssicherheit und Kryptographie Aktuelle Modulhandbücher der Informationssicherheit und Kryptographie BA4INF008 - IT-Sicherheit I: Einführung in die Informationssicherheit Häufigkeit des Angebots: jedes Jahr (Sommersemester) Die Vorlesung

Mehr

Modulprüfung (Grundlagen der Informationsverarbeitung und -sicherheit) am 8. 2. 2012 um 14:00 15:30 Uhr im HS 1 (Tivoli) Viel Erfolg!

Modulprüfung (Grundlagen der Informationsverarbeitung und -sicherheit) am 8. 2. 2012 um 14:00 15:30 Uhr im HS 1 (Tivoli) Viel Erfolg! Organisatorisches Modulprüfung (Grundlagen der Informationsverarbeitung und -sicherheit) am 8. 2. 2012 um 14:00 15:30 Uhr im HS 1 (Tivoli) Viel Erfolg! Vorbereitung auf die Prüfung: schriftliche Aufgaben

Mehr

Kryptographie oder Verschlüsselungstechniken

Kryptographie oder Verschlüsselungstechniken Kryptographie oder Verschlüsselungstechniken Dortmund, Dezember 1999 Prof. Dr. Heinz-Michael Winkels, Fachbereich Wirtschaft FH Dortmund Emil-Figge-Str. 44, D44227-Dortmund, TEL.: (0231)755-4966, FAX:

Mehr

IT-Sicherheitsmanagement Teil 6: Einführung in die Kryptographie

IT-Sicherheitsmanagement Teil 6: Einführung in die Kryptographie IT-Sicherheitsmanagement Teil 6: Einführung in die Kryptographie 26.10.15 1 Literatur I mit ein paar Kommentaren [6-1] Burnett, Steve; Paine, Spephen: Kryptographie. RSA Security s Official Guide. RSA

Mehr

Das Briefträgerproblem

Das Briefträgerproblem Das Briefträgerproblem Paul Tabatabai 30. Dezember 2011 Inhaltsverzeichnis 1 Problemstellung und Modellierung 2 1.1 Problem................................ 2 1.2 Modellierung.............................

Mehr

Digitale Unterschriften Grundlagen der digitalen Unterschriften Hash-Then-Sign Unterschriften Public-Key Infrastrukturen (PKI) Digitale Signaturen

Digitale Unterschriften Grundlagen der digitalen Unterschriften Hash-Then-Sign Unterschriften Public-Key Infrastrukturen (PKI) Digitale Signaturen Sommersemester 2008 Digitale Unterschriften Unterschrift von Hand : Physikalische Verbindung mit dem unterschriebenen Dokument (beides steht auf dem gleichen Blatt). Fälschen erfordert einiges Geschick

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 02.05.2016 1 / 22 Überblick 1 Hashfunktionen Erinnerung Formalisierung Die Merkle-Damgård-Konstruktion

Mehr

Anhang I zur Vorlesung Kryptologie: Elementare Zahlentheorie

Anhang I zur Vorlesung Kryptologie: Elementare Zahlentheorie Anhang I zur Vorlesung Kryptologie: Elementare Zahlentheorie von Peter Hellekalek Fakultät für Mathematik, Universität Wien, und Fachbereich Mathematik, Universität Salzburg Tel: +43-(0)662-8044-5310 Fax:

Mehr

Kryptographische Algorithmen

Kryptographische Algorithmen Kryptographische Algorithmen Stand: 11.05.2007 Ausgegeben von: Rechenzentrum Hochschule Harz Sandra Thielert Hochschule Harz Friedrichstr. 57 59 38855 Wernigerode 03943 / 659 900 Inhalt 1 Einleitung 4

Mehr

Grundlagen der Kryptographie

Grundlagen der Kryptographie Grundlagen der Kryptographie Seminar zur Diskreten Mathematik SS2005 André Latour a.latour@fz-juelich.de 1 Inhalt Kryptographische Begriffe Primzahlen Sätze von Euler und Fermat RSA 2 Was ist Kryptographie?

Mehr

Konzepte von Betriebssystem-Komponenten: Schwerpunkt Sicherheit Grundlagen: Asymmetrische Verschlüsslung, Digitale Signatur

Konzepte von Betriebssystem-Komponenten: Schwerpunkt Sicherheit Grundlagen: Asymmetrische Verschlüsslung, Digitale Signatur Konzepte von Betriebssystem-Komponenten: Schwerpunkt Sicherheit Grundlagen: Asymmetrische Verschlüsslung, Digitale Signatur Rudi Pfister Rudi.Pfister@informatik.stud.uni-erlangen.de Public-Key-Verfahren

Mehr

Verlässliche Verteilte Systeme 1. Prof. Dr. Felix Gärtner. Basiswissen Kryptographie

Verlässliche Verteilte Systeme 1. Prof. Dr. Felix Gärtner. Basiswissen Kryptographie Verlässliche Verteilte Systeme 1 Angewandte IT Robustheit und IT Sicherheit Vorlesung im Wintersemester 2004/2005 Prof. Dr. Felix Gärtner Basiswissen Kryptographie Lehr und Forschungsgebiet Informatik

Mehr

Security-Webinar. November 2015. Dr. Christopher Kunz, filoo GmbH

Security-Webinar. November 2015. Dr. Christopher Kunz, filoo GmbH Security-Webinar November 2015 Dr. Christopher Kunz, filoo GmbH Ihr Webinar-Team _ Referent: Dr. Christopher Kunz _ CEO Hosting filoo GmbH / TK AG _ Promotion IT Security _ Vorträge auf Konferenzen _ Autor

Mehr

Elektronische Signaturen

Elektronische Signaturen Elektronische Signaturen Oliver Gasser 3. Juni 2009 1 Motivation Vorweg: Die Begriffe elektronische Signaturen und digitale Signaturen werden meist synonym verwendet. Das ist aber nicht ganz korrekt, da

Mehr

Der Advanced Encryption Standard (AES)

Der Advanced Encryption Standard (AES) Der Advanced Encryption Standard (AES) Prof. Dr. Rüdiger Weis TFH Berlin Sommersemester 2008 Geschichte des AES Die Struktur des AES Angriffe auf den AES Aktuelle Ergebnisse DerAdvanced Encryption Standard

Mehr

Sicherer MAC für Nachrichten beliebiger Länge

Sicherer MAC für Nachrichten beliebiger Länge Sicherer MAC für Nachrichten beliebiger Länge Korollar Sicherer MAC für Nachrichten beliebiger Länge Sei F eine Pseudozufallsfunktion. Dann ist Π MAC2 für Π = Π MAC sicher. Nachteile: Für m ({0, 1} n 4

Mehr

Kryptographische Anonymisierung bei Verkehrsflussanalysen

Kryptographische Anonymisierung bei Verkehrsflussanalysen Kryptographische Anonymisierung bei Verkehrsflussanalysen Autor: Andreas Grinschgl copyright c.c.com GmbH 2010 Das System besteht aus folgenden Hauptkomponenten: Sensorstationen Datenbankserver Anonymisierungsserver

Mehr

Netzsicherheit I, WS 2008/2009 Übung 12. Prof. Dr. Jörg Schwenk 20.01.2009

Netzsicherheit I, WS 2008/2009 Übung 12. Prof. Dr. Jörg Schwenk 20.01.2009 Netzsicherheit I, WS 2008/2009 Übung 12 Prof. Dr. Jörg Schwenk 20.01.2009 Aufgabe 1 1 Zertifikate im Allgemeinen a) Was versteht man unter folgenden Begriffen? i. X.509 X.509 ist ein Standard (Zertifikatsstandard)

Mehr

Kryptographische Verfahren auf Basis des Diskreten Logarithmus

Kryptographische Verfahren auf Basis des Diskreten Logarithmus Kryptographische Verfahren auf Basis des Diskreten Logarithmus -Vorlesung Public-Key-Kryptographie SS2010- Sascha Grau ITI, TU Ilmenau, Germany Seite 1 / 18 Unser Fahrplan heute 1 Der Diskrete Logarithmus

Mehr

IT-Sicherheit IAIK 1

IT-Sicherheit IAIK 1 IT-Sicherheit IAIK 1 Motivation Rechner enthalten Informationen Informationen haben Wert Manche Firmen: gesamter Wert in elektronischer Form Aufgabe von Betriebssystemen: Information vor unautorisierter

Mehr

6.3 Authentizität. Geheimhaltung: nur der Empfänger kann die Nachricht lesen. die Nachricht erreicht den Empfänger so, wie sie abgeschickt wurde

6.3 Authentizität. Geheimhaltung: nur der Empfänger kann die Nachricht lesen. die Nachricht erreicht den Empfänger so, wie sie abgeschickt wurde 6.3 Authentizität Zur Erinnerung: Geheimhaltung: nur der Empfänger kann die Nachricht lesen Integrität: die Nachricht erreicht den Empfänger so, wie sie abgeschickt wurde Authentizität: es ist sichergestellt,

Mehr

12 Kryptologie. ... immer wichtiger. Militär (Geheimhaltung) Telebanking, Elektronisches Geld E-Commerce WWW...

12 Kryptologie. ... immer wichtiger. Militär (Geheimhaltung) Telebanking, Elektronisches Geld E-Commerce WWW... 12 Kryptologie... immer wichtiger Militär (Geheimhaltung) Telebanking, Elektronisches Geld E-Commerce WWW... Kryptologie = Kryptographie + Kryptoanalyse 12.1 Grundlagen 12-2 es gibt keine einfachen Verfahren,

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 12.05.2014 1 / 26 Überblick 1 Hashfunktionen Erinnerung Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel:

Mehr

Passwortsicherheit. Lehrstuhl für Mediensicherheit. Eik List. Cryptoparty Weimar 20.09.2013

Passwortsicherheit. Lehrstuhl für Mediensicherheit. Eik List. Cryptoparty Weimar 20.09.2013 Passwortsicherheit Lehrstuhl für Mediensicherheit Eik List Cryptoparty Weimar 20.09.2013 Eik List Passwortsicherheit 1 / 18 Cryptoparty Weimar 20.09.2013 Agenda Passwörter benötigt man ständig Computer-Login,

Mehr

Datensicherheit und Datenschutz. Datenschutz. Datensicherheit. Schutz von Personen. Schutz von Daten. (setzt Datensicherheit voraus)

Datensicherheit und Datenschutz. Datenschutz. Datensicherheit. Schutz von Personen. Schutz von Daten. (setzt Datensicherheit voraus) Seite 1 Datensicherheit und Datenschutz Datensicherheit Datenschutz (setzt Datensicherheit voraus) Schutz von Daten Schutz von Personen (über die die Daten Aussagen zulassen; Privacy) Seite 2 Datensicherheit

Mehr

Bin Packing oder Wie bekomme ich die Klamotten in die Kisten?

Bin Packing oder Wie bekomme ich die Klamotten in die Kisten? Bin Packing oder Wie bekomme ich die Klamotten in die Kisten? Ich habe diesen Sommer mein Abi gemacht und möchte zum Herbst mit dem Studium beginnen Informatik natürlich! Da es in meinem kleinen Ort keine

Mehr

Kryptographie und Fehlertoleranz für Digitale Magazine

Kryptographie und Fehlertoleranz für Digitale Magazine Stefan Lucks Kryptographie und Fehlertoleranz für digitale Magazine 1 Kryptographie und Fehlertoleranz für Digitale Magazine Stefan Lucks Professur für Mediensicherheit 13. März 2013 Stefan Lucks Kryptographie

Mehr

Lenstras Algorithmus für Faktorisierung

Lenstras Algorithmus für Faktorisierung Lenstras Algorithmus für Faktorisierung Bertil Nestorius 9 März 2010 1 Motivation Die schnelle Faktorisierung von Zahlen ist heutzutage ein sehr wichtigen Thema, zb gibt es in der Kryptographie viele weit

Mehr

Geeignete Kryptoalgorithmen

Geeignete Kryptoalgorithmen Veröffentlicht im Bundesanzeiger Nr. 158 Seite 18 562 vom 24. August 2001 Geeignete Kryptoalgorithmen In Erfüllung der Anforderungen nach 17 (1) SigG vom 16. Mai 2001 in Verbindung mit 17 (2) SigV vom

Mehr

Digital Signature and Public Key Infrastructure

Digital Signature and Public Key Infrastructure E-Governement-Seminar am Institut für Informatik an der Universität Freiburg (CH) Unter der Leitung von Prof. Dr. Andreas Meier Digital Signature and Public Key Infrastructure Von Düdingen, im Januar 2004

Mehr

FH Schmalkalden Fachbereich Informatik. Kolloquium 21. März 2002

FH Schmalkalden Fachbereich Informatik. Kolloquium 21. März 2002 FH Schmalkalden Fachbereich Informatik http://www.informatik.fh-schmalkalden.de/ 1/17 Kolloquium 21. März 2002 Entwicklung eines JCA/JCE API konformen Kryptographischen Service Providers für HBCI unter

Mehr

Datensicherheit durch Kryptographie

Datensicherheit durch Kryptographie Datensicherheit durch Kryptographie Dr. Michael Hortmann Fachbereich Mathematik, Universität Bremen T-Systems Michael.Hortmann@gmx.de 1 Kryptographie: Klassisch: Wissenschaft und Praxis der Datenverschlüsselung

Mehr

RSA Full Domain Hash (RSA-FDH) Signaturen

RSA Full Domain Hash (RSA-FDH) Signaturen RSA Full Domain Hash (RSA-FDH) Signaturen Signatur RSA-FDH Sei H : {0, 1} Z N ein Random-Oracle. 1 Gen: (N, e, d) GenRSA(1 n ) mit pk = (N, e) und sk = (N, d). 2 Sign: Für eine Nachricht m {0, 1} berechne

Mehr

Betragsgleichungen und die Methode der Fallunterscheidungen

Betragsgleichungen und die Methode der Fallunterscheidungen mathe online Skripten http://www.mathe-online.at/skripten/ Betragsgleichungen und die Methode der Fallunterscheidungen Franz Embacher Fakultät für Mathematik der Universität Wien E-mail: franz.embacher@univie.ac.at

Mehr

Das Knapsack-Kryptosystem

Das Knapsack-Kryptosystem Das Knapsack-Kryptosystem Frank Hellweg 21. Februar 2006 1 Einleitung Das Knapsack-Kryptosystem wurde 1978 von den amerikanischen Kryptologen Martin Hellman und Ralph Merkle entwickelt [MH78] und war eines

Mehr

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren Lineargleichungssysteme: Additions-/ Subtraktionsverfahren W. Kippels 22. Februar 2014 Inhaltsverzeichnis 1 Einleitung 2 2 Lineargleichungssysteme zweiten Grades 2 3 Lineargleichungssysteme höheren als

Mehr

Facharbeit Informatik Public Key Verschlüsselung Speziell: PGP Ole Mallow Basiskurs Informatik

Facharbeit Informatik Public Key Verschlüsselung Speziell: PGP Ole Mallow Basiskurs Informatik Facharbeit Informatik Public Key Verschlüsselung Speziell: PGP Ole Mallow Basiskurs Informatik Seite 1 von 9 Inhaltsverzeichnis Inhaltsverzeichnis...2 1. Allgemein...3 1.1 Was ist Public Key Verschlüsselung?...3

Mehr

Kapitel 7: Kryptographische Hash- Funktionen. IT-Sicherheit

Kapitel 7: Kryptographische Hash- Funktionen. IT-Sicherheit Kapitel 7: Kryptographische Hash- Funktionen IT-Sicherheit Einschub: 31C3 31. Chaos Communications Congress 27. bis 30.12.14 in Hamburg Jährliche Konferenz des Chaos Computer Club Breites Themenspektrum

Mehr

Übungen zu. Grundlagen der Kryptologie SS 2008. Hochschule Konstanz. Dr.-Ing. Harald Vater. Giesecke & Devrient GmbH Prinzregentenstraße 159

Übungen zu. Grundlagen der Kryptologie SS 2008. Hochschule Konstanz. Dr.-Ing. Harald Vater. Giesecke & Devrient GmbH Prinzregentenstraße 159 Übungen zu Grundlagen der Kryptologie SS 2008 Hochschule Konstanz Dr.-Ing. Harald Vater Giesecke & Devrient GmbH Prinzregentenstraße 159 D-81677 München Tel.: +49 89 4119-1989 E-Mail: hvater@htwg-konstanz.de

Mehr

Beweisbar sichere Verschlüsselung

Beweisbar sichere Verschlüsselung Beweisbar sichere Verschlüsselung ITS-Wahlpflichtvorlesung Dr. Bodo Möller Ruhr-Universität Bochum Horst-Görtz-Institut für IT-Sicherheit Lehrstuhl für Kommunikationssicherheit bmoeller@crypto.rub.de 12

Mehr

Kap. 2: Fail-Stop Unterschriften

Kap. 2: Fail-Stop Unterschriften Stefan Lucks 2: Fail-Stop Unterschriften 17 Digital Unterschreiben und Bezahlen Kap. 2: Fail-Stop Unterschriften Digitale Unterschriften (Synomym: Digitale Signaturen ): Fälschen mutmaßlich hart (RSA-Wurzeln,

Mehr

3 Quellencodierung. 3.1 Einleitung

3 Quellencodierung. 3.1 Einleitung Source coding is what Alice uses to save money on her telephone bills. It is usually used for data compression, in other words, to make messages shorter. John Gordon 3 Quellencodierung 3. Einleitung Im

Mehr

Beispiellösungen zu Blatt 111

Beispiellösungen zu Blatt 111 µ κ Mathematisches Institut Georg-August-Universität Göttingen Beispiellösungen zu Blatt 111 Aufgabe 1 Ludwigshafen hat einen Bahnhof in Dreiecksform. Markus, Sabine und Wilhelm beobachten den Zugverkehr

Mehr

11. Das RSA Verfahren und andere Verfahren

11. Das RSA Verfahren und andere Verfahren Chr.Nelius: Kryptographie (SS 2011) 31 11. Das RSA Verfahren und andere Verfahren Eine konkrete Realisierung eines Public Key Kryptosystems ist das sog. RSA Verfahren, das im Jahre 1978 von den drei Wissenschaftlern

Mehr

E-Government in der Praxis Jan Tobias Mühlberg. OpenPGP. <muehlber@fh-brandenburg.de> Brandenburg an der Havel, den 23.

E-Government in der Praxis Jan Tobias Mühlberg. OpenPGP. <muehlber@fh-brandenburg.de> Brandenburg an der Havel, den 23. OpenPGP Brandenburg an der Havel, den 23. November 2004 1 Gliederung 1. Die Entwicklung von OpenPGP 2. Funktionsweise: Verwendete Algorithmen Schlüsselerzeugung und -verwaltung

Mehr

SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites zu beschäftigen

SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites zu beschäftigen SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites zu beschäftigen Immo FaUl Wehrenberg immo@ctdo.de Chaostreff Dortmund 16. Juli 2009 Immo FaUl Wehrenberg immo@ctdo.de (CTDO) SSL/TLS Sicherheit

Mehr

Grundlagen der Theoretischen Informatik, SoSe 2008

Grundlagen der Theoretischen Informatik, SoSe 2008 1. Aufgabenblatt zur Vorlesung Grundlagen der Theoretischen Informatik, SoSe 2008 (Dr. Frank Hoffmann) Lösung von Manuel Jain und Benjamin Bortfeldt Aufgabe 2 Zustandsdiagramme (6 Punkte, wird korrigiert)

Mehr

Grundlagen, Geschichte, Anwendung

Grundlagen, Geschichte, Anwendung K R Y P T P O G R A P H I E Grundlagen, Geschichte, Anwendung Referat von Pawel Strzyzewski, Wintersemester 2006, FH Aachen Seminare»Privacy 2.0«und»We-Blog«Folie 1 von 50 Übersicht 1. Grundlagen ~ 15

Mehr

Digital Rights Management (DRM) Verfahren, die helfen Rechte an virtuellen Waren durchzusetzen. Public-Key-Kryptographie (2 Termine)

Digital Rights Management (DRM) Verfahren, die helfen Rechte an virtuellen Waren durchzusetzen. Public-Key-Kryptographie (2 Termine) Digital Rights Management (DRM) Verfahren, die helfen Rechte an virtuellen Waren durchzusetzen Vorlesung im Sommersemester 2010 an der Technischen Universität Ilmenau von Privatdozent Dr.-Ing. habil. Jürgen

Mehr