Kap. 2: Fail-Stop Unterschriften

Größe: px
Ab Seite anzeigen:

Download "Kap. 2: Fail-Stop Unterschriften"

Transkript

1 Stefan Lucks 2: Fail-Stop Unterschriften 17 Digital Unterschreiben und Bezahlen Kap. 2: Fail-Stop Unterschriften Digitale Unterschriften (Synomym: Digitale Signaturen ): Fälschen mutmaßlich hart (RSA-Wurzeln, Diffie-Hellm.,... ) Sicherheit gegen Existential Forgery in einem Chosen Message Szenario Fail-Stop Unterschriften: Fälschen mutmaßlich hart (wie oben). Gesteigerte Sicherheit für Signaturschlüsselinhaber I: I kann Fälschungen ggf. nachweisen... sogar wenn Fälscher unbeschränkte Rechenleistung hat (informationstheoretische Sicherheit)!

2 Stefan Lucks 2: Fail-Stop Unterschriften 18 Digital Unterschreiben und Bezahlen 2.1: Einmal-Unterschriften Kap. 2.1: Einmal-Unterschriften Übliche Systeme für digitale Unterschriften erlauben es, einen Signierschlüssel für das Unterschreiben von (im Prinzip) beliebig vielen Nachrichten zu benutzen. Einmal-Unterschriften: Systeme für digitale Unterschriften, bei denen ein Signierschlüssel nur einmal verwendet werden kann. Angriff: In der Fragephase kann der Angreifer nur eine einzige Orakelfrage stellen.

3 Stefan Lucks 2: Fail-Stop Unterschriften 19 Digital Unterschreiben und Bezahlen 2.1: Einmal-Unterschriften Authentifikation mit Einwegfunktion f Sei M eine festgelegte Nachricht (z.b. M = Auftrag ausgeführt., oder M = Atombombe sofort aktivieren! ). Eine zuständige Stelle erklärt zu einem von ihr gewählten Zeitpunkt t die Nachricht M für gültig. Alle Beteiligten können dann überprüfen, dass M gilt. Angreifer könnten versuchen, Beteiligte vorzeitig von der Richtigkeit von M zu überzeugen. Lösung: Zufälliges Geheimnis x. Gib y := f (x) bekannt. Zeitpunkt t: gib x bekannt. Überprüfung: f (x) = y? Beispiele für mutmaßliche Einwegfunktionen: ( Krypto I). Lamport Unterschriften: ( Tafel).

4 Stefan Lucks 2: Fail-Stop Unterschriften 20 Digital Unterschreiben und Bezahlen 2.1: Einmal-Unterschriften Beispiel Einwegfunktion f (x) = g x mod p; setze p = 11, g = 2, L = 2. Geheimer Schlüssel: y 0,1 = 4, y 1,1 = 6, y 0,2 = 8, y 1,2 = 3. Öffentlicher Schlüssel ( Tafel). Nachricht = (0, 1) = Unterschrift = (4, 3). Verifikation: ( Tafel).

5 Stefan Lucks 2: Fail-Stop Unterschriften 21 Digital Unterschreiben und Bezahlen 2.1: Einmal-Unterschriften Lapmport-Unterschr.: Sicherheit Die Funktion f werde als Einweg-Funktion für Lamport-Unterschriften von L-bit Nachrichten (bzw. Hash-Werten) genutzt. Theorem 3 Ein Angreifer, der Zugriff auf ein Orakel hat, dass zu einem Wert z einen Wert y mit f (y) = z liefert, kann beliebige Nachrichten unterschreiben. Beweis: Trivial.

6 Stefan Lucks 2: Fail-Stop Unterschriften 22 Digital Unterschreiben und Bezahlen 2.1: Einmal-Unterschriften Lapmport-Unterschr.: Sicherheit (2) Seien f und L wie bisher gewählt. Wir betrachten einen Angreifer dem in der Laufzeit t A mit der Wahrscheinlichkeit p A eine Existential Forgery gelingt. Theorem 4 Wenn der Angreifer keine Chosen Message Orakelfragen stellt ( Key Only Szenario), kann man f effizient invertieren, und zwar in Zeit t A mit der Wahrscheinlichkeit p A /2. Beweis: ( Tafel)

7 Stefan Lucks 2: Fail-Stop Unterschriften 23 Digital Unterschreiben und Bezahlen 2.1: Einmal-Unterschriften Lapmport-Unterschr.: Sicherheit (3) Theorem 5 Wenn der Angreifer eine Chosen Message Orakelfrage stellt ( Chosen Message Szenario), kann man f effizient invertieren, und zwar in Zeit t A mit der Wahrscheinlichkeit p A /2L. Beweis: ( Tafel)

8 Stefan Lucks 2: Fail-Stop Unterschriften 24 Digital Unterschreiben und Bezahlen 2.2: R-fache Unterschriften Kap. 2.2: R-fache Unterschriften Signierschlüssel höchstens R-mal eingesetzt Konstruktion aus Einmal-Unterschriften mit Hilfe von Hash-Bäumen ( authentication trees ) ( Tafel)

9 Stefan Lucks 2: Fail-Stop Unterschriften 25 Digital Unterschreiben und Bezahlen 2.3: Erkennen v. Fälschungen 2.3 Erkennen von Fälschungen Hartes Problem P, zusätzlicher Sicherheitsparameter σ; Sicherheitsanforderungen: Unforgability Wenn Problem P hart, dann auch Existential Forgery in einem Chosen Message Szenario hart (wie bisher)! Signer s Security Wenn gefälschte Unterschrift S unter Nachricht M, kann der Inhaber I des Signaturschlüssels mit der WS ( 1 2 σ ) beweisen, dass Fälschung vorliegt! Non-Repudiation Wenn Problem P hart und Unterschrift von I selbst erzeugt, kann I nicht beweisen, dass Fälschung vorliegt.

10 Stefan Lucks 2: Fail-Stop Unterschriften 26 Digital Unterschreiben und Bezahlen 2.3: Erkennen v. Fälschungen Beispiel σ:=1, Zahl n = pq (Rabin-Modulus), Problem P: Quadratwurzeln mod n ( Fakto.). Der Signer I kennt die Faktoren von n nicht (vertrauenswürdige unabhängige Partei, verteiltes Protokoll,... ) Einwegfunktion f (x) = x 2 mod n. L-bit Lamport Schema: Für b {0, 1}, i {1,..., L}: geheim: y b,i R ZZ n, öffentlich: z b,i := y 2 b,i mod n.

11 Stefan Lucks 2: Fail-Stop Unterschriften 27 Digital Unterschreiben und Bezahlen 2.3: Erkennen v. Fälschungen Beispiel (Sicherheit) Unforgability ( Theorem 5) Signer s Security Nachweis einer Fälschung: Faktoren von n. 4 Kandidaten für geheimen Schlüssel y b,i. Wenn y b,i ±y b,i mod n, dann ggt(y b,i + y b,i, n) {p, q}. Non-Repudiation Fälschung nachweisen n faktorisieren.

12 Stefan Lucks 2: Fail-Stop Unterschriften 28 Digital Unterschreiben und Bezahlen 2.3: Erkennen v. Fälschungen Variante mit σ > 1 Idee: Codieren der Nachrichten x: Hamming-Distanz zwischen verschiedenen Nachrichten beträgt immer mindestens σ bit. (Z.B. durch Einsatz eines fehlererkennenden Codes.) Unforgability: (wie bisher). Signer s Security: Nur mit der Wahrscheinlichkeit 2 σ kann der Signer n nicht faktorisieren. Non-Repudiation: (wie bisher).

13 Stefan Lucks 2: Fail-Stop Unterschriften 29 Digital Unterschreiben und Bezahlen 2.3: Erkennen v. Fälschungen Beispiel 1024-bit Modulus n, 160-bit Hash-Werte (d.h., L = 160), σ = 40 (d.h., Restrisiko < ). Geheimer Schlüssel: bit= bit=50 Kilobyte Öffentlicher Schlüssel: 50 Kilobyte Unterschrift: 25 Kilobyte

14 Stefan Lucks 2: Fail-Stop Unterschriften 30 Digital Unterschreiben und Bezahlen 2.3: Erkennen v. Fälschungen van Heyst/Pedersen Unterschriften Öffentliche Parameter Hashfunktion H, Primzahlen p, q mit p = 2q + 1, α, β ZZ p, α > 1, α q = 1, β = α s. (Signer kennt s nicht!) Schlüsselerzeugung Geh. Schl.: SK = (a 1, a 2, b 1, b 2 ) R ZZ 4 q Öffentl. Schl. PK = (c 1, c 2 ) ZZ 2 q c 1 := α a 1 β b 1 mod p, c 2 := α a 2 β b 2 mod p. Einmal-Unterschrift S(SK, M) = (y a, y b ) ZZ q ( Tafel) Verifikation V (PK, M, U) ( Tafel) Korrektheit ( Tafel)

15 Stefan Lucks 2: Fail-Stop Unterschriften 31 Digital Unterschreiben und Bezahlen 2.3: Erkennen v. Fälschungen Sicherheit der vh/p Unterschriften Unforgability Gegeben unter einer geeigneten zahlentheoretischen Annahme Signer s Security ( Tafel) Non-Repudiation Beweis der Fälschung Berechnung von s = log α (β) mod p.

16 Stefan Lucks 2: Fail-Stop Unterschriften 32 Digital Unterschreiben und Bezahlen 2.4: Akkumulatoren 2.4: Kryptographische Akkumulatoren Alle (bisher) betrachteten Systeme für Fail-Stop Unterschriften sind beschänkt auf Einmal-Unterschriften. Mit Hilfe von Hash-Bäumen: R-fache Nutzung. Nachteil: Jede (Fail-Stop) Unterschrift unter eine Nachricht M besteht tatsächlich aus log 2 (R) einzelnen Unterschriften. Kann man das verbessern?

17 Stefan Lucks 2: Fail-Stop Unterschriften 33 Digital Unterschreiben und Bezahlen 2.4: Akkumulatoren Krypto-Akkumulatoren (Grundidee) Erzeuge/definiere Akkumulator-Schlüssel K (z.b. von vertrauenswürdiger Instanz) und Menge Y K von Akkumulator-Inputs. Geg. Akkumulator-Schlüssel K und verschiedene Elemente y1,..., y w Y K, berechne Akkumulator-Wert z ( y1,..., y w z ) und für jedes yi z einen Zeugen a i (Nachweis für y i z). Sicherheit (Minimalanforderung): Für y z ist es hart, einen Zeugen zu finden!

18 Stefan Lucks 2: Fail-Stop Unterschriften 34 Digital Unterschreiben und Bezahlen 2.4: Akkumulatoren Trivialbeispiel Akkumulator-Schlüssel K = {}. Menge Y K von Akkumulator-Inputs: beliebig. Akkumulator-Wert: z Y, z = (y 1,..., y w ). Zeuge für y i z: y i. Sicherheit: Informationstheoretisch!

19 Stefan Lucks 2: Fail-Stop Unterschriften 35 Digital Unterschreiben und Bezahlen 2.4: Akkumulatoren Krypto-Akkumulatoren (Definition) Tripel von Algorithmen: Schlüsselerzeugung: Key-Gen(<Sicherheitsparameter>) liefert Akkumulatorschlüssel K und Menge Y K. Akkumulieren: Akku-Fill K (y 1,..., y w ) liefert Akkumulator-Wert z und Zeugen a 1,..., a w. (NB.: i {1,..., w} : y i Y K.) Nachweis/Korrektheit: Akku-OK K (y i, a i, z) (y i Y K und a i Zeuge f. y i z).

20 Stefan Lucks 2: Fail-Stop Unterschriften 36 Digital Unterschreiben und Bezahlen 2.4: Akkumulatoren Krypto-Akkumulatoren (Sicherheit) Gegeben: Akku-Schlüssel K, Menge Y K w + 1 verschiedene y 1,..., y w, y Y K, z := Akku-Fill K (y 1,..., y w ). 1-Weg Eigenschaft Es ist hart, a zu finden mit Akku-OK K (y, a, z). Starke 1-Weg Eigenschaft Es ist hart, y Y K und a zu finden mit Akku-OK K (y, a, z). Kollisionsresistenz Seien (nur) K, Y K und z gegeben. Es ist hart, w und w + 1 verschiedene Werte y 1,..., y w, y Y K und a zu finden mit z := Akku-Fill K (y 1,..., y w ) und Akku-OK K (y, a, z).

21 Stefan Lucks 2: Fail-Stop Unterschriften 37 Digital Unterschreiben und Bezahlen 2.4: Akkumulatoren Sicherheitsstufen Theorem 6 (Koll.-res. stark 1-Weg 1-Weg) 1. Wenn ein Krypto-Akkumulator kollisionsresistent ist, dann weist er insbesondere auch die starke 1-Weg Eigenschaft auf. 2. Wenn ein Krypto-Akkumulator die starke 1-Weg Eigenschaft aufweist, dann weist er erst recht die Einweg-Eigenschaft auf. Beweis: (zur Übung als warm-up exercise )

22 Stefan Lucks 2: Fail-Stop Unterschriften 38 Digital Unterschreiben und Bezahlen 2.4: Akkumulatoren Der Barić/Pfitzmann Akkumulator Schlüsselerzeugung Key-Gen(k) := (n, x), n ein k-bit RSA-Modulus, x R ZZ N, y = Y K =(Menge der Primzahlen) Akkumulieren von y 1,..., y w : ( Tafel) Nachweis für y z, Zeuge a: y Y und a y = z mod n Theorem 7 Der Barić/Pfitzmann Akkumulator ist korrekt. Beweis: ( Tafel)

23 Stefan Lucks 2: Fail-Stop Unterschriften 39 Digital Unterschreiben und Bezahlen 2.4: Akkumulatoren Sicherheit des B/P Akkumulators Hypothese (Starke RSA-Vermutung): Sei Y die Menge der Primzahlen. Sei n ein (hinreichend großer) RSA-Modulus mit unbekannter Faktorisierung. Dann gilt: Für einen zufälligen Wert x ZZ n ist es hart, ein Paar (t, e) ZZ n Y zu finden mit t e = x mod n. Theorem 8 Unter der starken RSA-Vermutung ist der B/P Akkumulator kollisionsresistent. Beweis: ( Tafel)

24 Stefan Lucks 2: Fail-Stop Unterschriften 40 Digital Unterschreiben und Bezahlen 2.4: Akkumulatoren Akkumulieren beliebiger Inputs Wir wollen nicht nur Primzahlen, sondern beliebige Eingaben akkumulieren können. B/P Umwandlungsfunktion H : {0, 1} ZZ 2 L+λ: Kollisionsresistente Hashfunktion h : {0, 1} {0, 1} L, Parameter λ. Setze H(x) auf den kleinsten Wert, für den es ein δ {0,..., 2 λ 1}, gibt mit: H(x) = 2 λ h(x) + δ ist eine Primzahl.

25 Stefan Lucks 2: Fail-Stop Unterschriften 41 Digital Unterschreiben und Bezahlen 2.4: Akkumulatoren Bemerkungen 1. Strengenommen ist H nur partiell definiert: Es könnte sein, dass keine Zahl zwischen 2 λ h(x) und 2 λ h(x) + 2 λ 1 prim ist. 2. Trotzdem werden wir so tun, als sei H total definiert. Rechtfertigung: Wenn wir h(x) als zufällig betrachten und λ groß genug ist, ist H(x) für geg. x mit überwältigender Wahrscheinlichkeit definiert. 3. Wenn h kollisionsresistent ist, dann ist auch H kollisionsresistent. ( Übung)

26 Stefan Lucks 2: Fail-Stop Unterschriften 42 Digital Unterschreiben und Bezahlen 2.4: Akkumulatoren B/P Akkumulator mit Umwandlungsfunktion Wir betrachten den Krypto-Akkumulator (B/P) mit Umwandlungsfunktion H: Erzeugung des Schlüssels K ( B/P Akkumulator) Akkumulieren von Werten x 1,..., x w {0, 1} : Akku-Fill K (H(x 1 ),..., H(x w )). Liefert Wert z und Zeugen a 1,..., a w. Nachweis Akku-OK K (H(x i ), a i, z)

27 Stefan Lucks 2: Fail-Stop Unterschriften 43 Digital Unterschreiben und Bezahlen 2.4: Akkumulatoren Akkumulator mit Umwandlungsfunktion (Korrektheit und Sicherheit) Theorem 9 1. Der (B/P) Akkumulator mit Umwandlungsfunktion H ist korrekt. 2. Sind H und der B/P Akkumulator kollisionsresistent, ist auch B/P Akkumulator mit Umwandlungsfunktion H kollisionsresistent. Beweis: ( Tafel)

28 Stefan Lucks 2: Fail-Stop Unterschriften 44 Digital Unterschreiben und Bezahlen 2.5: Kombinierte F.-S. U. Kap. 2.5: Kombinierte Fail-Stop Unterschriften Komponenten: 1-mal Fail-Stop Unterschriftsschema U Kollisionsresistenter Krypto-Akkumulator KA, Schlüssel K. Bedingung: <Menge der öffentlichen Schlüssel v. U> <Menge Y K der Akkumulator-Inputs f. KA>

29 Stefan Lucks 2: Fail-Stop Unterschriften 45 Digital Unterschreiben und Bezahlen 2.5: Kombinierte F.-S. U. Das Kombinationsschema U+KA Grundidee: U: Erzeuge Schlüsselpaare (pk 1,sk 1 ),..., (pk R,sk R ). KA: Erzeuge Schlüssel K. Berechne z := Akku-Fill K (pk 1,...,pk R ) und die zugehörigen Authentifikatoren a 1,..., a R. U+KA: Öffentlicher Schlüssel: (z, K ) Geheimer Schlüssel: (pk1,sk 1 ),..., (pk R,sk R ).

30 Stefan Lucks 2: Fail-Stop Unterschriften 46 Digital Unterschreiben und Bezahlen 2.5: Kombinierte F.-S. U. Unterschreiben und Verifizieren Unterschreiben der Nachricht x mit U+KA: U: Wähle noch unbenutztes Schlüsselpaar (pk i,sk i ). U: Unterschreibe x: u:=s(sk i, x). Unterschrift in U+KA: (u, pk i, a i ). Verifizieren der Unterschrift (u, pk, a) für x: Teste Akku-OK K (pk, a, z) (in KA). Teste V (pk,x) (in U).

31 Stefan Lucks 2: Fail-Stop Unterschriften 47 Digital Unterschreiben und Bezahlen 2.5: Kombinierte F.-S. U. Eigenschaften des Schemas U+KA Theorem 10 Wenn das Fail-Stop Unterschriftsschema U und der Krypto-Akkumulator KA korrekt sind, dann ist auch U+KA ein korrektes F-S Unterschriftsschema zur R-fache Nutzung. Beweis: ( Tafel) Theorem 11 Sei das Fail-Stop Unterschriftsschema U sicher. Sei der Krypto-Akkumulator KA kollisionsresistent. Dann ist auch das Fail-Stop Unterschriftsschema U+KA sicher. Beweis: ( Tafel)

32 Stefan Lucks 2: Fail-Stop Unterschriften 48 Digital Unterschreiben und Bezahlen 2.5: Kombinierte F.-S. U. Beispiel Seien U das van Heyst/Pedersen Unterschriftsschema, KA der Barić/Pfitzmann Akkumulator mit Umwandlungsfunktion H. Durch die Kombination von U und KA erhalten wir ein korrektes und (unter entsprechenden kryptographischen Hypothesen) sicheres Fail-Stop Unterschriftsschema U+KA. Die maximale Anzahl R an Unterschriften ist zum Zeitpunkt der Schlüsselerzeugung durch den Signer frei wählbar.

33 Stefan Lucks 2: Fail-Stop Unterschriften 49 Digital Unterschreiben und Bezahlen 2.6: Bemerkungen Kap. 2.6: Bemerkungen Digitale Unterschriften mit noch weiter gesteigerter Sicherheit. (Für Paranoiker?) Ein Beispiel für kryptographische Protokolle mit asymmetrischer Sicherheitsgarantie: Signer s Security informationstheoretisch. Sicherheit der Gegenpartei hängt von kryptographischer Hypothese ab (vermutete Härte eines Problems). Fail-Stop Unterschriften in der Praxis (z.b. Signaturgesetz) noch nicht sehr verbreitet. (Warum eigentlich?) Vielfalt an kryptographischen Methoden, auch für andere Anwendungen: Einmal-Unterschriften, Hash-Bäume, Akkumulatoren,...

Digitale Unterschriften Grundlagen der digitalen Unterschriften Hash-Then-Sign Unterschriften Public-Key Infrastrukturen (PKI) Digitale Signaturen

Digitale Unterschriften Grundlagen der digitalen Unterschriften Hash-Then-Sign Unterschriften Public-Key Infrastrukturen (PKI) Digitale Signaturen Sommersemester 2008 Digitale Unterschriften Unterschrift von Hand : Physikalische Verbindung mit dem unterschriebenen Dokument (beides steht auf dem gleichen Blatt). Fälschen erfordert einiges Geschick

Mehr

10. Public-Key Kryptographie

10. Public-Key Kryptographie Stefan Lucks 10. PK-Krypto 274 orlesung Kryptographie (SS06) 10. Public-Key Kryptographie Analyse der Sicherheit von PK Kryptosystemen: Angreifer kennt öffentlichen Schlüssel Chosen Plaintext Angriffe

Mehr

Voll homomorpe Verschlüsselung

Voll homomorpe Verschlüsselung Voll homomorpe Verschlüsselung Definition Voll homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : R R für Ringe R, R. Π heißt voll homomorph, falls 1 Enc(m 1 ) + Enc(m 2 ) eine gültige

Mehr

Kryptographie und Fehlertoleranz für Digitale Magazine

Kryptographie und Fehlertoleranz für Digitale Magazine Stefan Lucks Kryptographie und Fehlertoleranz für digitale Magazine 1 Kryptographie und Fehlertoleranz für Digitale Magazine Stefan Lucks Professur für Mediensicherheit 13. März 2013 Stefan Lucks Kryptographie

Mehr

Sicherheit von hybrider Verschlüsselung

Sicherheit von hybrider Verschlüsselung Sicherheit von hybrider Verschlüsselung Satz Sicherheit hybrider Verschlüsselung Sei Π ein CPA-sicheres PK-Verschlüsselungsverfahren und Π ein KPA-sicheres SK-Verschlüsselungsverfahren. Dann ist das hybride

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 13.05.2013 1 / 16 Überblick 1 Asymmetrische Verschlüsselung Erinnerung Andere Verfahren Demonstration Zusammenfassung 2 Symmetrische Authentifikation von Nachrichten

Mehr

Homomorphe Verschlüsselung

Homomorphe Verschlüsselung Homomorphe Verschlüsselung Definition Homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : G G für Gruppen G, G. Π heißt homomorph, falls Enc(m 1 ) G Enc(m 2 ) eine gültige Verschlüsselung

Mehr

RSA Full Domain Hash (RSA-FDH) Signaturen

RSA Full Domain Hash (RSA-FDH) Signaturen RSA Full Domain Hash (RSA-FDH) Signaturen Signatur RSA-FDH Sei H : {0, 1} Z N ein Random-Oracle. 1 Gen: (N, e, d) GenRSA(1 n ) mit pk = (N, e) und sk = (N, d). 2 Sign: Für eine Nachricht m {0, 1} berechne

Mehr

Wiederholung: Informationssicherheit Ziele

Wiederholung: Informationssicherheit Ziele Wiederholung: Informationssicherheit Ziele Vertraulichkeit : Schutz der Information vor unberechtigtem Zugriff bei Speicherung, Verarbeitung und Übertragung Methode: Verschüsselung symmetrische Verfahren

Mehr

8: Zufallsorakel. Wir suchen: Einfache mathematische Abstraktion für Hashfunktionen

8: Zufallsorakel. Wir suchen: Einfache mathematische Abstraktion für Hashfunktionen Stefan Lucks 8: Zufallsorakel 139 Kryptogr. Hashfunkt. (WS 08/09) 8: Zufallsorakel Unser Problem: Exakte Eigenschaften von effizienten Hashfunktionen nur schwer erfassbar (z.b. MD5, Tiger, RipeMD, SHA-1,...)

Mehr

RSA Full Domain Hash (RSA-FDH) Signaturen

RSA Full Domain Hash (RSA-FDH) Signaturen RSA Full Domain Hash (RSA-FDH) Signaturen Signatur RSA-FDH Sei H : {0, 1} Z N ein Random-Oracle. 1 Gen: (N, e, d) GenRSA(1 n ) mit pk = (N, e) und sk = (N, d). 2 Sign: Für eine Nachricht m {0, 1} berechne

Mehr

Betriebssysteme und Sicherheit

Betriebssysteme und Sicherheit Betriebssysteme und Sicherheit Signatursysteme WS 2013/2014 Dr.-Ing. Elke Franz Elke.Franz@tu-dresden.de 1 Überblick 1 Prinzip digitaler Signatursysteme 2 Vergleich symmetrische / asymmetrische Authentikation

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 26.05.2014 1 / 32 Überblick 1 Hinweis 2 Asymmetrische Authentifikation von Nachrichten Erinnerung RSA als Signaturschema ElGamal-Signaturen Hash-Then-Sign

Mehr

3: Zahlentheorie / Primzahlen

3: Zahlentheorie / Primzahlen Stefan Lucks Diskrete Strukturen (WS 2009/10) 96 3: Zahlentheorie / Primzahlen 3: Zahlentheorie / Primzahlen Stefan Lucks Diskrete Strukturen (WS 2009/10) 97 Definition 37 (Teiler, Vielfache, Primzahlen,

Mehr

Authentikation und digitale Signatur

Authentikation und digitale Signatur TU Graz 23. Jänner 2009 Überblick: Begriffe Authentikation Digitale Signatur Überblick: Begriffe Authentikation Digitale Signatur Überblick: Begriffe Authentikation Digitale Signatur Begriffe Alice und

Mehr

8. Von den Grundbausteinen zu sicheren Systemen

8. Von den Grundbausteinen zu sicheren Systemen Stefan Lucks 8. Grundb. sich. Syst. 211 orlesung Kryptographie (SS06) 8. Von den Grundbausteinen zu sicheren Systemen Vorlesung bisher: Bausteine für Kryptosysteme. Dieses Kapitel: Naiver Einsatz der Bausteine

Mehr

Digitale Magazine ohne eigenen Speicher

Digitale Magazine ohne eigenen Speicher Stefan Lucks Digitale Magazine ohne eigenen Speicher 1 Digitale Magazine ohne eigenen Speicher Wie man die Integrität fremdgespeicherter Archivalien sicherstellen kann Stefan Lucks Professur für Mediensicherheit

Mehr

Effizienten MAC-Konstruktion aus der Praxis: NMAC Idee von NMAC:

Effizienten MAC-Konstruktion aus der Praxis: NMAC Idee von NMAC: Effizienten MAC-Konstruktion aus der Praxis: NMAC Idee von NMAC: Hashe m {0, 1} auf einen Hashwert in {0, 1} n. Verwende Π MAC3 für Nachrichten fixer Länge auf dem Hashwert. Wir konstruieren Π MAC3 mittels

Mehr

Konzepte von Betriebssystemkomponenten: Schwerpunkt Sicherheit. Asymmetrische Verschlüsselung, Digitale Signatur

Konzepte von Betriebssystemkomponenten: Schwerpunkt Sicherheit. Asymmetrische Verschlüsselung, Digitale Signatur Konzepte von Betriebssystemkomponenten: Schwerpunkt Sicherheit Thema: Asymmetrische Verschlüsselung, Digitale Signatur Vortragender: Rudi Pfister Überblick: Asymmetrische Verschlüsselungsverfahren - Prinzip

Mehr

Digitale Unterschriften mit ElGamal

Digitale Unterschriften mit ElGamal Digitale Unterschriften mit ElGamal Seminar Kryptographie und Datensicherheit Institut für Informatik Andreas Havenstein Inhalt Einführung RSA Angriffe auf Signaturen und Verschlüsselung ElGamal Ausblick

Mehr

Kapitel 3: Etwas Informationstheorie

Kapitel 3: Etwas Informationstheorie Stefan Lucks 3: Informationstheorie 28 orlesung Kryptographie (SS06) Kapitel 3: Etwas Informationstheorie Komplexitätstheoretische Sicherheit: Der schnellste Algorithmus, K zu knacken erfordert mindestens

Mehr

Kryptographie und Komplexität

Kryptographie und Komplexität Kryptographie und Komplexität Einheit 6 Kryptographie und Sicherheit 1. Kryptographische Hashfunktionen 2. Passwörter und Identifikation 3. Digitale Signaturen 4. Secret Sharing 5. Anwendungen und Ausblick

Mehr

Symmetrische und Asymmetrische Kryptographie. Technik Seminar 2012

Symmetrische und Asymmetrische Kryptographie. Technik Seminar 2012 Symmetrische und Asymmetrische Kryptographie Technik Seminar 2012 Inhalt Symmetrische Kryptographie Transpositionchiffre Substitutionchiffre Aktuelle Verfahren zur Verschlüsselung Hash-Funktionen Message

Mehr

Betriebsarten für Blockchiffren

Betriebsarten für Blockchiffren Betriebsarten für Blockchiffren Prof. Dr. Rüdiger Weis TFH Berlin Sommersemester 2008 Betriebsarten für Blockchiffren Was ist eine Betriebsart (engl. Mode of Operation )? Blockchiffre wird genutzt, um

Mehr

In beiden Fällen auf Datenauthentizität und -integrität extra achten.

In beiden Fällen auf Datenauthentizität und -integrität extra achten. Stromchiffren Verschlüsseln eines Stroms von Daten m i (Bits/Bytes) mithilfe eines Schlüsselstroms k i in die Chiffretexte c i. Idee: Im One-Time Pad den zufälligen Schlüssel durch eine pseudo-zufällige

Mehr

2. Realisierung von Integrität und Authentizität

2. Realisierung von Integrität und Authentizität 2. Realisierung von Integrität und Authentizität Zur Prüfung der Integrität einer Nachricht oder Authentizität einer Person benötigt die prüfende Instanz eine zusätzliche Information, die nur vom Absender

Mehr

Name:... Vorname:... Matrikel-Nr.:... Studienfach:...

Name:... Vorname:... Matrikel-Nr.:... Studienfach:... Stefan Lucks Medien Bauhaus-Univ. Weimar Probeklausur Name:.............................. Vorname:........................... Matrikel-Nr.:....................... Studienfach:........................ Wichtige

Mehr

Wiederholung: Informationssicherheit Ziele

Wiederholung: Informationssicherheit Ziele Wiederholung: Informationssicherheit Ziele Vertraulichkeit: Schutz der Information vor unberechtigtem Zugriff bei Speicherung, Verarbeitung und Übertragung Integrität: Garantie der Korrektheit (unverändert,

Mehr

5. Signaturen und Zertifikate

5. Signaturen und Zertifikate 5. Signaturen und Zertifikate Folgende Sicherheitsfunktionen sind möglich: Benutzerauthentikation: Datenauthentikation: Datenintegrität: Nachweisbarkeit: Digitale Unterschrift Zahlungsverkehr Nachweis

Mehr

Wiederholung: Informationssicherheit Ziele

Wiederholung: Informationssicherheit Ziele Wiederholung: Informationssicherheit Ziele Vertraulichkeit: Schutz der Information vor unberechtigtem Zugriff bei Speicherung, Verarbeitung und Übertragung Verschlüsselungsverfahren Integrität: Garantie

Mehr

ElGamal Verschlüsselungsverfahren (1984)

ElGamal Verschlüsselungsverfahren (1984) ElGamal Verschlüsselungsverfahren (1984) Definition ElGamal Verschlüsselungsverfahren Sei n ein Sicherheitsparameter. 1 Gen : (q, g) G(1 n ), wobei g eine Gruppe G der Ordnung q generiert. Wähle x R Z

Mehr

Verschlüsselung. Chiffrat. Eve

Verschlüsselung. Chiffrat. Eve Das RSA Verfahren Verschlüsselung m Chiffrat m k k Eve? Verschlüsselung m Chiffrat m k k Eve? Aber wie verteilt man die Schlüssel? Die Mafia-Methode Sender Empfänger Der Sender verwendet keine Verschlüsselung

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 06.05.2013 1 / 25 Überblick 1 Hashfunktionen Erinnerung Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel:

Mehr

12 Kryptologie. ... immer wichtiger. Militär (Geheimhaltung) Telebanking, Elektronisches Geld E-Commerce WWW...

12 Kryptologie. ... immer wichtiger. Militär (Geheimhaltung) Telebanking, Elektronisches Geld E-Commerce WWW... 12 Kryptologie... immer wichtiger Militär (Geheimhaltung) Telebanking, Elektronisches Geld E-Commerce WWW... Kryptologie = Kryptographie + Kryptoanalyse 12.1 Grundlagen 12-2 es gibt keine einfachen Verfahren,

Mehr

Asymmetrische. Verschlüsselungsverfahren. erarbeitet von: Emilia Winkler Christian-Weise-Gymnasium Zittau

Asymmetrische. Verschlüsselungsverfahren. erarbeitet von: Emilia Winkler Christian-Weise-Gymnasium Zittau Asymmetrische Verschlü erarbeitet von: Emilia Winkler Christian-Weise-Gymnasium Zittau Gliederung 1) Prinzip der asymmetrischen Verschlü 2) Vergleich mit den symmetrischen Verschlü (Vor- und Nachteile)

Mehr

Kryptografische Protokolle

Kryptografische Protokolle Kryptografische Protokolle Lerneinheit 5: Authentifizierung Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen Sommersemester 2015 19.6.2015 Einleitung Einleitung Diese Lerneinheit hat Protokolle

Mehr

Überblick Kryptographie

Überblick Kryptographie 1 Überblick Kryptographie Ulrich Kühn Deutsche Telekom Laboratories, TU Berlin Seminar Kryptographie 19. Oktober 2005 2 Übersicht Was ist Kryptographie? Symmetrische Kryptographie Asymmetrische Kryptographie

Mehr

RSA Verfahren. Kapitel 7 p. 103

RSA Verfahren. Kapitel 7 p. 103 RSA Verfahren RSA benannt nach den Erfindern Ron Rivest, Adi Shamir und Leonard Adleman war das erste Public-Key Verschlüsselungsverfahren. Sicherheit hängt eng mit der Schwierigkeit zusammen, große Zahlen

Mehr

Digitale Signaturen. Sven Tabbert

Digitale Signaturen. Sven Tabbert Digitale Signaturen Sven Tabbert Inhalt: Digitale Signaturen 1. Einleitung 2. Erzeugung Digitaler Signaturen 3. Signaturen und Einweg Hashfunktionen 4. Digital Signature Algorithmus 5. Zusammenfassung

Mehr

Lenstras Algorithmus für Faktorisierung

Lenstras Algorithmus für Faktorisierung Lenstras Algorithmus für Faktorisierung Bertil Nestorius 9 März 2010 1 Motivation Die schnelle Faktorisierung von Zahlen ist heutzutage ein sehr wichtigen Thema, zb gibt es in der Kryptographie viele weit

Mehr

Rabin Verschlüsselung 1979

Rabin Verschlüsselung 1979 Rabin Verschlüsselung 1979 Idee: Rabin Verschlüsselung Beobachtung: Berechnen von Wurzeln in Z p ist effizient möglich. Ziehen von Quadratwurzeln in Z N ist äquivalent zum Faktorisieren. Vorteil: CPA-Sicherheit

Mehr

Diffie-Hellman, ElGamal und DSS. Vortrag von David Gümbel am 28.05.2002

Diffie-Hellman, ElGamal und DSS. Vortrag von David Gümbel am 28.05.2002 Diffie-Hellman, ElGamal und DSS Vortrag von David Gümbel am 28.05.2002 Übersicht Prinzipielle Probleme der sicheren Nachrichtenübermittlung 'Diskreter Logarithmus'-Problem Diffie-Hellman ElGamal DSS /

Mehr

Kap. 8: Speziell gewählte Kurven

Kap. 8: Speziell gewählte Kurven Stefan Lucks 8: Spezielle Kurven 82 Verschl. mit Elliptischen Kurven Kap. 8: Speziell gewählte Kurven Zur Erinnerung: Für beliebige El. Kurven kann man den Algorithmus von Schoof benutzen, um die Anzahl

Mehr

IT-Sicherheit Kapitel 3 Public Key Kryptographie

IT-Sicherheit Kapitel 3 Public Key Kryptographie IT-Sicherheit Kapitel 3 Public Key Kryptographie Dr. Christian Rathgeb Sommersemester 2013 1 Einführung In der symmetrischen Kryptographie verwenden Sender und Empfänger den selben Schlüssel die Teilnehmer

Mehr

CPA-Sicherheit ist ungenügend

CPA-Sicherheit ist ungenügend CPA-Sicherheit ist ungenügend Definition CCA CCA (=Chosen Ciphertext Attack) ist ein Angriff, bei dem der Angreifer sich Chiffretext seiner Wahl entschlüsseln lassen kann. Beispiele in denen CPA nicht

Mehr

Key Agreement. Diffie-Hellman Schlüsselaustausch. Key Agreement. Authentifizierter Diffie-Hellman Schlüsselaustausch

Key Agreement. Diffie-Hellman Schlüsselaustausch. Key Agreement. Authentifizierter Diffie-Hellman Schlüsselaustausch Digitale Signaturen Signaturverfahren mit Einwegfunktion mit Falltür: Full Domain Hash, RSA Signatures, PSS Signaturverfahren mit Einwegfunktion ohne Falltür: Allgemeine Konstruktion von Lamport, One-time

Mehr

9 Schlüsseleinigung, Schlüsselaustausch

9 Schlüsseleinigung, Schlüsselaustausch 9 Schlüsseleinigung, Schlüsselaustausch Ziel: Sicherer Austausch von Schlüsseln über einen unsicheren Kanal initiale Schlüsseleinigung für erste sichere Kommunikation Schlüsselerneuerung für weitere Kommunikation

Mehr

1 Kryptosysteme 1 KRYPTOSYSTEME. Definition 1.1 Eine Kryptosystem (P(A), C(B), K, E, D) besteht aus

1 Kryptosysteme 1 KRYPTOSYSTEME. Definition 1.1 Eine Kryptosystem (P(A), C(B), K, E, D) besteht aus 1 RYPTOSYSTEME 1 ryptosysteme Definition 1.1 Eine ryptosystem (P(A), C(B),, E, D) besteht aus einer Menge P von lartexten (plaintext) über einem lartextalphabet A, einer Menge C von Geheimtexten (ciphertext)

Mehr

Ich bedanke mich bei Florian Böhl, Benny Fuhry, Gunnar Hartung, Jan Holz, Björn Kaidel, Eike Kiltz, Evgheni Kirzner, Jessica Koch, Julia Rohlfing,

Ich bedanke mich bei Florian Böhl, Benny Fuhry, Gunnar Hartung, Jan Holz, Björn Kaidel, Eike Kiltz, Evgheni Kirzner, Jessica Koch, Julia Rohlfing, Digitale Signaturen Tibor Jager tibor.jager@rub.de Horst Görtz Institut für IT-Sicherheit Lehrstuhl für Netz- und Datensicherheit Ruhr-Universität Bochum Letzte Aktualisierung: 6. Oktober 2015 Ich bedanke

Mehr

Mitschrift Vorlesung Einführung in die Kryptographie vom 18. Januar 2011

Mitschrift Vorlesung Einführung in die Kryptographie vom 18. Januar 2011 Mitschrift Vorlesung Einführung in die Kryptographie vom 18. Januar 2011 Dominic Scheurer 6. Februar 2012 Inhaltsverzeichnis 30 Digitale Signaturen (cont'd) - One-Time-Signaturen (OTS) 1 31 Public-Key-Verschlüsselung

Mehr

Workshop Experimente zur Kryptographie

Workshop Experimente zur Kryptographie Fakultät Informatik, Institut Systemarchitektur, Professur Datenschutz und Datensicherheit Workshop Experimente zur Kryptographie Sebastian Clauß Dresden, 23.03.2011 Alltägliche Anwendungen von Kryptographie

Mehr

IT-Sicherheit: Kryptographie. Asymmetrische Kryptographie

IT-Sicherheit: Kryptographie. Asymmetrische Kryptographie IT-Sicherheit: Kryptographie Asymmetrische Kryptographie Fragen zur Übung 5 C oder Java? Ja (gerne auch Python); Tips waren allerdings nur für C Wie ist das mit der nonce? Genau! (Die Erkennung und geeignete

Mehr

Grundlagen der Kryptographie

Grundlagen der Kryptographie Grundlagen der Kryptographie Seminar zur Diskreten Mathematik SS2005 André Latour a.latour@fz-juelich.de 1 Inhalt Kryptographische Begriffe Primzahlen Sätze von Euler und Fermat RSA 2 Was ist Kryptographie?

Mehr

Lösungsblatt zur Vorlesung. Kryptanalyse WS 2009/2010. Blatt 6 / 23. Dezember 2009 / Abgabe bis spätestens 20. Januar 2010, 10 Uhr (vor der Übung)

Lösungsblatt zur Vorlesung. Kryptanalyse WS 2009/2010. Blatt 6 / 23. Dezember 2009 / Abgabe bis spätestens 20. Januar 2010, 10 Uhr (vor der Übung) Ruhr-Universität Bochum Lehrstuhl für Kryptologie und IT-Sicherheit Prof. Dr. Alexander May Mathias Herrmann, Alexander Meurer Lösungsblatt zur Vorlesung Kryptanalyse WS 2009/2010 Blatt 6 / 23. Dezember

Mehr

Reaktive Sicherheit. II. Passwörter. Dr. Michael Meier. technische universität dortmund

Reaktive Sicherheit. II. Passwörter. Dr. Michael Meier. technische universität dortmund Reaktive Sicherheit II. Passwörter Dr. Michael Meier technische universität dortmund Fakultät für Informatik Lehrstuhl VI, Informationssysteme und Sicherheit 20. Oktober 2009 Grundlegendes Grundlegendes

Mehr

Seminar Kryptographie und Datensicherheit

Seminar Kryptographie und Datensicherheit Andere Protokolle für digitale Unterschriften Wintersemester 2006/2007 Gliederung 1 Provably Secure Signature Schemes Lamport Signature Scheme Full Domain Hash 2 Undeniable Signatures 3 Fail-stop Signature

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 02.05.2016 1 / 22 Überblick 1 Hashfunktionen Erinnerung Formalisierung Die Merkle-Damgård-Konstruktion

Mehr

Ein typisches Problem

Ein typisches Problem Kryptographische Hashfunktionen Cyrill Stachniss Basierend auf [Buchmann 08, Daum 05, Lucks & Daum 05, Wang & Yu 05, Sridharan 06, Stevens 07, Sotirov et al. 08, Lucks 07, Gebhard et al. 06, Selinger 06,

Mehr

10.6 Authentizität. Geheimhaltung: nur der Empfänger kann die Nachricht lesen

10.6 Authentizität. Geheimhaltung: nur der Empfänger kann die Nachricht lesen 10.6 Authentizität Zur Erinnerung: Geheimhaltung: nur der Empfänger kann die Nachricht lesen Integrität: Nachricht erreicht den Empfänger so, wie sie abgeschickt wurde Authentizität: es ist sichergestellt,

Mehr

Einführung in die Kryptographie. 20.6.2011, www.privacyfoundation.ch

Einführung in die Kryptographie. 20.6.2011, www.privacyfoundation.ch Einführung in die Kryptographie 20.6.2011, www.privacyfoundation.ch Kryptographie Name kryptós: verborgen, geheim gráphein: schreiben Verschlüsselung Text so umwandeln, dass man ihn nur noch entziffern/lesen

Mehr

Praktikum Diskrete Optimierung (Teil 11) 17.07.2006 1

Praktikum Diskrete Optimierung (Teil 11) 17.07.2006 1 Praktikum Diskrete Optimierung (Teil 11) 17.07.2006 1 1 Primzahltest 1.1 Motivation Primzahlen spielen bei zahlreichen Algorithmen, die Methoden aus der Zahlen-Theorie verwenden, eine zentrale Rolle. Hierzu

Mehr

Computeralgebra in der Lehre am Beispiel Kryptografie

Computeralgebra in der Lehre am Beispiel Kryptografie Kryptografie Grundlagen RSA KASH Computeralgebra in der Lehre am Beispiel Kryptografie Institut für Mathematik Technische Universität Berlin Kryptografie Grundlagen RSA KASH Überblick Kryptografie mit

Mehr

Kryptographie oder Verschlüsselungstechniken

Kryptographie oder Verschlüsselungstechniken Kryptographie oder Verschlüsselungstechniken Dortmund, Dezember 1999 Prof. Dr. Heinz-Michael Winkels, Fachbereich Wirtschaft FH Dortmund Emil-Figge-Str. 44, D44227-Dortmund, TEL.: (0231)755-4966, FAX:

Mehr

Sicherer MAC für Nachrichten beliebiger Länge

Sicherer MAC für Nachrichten beliebiger Länge Sicherer MAC für Nachrichten beliebiger Länge Korollar Sicherer MAC für Nachrichten beliebiger Länge Sei F eine Pseudozufallsfunktion. Dann ist Π MAC2 für Π = Π MAC sicher. Nachteile: Für m ({0, 1} n 4

Mehr

Das wichtigste Kennzeichen asymmetrischer Verschlüsselungsverfahren ist, dass die Kommunikationspartner dabei anstelle eines

Das wichtigste Kennzeichen asymmetrischer Verschlüsselungsverfahren ist, dass die Kommunikationspartner dabei anstelle eines Prof. Dr. Norbert Pohlmann, Malte Hesse Kryptographie: Von der Geheimwissenschaft zur alltäglichen Nutzanwendung (IV) Asymmetrische Verschlüsselungsverfahren In den letzten Ausgaben haben wir zunächst

Mehr

Kurze Einführung in kryptographische Grundlagen.

Kurze Einführung in kryptographische Grundlagen. Kurze Einführung in kryptographische Grundlagen. Was ist eigentlich AES,RSA,DH,ELG,DSA,DSS,ECB,CBC Benjamin.Kellermann@gmx.de GPG-Fingerprint: D19E 04A8 8895 020A 8DF6 0092 3501 1A32 491A 3D9C git clone

Mehr

Digital Rights Management (DRM) Verfahren, die helfen Rechte an virtuellen Waren durchzusetzen. Public-Key-Kryptographie (2 Termine)

Digital Rights Management (DRM) Verfahren, die helfen Rechte an virtuellen Waren durchzusetzen. Public-Key-Kryptographie (2 Termine) Digital Rights Management (DRM) Verfahren, die helfen Rechte an virtuellen Waren durchzusetzen Vorlesung im Sommersemester 2010 an der Technischen Universität Ilmenau von Privatdozent Dr.-Ing. habil. Jürgen

Mehr

Sicherheit von ElGamal

Sicherheit von ElGamal Sicherheit von ElGamal Satz CPA-Sicherheit ElGamal ElGamal Π ist CPA-sicher unter der DDH-Annahme. Beweis: Sei A ein Angreifer auf ElGamal Π mit Erfolgsws ɛ(n) := Ws[PubK cpa A,Π (n) = 1]. Wir konstruieren

Mehr

Nachrichten- Verschlüsselung Mit S/MIME

Nachrichten- Verschlüsselung Mit S/MIME Nachrichten- Verschlüsselung Mit S/MIME Höma, watt is S/MIME?! S/MIME ist eine Methode zum signieren und verschlüsseln von Nachrichten, ähnlich wie das in der Öffentlichkeit vielleicht bekanntere PGP oder

Mehr

Kapitel 4: Flusschiffren

Kapitel 4: Flusschiffren Stefan Lucks 4: Flusschiffren 52 orlesung Kryptographie (SS06) Kapitel 4: Flusschiffren Als Basis-Baustein zur Verschlüsselung von Daten dienen Fluss- und Blockchiffren. Der Unterschied: Flusschiffren

Mehr

Kryptographische Verfahren auf Basis des Diskreten Logarithmus

Kryptographische Verfahren auf Basis des Diskreten Logarithmus Kryptographische Verfahren auf Basis des Diskreten Logarithmus -Vorlesung Public-Key-Kryptographie SS2010- Sascha Grau ITI, TU Ilmenau, Germany Seite 1 / 18 Unser Fahrplan heute 1 Der Diskrete Logarithmus

Mehr

Lösung zur Klausur zu Krypographie Sommersemester 2005

Lösung zur Klausur zu Krypographie Sommersemester 2005 Lösung zur Klausur zu Krypographie Sommersemester 2005 1. Bestimmen Sie die zwei letzten Ziffern der Dezimaldarstellung von 12 34 Es gilt: 12 34 = 12 32+2 = 12 32 12 2 = 12 (25) 12 2 = ((((12 2 ) 2 ) 2

Mehr

Digitale Signaturen. Kapitel 10 p. 178

Digitale Signaturen. Kapitel 10 p. 178 Digitale Signaturen Realisierung der digitalen Signaturen ist eng verwandt mit der Public-Key-Verschlüsselung. Idee: Alice will Dokument m signieren. Sie berechnet mit dem privaten Schlüssel d die digitale

Mehr

Digitale Signaturen Einführung und das Schnorr Signaturschema

Digitale Signaturen Einführung und das Schnorr Signaturschema Digitale Signaturen Einführung und das Schnorr Signaturschema Patrick Könemann paphko@upb.de Proseminar: Public-Key Kryptographie Prof. Dr. rer. nat. J. Blömer Universität Paderborn 27. Januar 2006 Abstract

Mehr

Zur Sicherheit von RSA

Zur Sicherheit von RSA Zur Sicherheit von RSA Sebastian Petersen 19. Dezember 2011 RSA Schlüsselerzeugung Der Empfänger (E) wählt große Primzahlen p und q. E berechnet N := pq und ϕ := (p 1)(q 1). E wählt e teilerfremd zu ϕ.

Mehr

Geeignete Kryptoalgorithmen

Geeignete Kryptoalgorithmen Veröffentlicht im Bundesanzeiger Nr. 158 Seite 18 562 vom 24. August 2001 Geeignete Kryptoalgorithmen In Erfüllung der Anforderungen nach 17 (1) SigG vom 16. Mai 2001 in Verbindung mit 17 (2) SigV vom

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 10.06.2013 1 / 26 Überblick 1 Schlüsselaustauschprotokolle Transport Layer Security (TLS) Weitere Schlüsselaustauschtypen Zusammenfassung 2 Identifikationsprotokolle

Mehr

Inhalt. Seminar: Codes und Kryptographie 1 1.6.2004

Inhalt. Seminar: Codes und Kryptographie 1 1.6.2004 Inhalt Grundgedanken und bereits bestehende Verfahren Anforderungen an Elektronischen Geld und grundlegende Protokolle Blinde Signaturen und Probleme die daraus erwachsen On-line Cash Off-line Cash Random

Mehr

Seminar Kryptographie

Seminar Kryptographie Seminar Kryptographie Elliptische Kurven in der Kryptographie Prusoth Vijayakumar Sommersemester 2011 Inhaltsverzeichnis 1 Motivation 3 2 Verfahren 5 2.1 Diffie-Hellman-Schlüsselaustausch.......................

Mehr

Verschlüsselungsverfahren

Verschlüsselungsverfahren Verschlüsselungsverfahren Herrn Breder hat es nach dem Studium nach München verschlagen. Seine Studienkollegin Frau Ahrend wohnt in Heidelberg. Da beide beruflich sehr stark einspannt sind, gibt es keine

Mehr

Methoden der Kryptographie

Methoden der Kryptographie Methoden der Kryptographie!!Geheime Schlüssel sind die sgrundlage Folien und Inhalte aus II - Der Algorithmus ist bekannt 6. Die - Computer Networking: A Top außer bei security by obscurity Down Approach

Mehr

Kryptographie praktisch erlebt

Kryptographie praktisch erlebt Kryptographie praktisch erlebt Dr. G. Weck INFODAS GmbH Köln Inhalt Klassische Kryptographie Symmetrische Verschlüsselung Asymmetrische Verschlüsselung Digitale Signaturen Erzeugung gemeinsamer Schlüssel

Mehr

Stefan Lucks Krypto und Mediensicherheit (2009) 4: Stromchiffren

Stefan Lucks Krypto und Mediensicherheit (2009) 4: Stromchiffren 4: Stromchiffren Zwei Grundbausteine der symmetrischen Kryptographie: Stromchiffren Verschlüsseln beliebig langer Klartexte, interner Zustand Blockchiffren Verschlüsseln von Blocks einer festen Größe,

Mehr

Grundlegende Protokolle

Grundlegende Protokolle Grundlegende Protokolle k.lindstrot@fz-juelich.de Grundlegende Protokolle S.1/60 Inhaltsverzeichnis Einleitung Passwortverfahren Wechselcodeverfahren Challange-and-Response Diffie-Hellman-Schlüsselvereinbarung

Mehr

PKI-Outsourcing: Vertrauen ist gut, Kryptografie ist besser

PKI-Outsourcing: Vertrauen ist gut, Kryptografie ist besser PKI-Outsourcing: Vertrauen ist gut, Kryptografie ist besser Theoretische Informatik Prof. Johannes Buchmann Technische Universität Darmstadt Graduiertenkolleg Enabling Technologies for Electronic Commerce

Mehr

Urbild Angriff auf Inkrementelle Hashfunktionen

Urbild Angriff auf Inkrementelle Hashfunktionen Urbild Angriff auf Inkrementelle Hashfunktionen AdHash Konstruktion: (Bellare, Micciancio 1997) Hashe Nachricht x = (x 1,..., x k ) als H(x) = k i=1 h(i, x i) mod M. Inkrementell: Block x i kann leicht

Mehr

Wiederholung Symmetrische Verschlüsselung klassische Verfahren: Substitutionschiffren Transpositionschiffren Vigenère-Chiffre One-Time-Pad moderne

Wiederholung Symmetrische Verschlüsselung klassische Verfahren: Substitutionschiffren Transpositionschiffren Vigenère-Chiffre One-Time-Pad moderne Wiederholung Symmetrische Verschlüsselung klassische Verfahren: Substitutionschiffren Transpositionschiffren Vigenère-Chiffre One-Time-Pad moderne Verfahren: DES (Feistel-Chiffre) mehrfache Wiederholung

Mehr

Public-Key-Kryptosystem

Public-Key-Kryptosystem Public-Key-Kryptosystem Zolbayasakh Tsoggerel 29. Dezember 2008 Inhaltsverzeichnis 1 Wiederholung einiger Begriffe 2 2 Einführung 2 3 Public-Key-Verfahren 3 4 Unterschiede zwischen symmetrischen und asymmetrischen

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 20.04.2014 1 / 28 Überblick 1 Blockchiffren Erinnerung Angriffe auf Blockchiffren 2 Formalisierung

Mehr

Mathematik und Logik

Mathematik und Logik Mathematik und Logik 6. Übungsaufgaben 2006-01-24, Lösung 1. Berechnen Sie für das Konto 204938716 bei der Bank mit der Bankleitzahl 54000 den IBAN. Das Verfahren ist z.b. auf http:// de.wikipedia.org/wiki/international_bank_account_number

Mehr

und Digitale Signatur

und Digitale Signatur E-Mail Sicherheit und Digitale Signatur 13/11/04 / Seite 1 Inhaltsverzeichnis Vorstellung Motivation und Lösungsansätze Sicherheitsdemonstration Asymetrische Verschlüsselung Verschlüsselung in der Praxis

Mehr

Was können Schüler anhand von Primzahltests über Mathematik lernen?

Was können Schüler anhand von Primzahltests über Mathematik lernen? Was können Schüler anhand von Primzahltests über Mathematik lernen? Innermathematisches Vernetzen von Zahlentheorie und Wahrscheinlichkeitsrechnung Katharina Klembalski Humboldt-Universität Berlin 20.

Mehr

Programmiertechnik II

Programmiertechnik II X.509: Eine Einführung X.509 ITU-T-Standard: Information Technology Open Systems Interconnection The Directory: Public Key and attribute certificate frameworks Teil des OSI Directory Service (X.500) parallel

Mehr

SSL-Protokoll und Internet-Sicherheit

SSL-Protokoll und Internet-Sicherheit SSL-Protokoll und Internet-Sicherheit Christina Bräutigam Universität Dortmund 5. Dezember 2005 Übersicht 1 Einleitung 2 Allgemeines zu SSL 3 Einbindung in TCP/IP 4 SSL 3.0-Sicherheitsschicht über TCP

Mehr

Einleitung Shor s Algorithmus Anhang. Thomas Neder. 19. Mai 2009

Einleitung Shor s Algorithmus Anhang. Thomas Neder. 19. Mai 2009 19. Mai 2009 Einleitung Problemstellung Beispiel: RSA Teiler von Zahlen und Periode von Funktionen Klassischer Teil Quantenmechanischer Teil Quantenfouriertransformation Algorithmus zur Suche nach Perioden

Mehr

Grundlagen der Verschlüsselung und Authentifizierung (2)

Grundlagen der Verschlüsselung und Authentifizierung (2) Grundlagen der Verschlüsselung und Authentifizierung (2) Benjamin Klink Friedrich-Alexander Universität Erlangen-Nürnberg Benjamin.Klink@informatik.stud.uni-erlangen.de Proseminar Konzepte von Betriebssystem-Komponenten

Mehr

Krypto-Begriffe U23 Krypto-Mission

Krypto-Begriffe U23 Krypto-Mission Krypto-Begriffe -Mission florob Simon e.v. http://koeln.ccc.de 4. Oktober 2015 Was ist Kryptographie? Griechisch: κρυπτος (verborgen) + γραϕειν (schreiben) Mittel und Wege: Verschlüsseln einer Nachricht

Mehr

Ein RSA verwandtes, randomisiertes Public Key Kryptosystem

Ein RSA verwandtes, randomisiertes Public Key Kryptosystem Seminar Codes und Kryptographie WS 2003 Ein RSA verwandtes, randomisiertes Public Key Kryptosystem Kai Gehrs Übersicht 1. Motivation 2. Das Public Key Kryptosystem 2.1 p-sylow Untergruppen und eine spezielle

Mehr

Kryptographie: Verteidigung gegen die dunklen Künste in der digitalen Welt

Kryptographie: Verteidigung gegen die dunklen Künste in der digitalen Welt Kryptographie: Verteidigung gegen die dunklen Künste in der digitalen Welt Prof. Dr. Rüdiger Weis Beuth Hochschule für Technik Berlin Tag der Mathematik 2015 Flächendeckendes Abhören Regierungen scheitern

Mehr

Elektronische Signaturen

Elektronische Signaturen Elektronische Signaturen Oliver Gasser 3. Juni 2009 1 Motivation Vorweg: Die Begriffe elektronische Signaturen und digitale Signaturen werden meist synonym verwendet. Das ist aber nicht ganz korrekt, da

Mehr