Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Klausur
|
|
- Günter Grosse
- vor 7 Jahren
- Abrufe
Transkript
1 Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz IKS Institut für Kryptographie und Sicherheit Stammvorlesung Sicherheit im Sommersemester 2013 Klausur Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen Ihnen 60 Minuten zur Verfügung. - Zum Bestehen der Klausur sind 20 der 60 möglichen Punkte hinreichend. - Es sind keine Hilfsmittel zugelassen. - Schreiben Sie Ihre Lösungen auf die Aufgabenblätter sowie auf deren Rückseiten. - Zusätzliches Papier erhalten Sie bei Bedarf von der Aufsicht. Aufgabe mögliche Punkte erreichte Punkte a b c d Σ a b c d Σ x1 10 Σ 60
2 Aufgabe 1. (2+2+3 Punkte) Betrachten Sie das einfache ElGamal-Verschlüsselungsverfahren (ohne Hashfunktion) aus der Vorlesung. Es sei die zyklische (Unter-)Gruppe G Z 23 und ein G-Erzeuger g = 3 mit Ordnung 11 gegeben. (a) Berechnen Sie zu dem geheimen Schlüssel sk = (G, g = 3, x = 12) den öffentlichen Schlüssel pk := (G, g, h = g x mod 23). (b) Sei C = (2, 1) ein Chiffrat. Verwenden Sie den geheimen Schlüssel aus (a), um den Klartext M G zu berechnen. (c) Bei einer Implementierung der ElGamal-Verschlüsselungsfunktion wird ein schlechter Zufallszahlengenerator verwendet, der nur 2 16 öffentlich bekannte, verschiedene Werte ausgibt. Beschreiben Sie den stärksten Angriff, der einem polynomiell beschränkten Angreifer dadurch erlaubt wird. Lösungsvorschlag zu Aufgabe 1. (a) Wir berechnen h := g x mod 23 = 3 12 mod 23 (1) = mod 23 = mod 23 = 4 18 mod 23 = 3 und setzen pk := (G, g, h) = (G, 3, 3). (Kürzer: h := 3 12 mod 11 mod 23 = 3.) (b) Für C =: (Y, Z) berechnen wir M := Z/Y x mod 23 = 1 (2 12 mod 22 ) mod 23 = 2 10 mod 23 = mod 23 = 81 mod 23 = 12. Alternativ kann auch der erweiterte euklidische Algorithmus EE benutzt werden, um 2 1 mod 23 zu berechnen. (Es gilt = 1; somit 2 1 mod 23 = 12.) Dieses führt zu M := Z/Y x mod 23 = 1 (2 1 ) 12 mod 23 = mod 23 = mod 23 (1) = mod 22 mod 23 = 12. (Kürzer: M := Z/Y x mod 23 = 1 (2 1 ) 12 mod 11 mod 23 = 2 1 mod 23 EE = 12, da g G und somit Y G, für gültiges Chiffrat C = (2, 1) =: (Y, Z).) (c) Der Angreifer erstellt eine Liste der 2 16 = Paare (y, g y ) für alle Werte y, die der Zufallszahlengenerator ausgeben kann. Für ein Chiffrat C =: (Y, Z) sucht er in der Liste das Paar mit g y = Y. Er kennt nun den zum Chiffrieren verwendeten Zufall y und berechnet mit Hilfe des öffentlichen Schlüssels M := (g x ) y Z. Beliebige Chiffrate lassen sich also effizient entschlüsseln. 1
3 Aufgabe 2. ( Punkte) (a) Geben Sie das EUF-CMA-Sicherheitsspiel für digitale Signaturschemata aus der Vorlesung an. Wann ist ein digitales Signaturschema EUF-CMA-sicher? Betrachten Sie das einfache RSA-Signaturschema (ohne Paddingfunktion) aus der Vorlesung. Gegeben seien N = P Q mit P, Q N ungerade, verschieden und prim. (b) Wie werden der öffentliche Schlüssel zum Verifizieren und der geheime Schlüssel zum Signieren gebildet? Welcher Zusammenhang besteht zwischen ihnen? (c) Wie wird eine Signatur σ zu einer Nachricht M erzeugt; wie wird diese Signatur verifiziert? (d) Geben Sie einen effizienten EUF-CMA-Angreifer A auf das einfache RSA-Signaturschema an, der eine gültige Signatur σ zu einer Nachricht M ausgibt. Verwenden Sie dabei nicht die Signaturen σ { 1, 0, 1}. (Hinweis: Unsinnige Nachrichten sind erlaubt.) Lösungsvorschlag zu Aufgabe 2. (a) Ein Signaturschema SIG = (Gen, Sig, Ver) ist genau dann EUF-CMA-sicher, wenn kein PPT- Angreifer A das folgende Spiel nicht-vernachlässigbar oft gewinnt (für (pk, sk) Gen(1 k )): (1) A erhält Zugriff auf Sig(sk, )-Orakel. (2) A gibt Ausgabe (M, σ ). (3) A gewinnt, wenn Ver(pk, M, σ ) = 1 und M frisch. (Für M wurde keine Signatur angefragt.) (b) Wähle solange einen Wert e {3,..., ϕ(n)} zufällig und gleichverteilt bis gcd(e, ϕ(n)) = 1 gilt. Berechne d := e 1 mod ϕ(n) mit erweitertem euklidischem Algorithmus. Setze den öffentlichen Schlüssel pk := (N, e) und den geheimen Schlüssel sk := (N, d). (Dabei sei gcd der Größtergemeinsamer-Teiler-Algorithmus und ϕ die eulersche Phi-Funktion.) (c) Der Wert σ := M d mod N ist eine Signatur für die Nachricht M. Falls σ e mod N = M gilt, ist σ eine gültige Signatur für die Nachricht M; anderenfalls nicht. (d) Wir geben einen effizienten Angreifer A auf das einfache RSA-Signaturschema an: (1) A wählt beliebiges σ Z N \ { 1, 0, 1}. (2) A setzt M := σ e mod N. (3) A gibt Ausgabe (M, σ). Damit ist σ eine gültige Signatur für die (möglicherweise unsinnige) Nachricht M. 2
4 Aufgabe 3. (4+5+4 Punkte) (a) Beschreiben Sie den Meet-in-the-Middle-Angriff auf 2DES und geben Sie den Zeitaufwand und den benötigten Speicherplatz des Angriffs an. Zur Erinnerung: E 2DES (K, M) := E DES (K 2, E DES (K 1, M)), wobei K := (K 1, K 2 ) ({0, 1} 56 ) 2 (b) Erläutern Sie für die folgenden Blockchiffre-Modi, die teilweise schon aus der Vorlesung bekannt sind, welche Auswirkung ein gekipptes Bit im Block C i, i n, bei der Übertragung von C = C 1 C 2... C n auf die Entschlüsselung von C i und C i+1 hat. (i) CFB: C 0 := IV und C i := E(K, C i 1 ) M i (ii) OFB: D 0 := IV und C i := E(K, D i 1 ) M i, wobei D i := E(K, D i 1 ) (iii) CTR (Counter-Mode): R i := E(K, IV + i), C i := R i M i (c) Wir betrachten die folgendermaßen definierte Blockchiffre mit einem k-bit-schlüssel und k-bit- Blocklänge: E : {0, 1} k {0, 1} k {0, 1} k E(K, X) := K perm(x) wobei perm(x) eine öffentlich bekannte Permutation auf k-bit-blöcken ist. Diese Blockchiffre ist nicht zu empfehlen. In welchem Modus (CFB, OFB, CTR) gibt es ein offensichtliches Problem, falls ein Angreifer einen Chiffrat- und zugehörigen Klartextblock C i und M i kennt, wobei i 1? Sie können dabei annehmen, dass das komplette Chiffrat dem Angreifer bekannt ist. Geben Sie diesen Modus an und begründen Sie dafür Ihre Antwort. Lösungsvorschlag zu Aufgabe 3. (a) Gegeben M und C = E 2DES (K, M), gesucht K = (K 1, K 2 ). Wir verfahren beim Meet-in-the- Middle-Angriff wie folgt: 1. Berechne Liste aller C K 1 := E DES (K 1, M). 2. Sortiere Liste lexikographisch, um binäre Suche zu ermöglichen. 3. Berechne nacheinander C K 2 := D DES (K 2, C). 4. Wenn C K 1 = C K 2, gib (K 1, K 2) aus. Bei mehreren Kandidaten (K 1, K 2), starte erneute Suche. Zeitaufwand: O( ), benötigter Speicherplatz: ε bit. (b) (i) CFB: M i = C i E(K, C i 1 ). Bei der Entschlüsselung von C i entsteht durch das gekippte Bit ein gekipptes Bit bei M i an entsprechender Stelle. Fehlerfortpflanzung: Um M i+1 zu berechnen benötigen wir E(K, C i ), welches durch ein gekipptes Bit in C i zu einer Ausgabe führt, die sich in mehreren Bits von der korrekten Ausgabe unterscheiden kann. Somit ist der ganze Block M i+1 zerstört. (ii) OFB: M i = C i E(K, D i 1 ). Bei der Entschlüsselung von C i entsteht durch das gekippte Bit ein gekipptes Bit bei M i an entsprechender Stelle. Keine Fehlerfortpflanzung: Die Blockchiffre ist nicht vom vorigen Chiffratblock abhängig, sondern nur von IV und K und entschlüsselt M i+1 somit korrekt. (iii) CTR: M i = C i E(K, IV + i). Bei der Entschlüsselung von C i entsteht durch das gekippte Bit ein gekipptes Bit bei M i an entsprechender Stelle. Keine Fehlerfortpflanzung: Die Blockchiffre ist nicht vom vorigen Chiffratblock abhängig, sondern wie bei OFB nur von IV und K. (c) CFB: Mit Kenntnis von C i und M i kann man C i M i = E(K, C i 1 ) berechnen. Mit Kenntnis von C i 1 kann man perm(c i 1 ) berechnen. Damit gilt nun E(K, C i 1 ) perm(c i 1 ) = K und man erhält somit den geheimen Schlüssel K. 3
5 CTR: Mit Kenntnis von C i und M i kann man C i M i = R i berechnen. Mit Kenntnis von IV und der Stelle i, die bekannt ist, da der Angreifer das komplette Chiffrat kennt, kann man perm(iv +i) berechnen. Damit gilt nun R i perm(iv + i) = K und man erhält somit den geheimen Schlüssel K. Nicht verlangt: Mit den gleichen Überlegungen wie oben erhalten wir im OFB-Modus nicht den geheimen Schlüssel K, da hier die Blockchiffre nicht vom vorigen Chiffratblock abhängig ist, sondern nur von IV und K. 4
6 Aufgabe 4. (3+3+4 Punkte) (a) Es sei H : {0, 1} {0, 1} k eine kollisionsresistente Hashfunktion und f : {0, 1} {0, 1} eine effizient berechenbare Funktion. Wird H (x) := H(f(x)) immer eine kollisionsresistente Hashfunktion sein, wenn (i) f injektiv ist? (ii) f surjektiv ist? Falls ja, brauchen Sie Ihre Antwort nicht begründen. Falls nein, geben Sie eine konkrete injektive bzw. surjektive Funktion f an und beschreiben Sie, wie sich effizient eine Kollision für H (mit von Ihnen gewähltem f) finden lässt. (b) Es sei G eine Gruppe, in der Logarithmen nicht effizient gezogen werden können. G habe öffentlich bekannte Ordnung p für eine große Primzahl p und g sei ein Erzeuger von G. Ist die Funktion H : {0, 1} G, H(x) := g x eine kollisionsresistente Hashfunktion? Hierbei wird der Bitstring x als natürliche Zahl interpretiert und die Gruppe G als Untermenge von {0, 1} k codiert. Falls ja, skizzieren Sie unter der Annahme, dass Logarithmen in G nicht effizient gezogen werden können, warum H kollisionsresistent ist. Falls nein, geben Sie an, wie sich effizient Kollisionen finden lassen. (c) Jemand schlägt vor, Sig(K, M) := H(K, M) als MAC zu verwenden, wobei der Schlüssel K gleichverteilt aus {0, 1} k gezogen wird und die Nachrichtenraum {0, 1} ist. Ver(K, M, σ) gibt 1 aus, falls H(K, M) = σ und 0 anderenfalls. Warum ist dies kein sicherer MAC für die in der Praxis eingesetzten Hashfunktionen MD5, SHA-1 und SHA-2? Geben Sie an, wie der Angreifer effizient eine Signatur fälschen kann (im Sinne des EUF-CMA-Experiments). Lösungsvorschlag zu Aufgabe 4. (a) (i) Ja, H ist kollisionsresistent, wenn f injektiv ist. (ii) Nein, H ist nicht notwendig kollisionsresistent, wenn f surjektiv ist. Beispielsweise sei f die Funktion, die das erste Bit ihrer Eingabe abschneidet. Für jeden Bitstring x ist dann H (0, x) = H (1, x). (b) Nein, H ist keine kollisionsresistente Hashfunktion. Wir finden effizient Kollisionen, da beispielsweise für jeden Bitstring x gilt, dass H(x) = H(x + k p) für jedes k N (wobei die natürliche Zahl k p als Bitstring interpretiert und dann binär zu x addiert wird); man beachte, dass g p = 1. (c) Der vorgeschlagene MAC ist nicht sicher, da alle genannten Funktionen nach dem Merkle-Damgård- Verfahren konstruiert sind. Sei H eine der Hashfunktionen und bezeichne f die Kompressionsfunktion. Dann berechnet sich (mit festem Initialisierungsvektor IV ) H(M) für eine Nachricht M = M 0,..., M n, deren Länge ein Vielfaches der Blocklänge von f ist, wie folgt: M 0... M n IV f... f H(M) Im EUF-CMA-Experiment lässt sich der Angreifer den MAC σ einer Nachricht M, für die die Länge von K, M ein Vielfaches der Blocklänge von f ist, berechnen. Für eine weitere Nachricht M, deren Länge die Blocklänge von f ist, berechnet der Angreifer f(σ, M ) = σ. Es gilt H(K, M, M ) = σ. Der Angreifer hat also mit σ eine gültige Signatur der frischen Nachricht M, M gefunden. 5
7 Aufgabe 5. (10 Punkte) Im Bell-LaPadula-Modell aus der Vorlesung seien - die Subjektmenge S = {s 1, s 2, s 3 }, - die Objektmenge O = {o 1, o 2, o 3, o 4 }, - die Menge der Zugriffsoperationen A = {read, write, append, execute} und - die Menge der Sicherheitslevel L = {topsecret, secret, unclassified} mit der L-Halbordnung topsecret secret unclassified gegeben. Die Zugriffskontrollmatrix M = (M s,o ) s S,o O ist durch die Tabelle o 1 o 2 o 3 o 4 s 1 {read, write, append} {read} A A s 2 {read, write} {read, write} A {read, write} s 3 {execute} {append} {read, write} definiert und die Zuordung der maximalen und aktuellen Sicherheitslevel F = (f s, f c, f o ) ist wie folgt beschrieben: f s ( ) f c ( ) s 1 topsecret unclassified s 2 secret unclassified s 3 unclassified unclassified o 1 o 2 o 3 o 4 f o ( ) topsecret secret secret unclassified Betrachten Sie die folgende Abfolge von Anfragen b S O A in Reihenfolge: 1. (s 3, o 4, write) 6. (s 1, o 4, append) 2. (s 1, o 4, read) 7. (s 3, o 3, execute) 3. (s 3, o 1, read) 8. (s 2, o 1, read) 4. (s 2, o 2, read) 9. (s 3, o 4, write) 5. (s 2, o 4, write) 10. (s 1, o 1, write) Beschreiben Sie, ob die einzelnen Anfragen gewährt werden und ob der aktuelle Sicherheitslevel geändert wird. Falls die Anfrage nicht gewährt wurde, zeigen Sie auf, welche Eigenschaft(en) im Sinne der ds-, ss- oder -Eigenschaft verletzt wurde(n). Begründen Sie Ihre Entscheidung. Sie können die unten stehende Tabelle für Ihre Lösung verwenden. Anfrage ds ss Bemerkungen 1. (s 3, o 4, write) 2. (s 1, o 4, read) 3. (s 3, o 1, read) 4. (s 2, o 2, read) 5. (s 2, o 4, write) 6. (s 1, o 4, append) 7. (s 3, o 3, execute) 8. (s 2, o 1, read) 9. (s 3, o 4, write) 10. (s 1, o 1, write) 6
8 Lösungsvorschlag zu Aufgabe 5. Gewährt werden die einzelnen Anfragen b S O A, wenn die ds-, ss- und die -Eigenschaft erfüllt sind und damit die Systemsicherheit erhalten bleibt. Anfrage ds ss Bemerkungen 1. (s 3, o 4, write) 2. (s 1, o 4, read) (f c (s 1 ) = unclassified unverändert) 3. (s 3, o 1, read) read / M s3,o 1 und f s (s 3 ) < f o (o 1 ) 4. (s 2, o 2, read) f c (s 2 ) = secret 5. (s 2, o 4, write) f c (s 2 ) > f o (o 4 ) 6. (s 1, o 4, append) 7. (s 3, o 3, execute) execute / M s3,o 3 8. (s 2, o 1, read) f s (s 2 ) < f o (o 1 ) 9. (s 3, o 4, write) 10. (s 1, o 1, write) 7
9 Aufgabe 6. (10 Punkte) Bei dieser Multiple-Choice-Aufgabe gibt jede richtige Antwort 1 Punkt; für jede falsche Antwort wird 1 Punkt abgezogen, die Gesamtpunktzahl der Aufgabe kann jedoch nicht negativ werden. Für nicht beantwortete Fragen (kein Kreuz) werden keine Punkte abgezogen. wahr falsch Im One-Time-Pad-Verfahren ist, gegeben das Chiffrat C, jede Nachricht M möglich und gleich wahrscheinlich. Die DES-Rundenfunktion F muss bei der Entschlüsselung invertiert werden. Ein asymmetrisches Verschlüsselungsverfahren ist genau dann semantisch sicher, wenn es IND-CPA-sicher ist. Eine Funktion f : N R ist vernachlässigbar, wenn f schneller als der Kehrwert jedes beliebigen Polynoms verschwindet. Die Identitätsfunktion H : {0, 1} k {0, 1} k ist kollisionsresistent. Für N = P Q, mit P, Q N prim und P Q, gilt ϕ(n) = 2(P 1)(Q 1). (Dabei sei ϕ die eulersche Phi-Funktion.) Wird TLS mit eingeschalteter Kompression benutzt, kann der CRIME-Angriff möglich sein. EUF-CMA-sichere Signaturverfahren sind hinreichend für sichere Public-Key-Identifikationsprotokolle. Das Ziel im Chinese-Wall-Modell ist die konfliktfreie Zuordnung von Objekten zu Firmen. Ein Buffer-Overflow erlaubt es einem Angreifer potentiell, eigenen Code einzuschleusen und zur Ausführung zu bringen. Lösungsvorschlag zu Aufgabe 6. wahr falsch Im One-Time-Pad-Verfahren ist, gegeben das Chiffrat C, jede Nachricht M möglich und gleich wahrscheinlich. 1 Die DES-Rundenfunktion F muss bei der Entschlüsselung invertiert werden. Ein asymmetrisches Verschlüsselungsverfahren ist genau dann semantisch sicher, wenn es IND-CPA-sicher ist. Eine Funktion f : N R ist vernachlässigbar, wenn f schneller als der Kehrwert jedes beliebigen Polynoms verschwindet. Die Identitätsfunktion H : {0, 1} k {0, 1} k ist kollisionsresistent. Für N = P Q, mit P, Q N prim und P Q, gilt ϕ(n) = 2(P 1)(Q 1). (Dabei sei ϕ die eulersche Phi-Funktion.) Wird TLS mit eingeschalteter Kompression benutzt, kann der CRIME-Angriff möglich sein. EUF-CMA-sichere Signaturverfahren sind hinreichend für sichere Public-Key-Identifikationsprotokolle. Das Ziel im Chinese-Wall-Modell ist die konfliktfreie Zuordnung von Objekten zu Firmen. Ein Buffer-Overflow erlaubt es einem Angreifer potentiell, eigenen Code einzuschleusen und zur Ausführung zu bringen. 1 Die Aussage ist unpräzise, da die Nachrichtenlänge von M nicht spezifiziert ist; somit wahr und falsch gültig. 8
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Klausur Hinweise
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Klausur 21.07.2015 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen
MehrInstitut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Nachklausur Hinweise
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2016 Nachklausur 12.10.2016 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung
MehrInstitut für Theoretische Informatik Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Klausur. Lösung
Institut für Theoretische Informatik Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2017 Klausur Lösung 02.08.2017 Vorname: Nachname: Matrikelnummer: Klausur-ID: Hinweise - Schreiben
MehrInstitut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Klausur Hinweise
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Klausur 22.07.2014 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen
MehrInstitut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Nachklausur Hinweise
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Nachklausur 29.09.2014 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung
MehrInstitut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Nachklausur
Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz IKS Institut für Kryptographie und Sicherheit Stammvorlesung Sicherheit im Sommersemester 2013 Nachklausur 07.10.2013 Vorname: Nachname:
MehrInstitut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Nachklausur. Lösung Hinweise
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2016 Nachklausur Lösung 12.10.2016 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung
MehrInstitut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Klausur Hinweise
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Klausur 22.07.2014 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen
MehrVorlesung Sicherheit
Vorlesung Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 23.05.2016 1 / 32 Überblick 1 Symmetrische Authentifikation von Nachrichten Ziel Konstruktionen MACs
MehrMusterlösung der Hauptklausur zur Vorlesung Sicherheit Sommersemester 2012
Institut für Kryptographie und Sicherheit Prof. Dr. Jörn Müller-Quade Musterlösung der Hauptklausur zur Vorlesung Sicherheit Sommersemester 2012 Vorname Nachname Matrikelnummer Ergebniscode Hinweise Für
MehrInstitut für Theoretische Informatik Prof. Dr. Dennis Hofheinz Übungsleiter: Thomas Agrikola. Stammvorlesung Sicherheit im Sommersemester 2017
Institut für Theoretische Informatik Prof. Dr. Dennis Hofheinz Übungsleiter: Thomas Agrikola Stammvorlesung Sicherheit im Sommersemester 2017 Übungsblatt 4 Aufgabe 1. Wir instanziieren das ElGamal-Verschlüsselungsverfahren
MehrNachklausur zur Vorlesung Sicherheit Sommersemester 2012
Institut für Kryptographie und Sicherheit Prof. Dr. Jörn Müller-Quade Nachklausur zur Vorlesung Sicherheit Sommersemester 2012 Vorname Nachname Matrikelnummer Ergebniscode Hinweise Für die Bearbeitung
MehrInstitut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Nachklausur. Lösungsvorschlag Hinweise
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Nachklausur Lösungsvorschlag 29.09.2015 Vorname: Nachname: Matrikelnummer: Hinweise - Für
MehrÜbungsblatt 3. Stammvorlesung Sicherheit im Sommersemester Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Übungsblatt 3 Aufgabe 1. Beurteilen Sie für die folgenden Konstruktionen jeweils, ob es sich
MehrMusterlösung der Nachklausur zur Vorlesung Sicherheit Sommersemester 2012
Institut für Kryptographie und Sicherheit Prof. Dr. Jörn Müller-Quade Musterlösung der Nachklausur zur Vorlesung Sicherheit Sommersemester 2012 Vorname Nachname Matrikelnummer Ergebniscode Hinweise Für
MehrInstitut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Übungsblatt 3
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Übungsblatt 3 Hinweis: Übungsblätter können freiwillig bei Florian Böhl, Raum 255, Geb.
MehrInstitut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Übungsblatt 5. pk = (g, y) und sk = (g, x). ? = y H(t m) t. g s
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Übungsblatt 5 Hinweis: Übungsblätter können freiwillig bei Jessica Koch, Raum 256, Geb.
MehrVorlesung Sicherheit
Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 18.05.2015 1 / 30 Überblick 1 Asymmetrische Authentifikation von Nachrichten Erinnerung
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 12.05.2014 1 / 26 Überblick 1 Hashfunktionen Erinnerung Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel:
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 15.05.2017 1 / 25 Überblick 1 Hashfunktionen Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel: RSA
MehrKryptologie. K l a u s u r WS 2006/2007, Prof. Dr. Harald Baier
Kryptologie K l a u s u r WS 2006/2007, 2007-02-01 Prof. Dr. Harald Baier Name, Vorname: Matrikelnummer: Hinweise: (a) Als Hilfsmittel ist nur der Taschenrechner TI-30 zugelassen. Weitere Hilfsmittel sind
MehrLösung zur Klausur zu Krypographie Sommersemester 2005
Lösung zur Klausur zu Krypographie Sommersemester 2005 1. Bestimmen Sie die zwei letzten Ziffern der Dezimaldarstellung von 12 34 Es gilt: 12 34 = 12 32+2 = 12 32 12 2 = 12 (25) 12 2 = ((((12 2 ) 2 ) 2
MehrVorlesung Sicherheit
Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 20.04.2014 1 / 28 Überblick 1 Blockchiffren Erinnerung Angriffe auf Blockchiffren 2 Formalisierung
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 13.05.2013 1 / 16 Überblick 1 Asymmetrische Verschlüsselung Erinnerung Andere Verfahren Demonstration Zusammenfassung 2 Symmetrische Authentifikation von Nachrichten
MehrVII. Hashfunktionen und Authentifizierungscodes
VII. Hashfunktionen und Authentifizierungscodes Bob Eve Eve möchte - lauschen - ändern - personifizieren Alice 1 Aufgaben - Vertraulichkeit Lauschen - Authentizität Tauschen des Datenursprungs - Integrität
MehrDigitale Signaturen. GHR-und Chamäleon-Signaturen Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen GHR-und Chamäleon-Signaturen Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen KIT
MehrSocrative-Fragen aus der Übung vom
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Übungsleiter: Björn Kaidel, Alexander Koch Stammvorlesung Sicherheit im Sommersemester 2016 Socrative-Fragen aus der Übung vom 28.04.2016
MehrÜbung zur Vorlesung. Sicherheit Übungsblatt 5 Björn Kaidel
Übung zur Vorlesung Sicherheit 30.06.2016 Übungsblatt 5 Björn Kaidel bjoern.kaidel@kit.edu https://b.socrative.com/login/student/ Room: SICHERHEIT Bitte gleich einloggen! 1 / 55 Evaluation (siehe Evaluations-PDF)
MehrDigitale Signaturen. RSA-FDH & das Random Oracle Model Jiaxin Pan (Slides from Björn Kaidel and Gunnar Hartung)
Digitale Signaturen RSA-FDH & das Random Oracle Model Jiaxin Pan (Slides from Björn Kaidel and Gunnar Hartung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2018-10-26 B. Kaidel Digitale
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 08.05.2017 1 / 32 Überblick 1 Blockchiffren Erinnerung Varianten von DES Beispiel: AES Angriffe auf Blockchiffren 2 Formalisierung von Sicherheit (symmetrischer
MehrÜbung zur Vorlesung Sicherheit Übungsblatt 3. Björn Kaidel 1 / 52
Übung zur Vorlesung Sicherheit 21.05.2014 Übungsblatt 3 Björn Kaidel bjoern.kaidel@kit.edu 1 / 52 Kummerkasten Bitte helleren Laserpointer verwenden. Sind die Skriptlinks vertauscht? Nein! Wegen allgemeiner
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 06.05.2013 1 / 25 Überblick 1 Hashfunktionen Erinnerung Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel:
MehrDigitale Signaturen. RSA-FDH & das Random Oracle Model Björn Kaidel (mit Folien von Gunnar Hartung)
Digitale Signaturen RSA-FDH & das Random Oracle Model Björn Kaidel (mit Folien von Gunnar Hartung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-12-01 B. Kaidel Digitale Signaturen:
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 29.04.2013 1 / 22 Überblick 1 Zusammenfassung und Korrektur Zusammenfassung Korrektur Definition semantische Sicherheit 2 Hashfunktionen Motivation Formalisierung
MehrHashfunktionen und MACs
3. Mai 2006 Message Authentication Code MAC: Message Authentication Code Was ist ein MAC? Der CBC-MAC Der XOR-MAC Kryptographische Hashfunktionen Iterierte Hashfunktionen Message Authentication Code Nachrichten
MehrHomomorphe Verschlüsselung
Homomorphe Verschlüsselung Definition Homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : G G für Gruppen G, G. Π heißt homomorph, falls Enc(m 1 ) G Enc(m 2 ) eine gültige Verschlüsselung
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Digitale Signaturen Prof. Jörn Müller-Quade mit Folien von G. Hartung und B. Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2018-01-25 J.
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 17.04.2014 1 / 26 Logistisches Überschneidungsfreiheit Vorlesung: nachfragen Übungsblatt nicht vergessen Frage: Wie viele würden korrigiertes Übungsblatt nutzen?
MehrZiel: Zertifiziere Pfad von Wurzel zu m mittels Signaturen. Signieren Public-Keys auf Pfad inklusive der Nachbarknoten.
Merkle-Baum Idee: Konstruktion von Merkle-Bäumen Ersetze Signaturkette durch Baum (sogenannter Merkle-Baum). Verwenden Baum der Tiefe n für Nachrichten der Länge n. Die Wurzel erhält Label ɛ. Die Kinder
MehrName:... Vorname:... Matrikel-Nr.:... Studienfach:...
Stefan Lucks Medien Bauhaus-Univ. Weimar Probeklausur Name:.............................. Vorname:........................... Matrikel-Nr.:....................... Studienfach:........................ Wichtige
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 30.04.2018 1 / 35 Überblick 1 Hashfunktionen Motivation Formalisierung Die Merkle-Damgård-Konstruktion (Weitere) Angriffe auf Hashfunktionen Zusammenfassung
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Digitale Signaturen Björn Kaidel - Vertretung für Prof. Müller-Quade FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-01-19 B. Kaidel Asymmetrische
MehrKonstruktion von MACs. Message Authentication Codes. Sicherheitsmodell CBC-MAC
Message Authentication Codes Entspricht Hashfunktionen mit geheimen Schlüsseln. h : K M H, MAC = h k (m). h parametrisierte Hashfunktion. m Nachricht. k geheimer Schlüssel. Mit der Nachricht m wird h k
MehrHashfunktionen und Kollisionen
Hashfunktionen und Kollisionen Definition Hashfunktion Eine Hashfunktion ist ein Paar (Gen, H) von pt Algorithmen mit 1 Gen: s Gen(1 n ). Gen ist probabilistisch. 2 H: H s berechnet Funktion {0, 1} {0,
MehrKryptographie und Komplexität
Kryptographie und Komplexität Einheit 6.2 Digitale Signaturen 1. Sicherheitsanforderungen 2. RSA Signaturen 3. ElGamal Signaturen Wozu Unterschriften? Verbindliche Urheberschaft von Dokumenten Unterschrift
MehrMessage Authentication Codes. Konstruktion von MACs. Hash-then-Encrypt. Sicherheitsmodell
Message Authentication Codes Entspricht Hashfunktionen mit geheimen Schlüsseln. h : K M H, MAC = h k (m). h parametrisierte Hashfunktion. m Nachricht. k geheimer Schlüssel. Mit der Nachricht m wird h k
MehrBeliebige Anzahl von Signaturen
Beliebige Anzahl von Signaturen Algorithmus Signaturketten Sei Π = (Gen, Sign, Vrfy) ein Einwegsignaturverfahren. 1 Gen : (pk 1, sk 1 ) Gen(1 n ) 2 Sign : Signieren der Nachricht m i. Verwende gemerkten
MehrSicherheit von Merkle Signaturen
Sicherheit von Merkle Signaturen Algorithmus Angreifer A für die Einwegsignatur EINGABE: pk, Zugriff auf eine Anfrage an Orakel Sign sk ( ) 1 Berechne (pk (i), sk (i) ) Gen(1 n ) für i = 1,...,l. Wähle
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Einmalsignaturen Björn Kaidel (Vertretung für Prof. Müller-Quade) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2018-02-01 B. Kaidel Asymmetrische
MehrÜbung zur Vorlesung. Sicherheit Übungsblatt 6. Alexander Koch
Übung zur Vorlesung Sicherheit 09.07.2015 Übungsblatt 6 Alexander Koch alexander.koch@kit.edu 1 / 21 Kummerkasten Könnten Sie bitte eine kleine Wiederholung aller klausurrelevanten Themen in [der] letzten
MehrVorlesung Digitale Signaturen im Wintersemester 2017/-18. Socrative-Fragen aus der Vorlesung vom
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Dozenten: Björn Kaidel Vorlesung Digitale Signaturen im Wintersemester 2017/-18 Socrative-Fragen aus der Vorlesung vom 17.11.2017 1 Quiz 1:
MehrVoll homomorpe Verschlüsselung
Voll homomorpe Verschlüsselung Definition Voll homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : R R für Ringe R, R. Π heißt voll homomorph, falls 1 Enc(m 1 ) + Enc(m 2 ) eine gültige
MehrName:... Vorname:... Matrikel-Nr.:... Studienfach:...
Christian Forler DHBW Mosbach 2. April 2015 Klausur Name:.............................. Vorname:........................... Matrikel-Nr.:....................... Studienfach:........................ Wichtige
MehrVI.4 Elgamal. - vorgestellt 1985 von Taher Elgamal. - nach RSA das wichtigste Public-Key Verfahren
VI.4 Elgamal - vorgestellt 1985 von Taher Elgamal - nach RSA das wichtigste Public-Key Verfahren - besitzt viele unterschiedliche Varianten, abhängig von zugrunde liegender zyklischer Gruppe - Elgamal
MehrIn beiden Fällen auf Datenauthentizität und -integrität extra achten.
Stromchiffren Verschlüsseln eines Stroms von Daten m i (Bits/Bytes) mithilfe eines Schlüsselstroms k i in die Chiffretexte c i. Idee: Im One-Time Pad den zufälligen Schlüssel durch eine pseudo-zufällige
MehrVorlesung Digitale Signaturen im Wintersemester 2016/-17. Socrative-Fragen aus der Vorlesung vom
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Dozenten: Gunnar Hartung, Björn Kaidel Vorlesung Digitale Signaturen im Wintersemester 2016/-17 Socrative-Fragen aus der Vorlesung vom 25.11.2016
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 25.04.2013 1 / 19 Überblick 1 Blockchiffren Erinnerung Beispiel: AES Angriffe auf Blockchiffren 2 Formalisierung von Sicherheit (symmetrischer Verschlüsselung)
MehrKlausur zu Mathematische Grundlagen BachelorStudiengänge der Informatik
Klausur zu Mathematische Grundlagen BachelorStudiengänge der Informatik SS 2016, 16.07.2016 Prof. Dr. Hans-Jürgen Steens Name: Vorname: Matrikelnummer: Die Klausur besteht aus 23 Aufgaben. Es sind maximal
MehrKryptographie und Komplexität
Kryptographie und Komplexität Einheit 4.4 Semantische Sicherheit 1. Sicherheit partieller Informationen 2. Das Verfahren von Rabin 3. Sicherheit durch Randomisierung Semantische Sicherheit Mehr als nur
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Vorlesung 4 Alexander Koch (Vertretung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 KIT 2015-11-12 Universität desalexander Landes Baden-Württemberg
MehrVI.3 RSA. - RSA benannt nach seinen Erfindern R. Rivest, A. Shamir und L. Adleman. - vorgestellt erstes Public-Key Verschlüsselungsverfahren
VI.3 RSA - RSA benannt nach seinen Erfindern R. Rivest, A. Shamir und L. Adleman - vorgestellt 1977 - erstes Public-Key Verschlüsselungsverfahren - auch heute noch das wichtigste Public-Key Verfahren 1
MehrEinführung in die. Kryptographie WS 2016/ Lösungsblatt
Technische Universität Darmstadt Fachgebiet Theoretische Informatik Prof. Johannes Buchmann Thomas Wunderer Einführung in die Kryptographie WS 6/ 7. Lösungsblatt 8..6 Ankündigungen Arithmetik modulo n
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Vorlesung 4 Alexander Koch (Vertretung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-11-10 Alexander Koch Asymmetrische Verschlüsselungsverfahren
MehrÜbungsblatt 4. Stammvorlesung Sicherheit im Sommersemester Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Übungsblatt 4 Aufgabe 1. Wir instanziieren das ElGamal-Verschlüsselungsverfahren aus der
MehrVorlesung Sicherheit
Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 04.05.2015 1 / 20 Kummerkasten Vorlesungsfolien bitte einen Tag vorher hochladen : Sollte
MehrMerkle-Damgard Transformation
Merkle-Damgard Transformation Ziel: Konstruiere H : {0, 1} {0, 1} l aus h : {0, 1} 2l {0, 1} l. Algorithmus Merkle-Damgard Konstruktion Sei (Gen, h) eine kollisionsresistente Hashfunktion mit h : {0, 1}
MehrÜbung zur Vorlesung Sicherheit Übungsblatt 2. Alexander Koch Björn Kaidel
Übung zur Vorlesung Sicherheit 07.05.2014 Übungsblatt 2 Alexander Koch alexander.koch@kit.edu Björn Kaidel bjoern.kaidel@kit.edu 1 / 32 Kummerkasten In der Übung lauter und deutlicher sprechen: Wir geben
MehrInstitut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Übungsblatt 4
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Übungsblatt 4 Hinweis: Übungsblätter können freiwillig bei Florian Böhl, Raum 255, Geb.
MehrÜbung zur Vorlesung Sicherheit Übungsblatt 2. Alexander Koch Björn Kaidel
Übung zur Vorlesung Sicherheit 07.05.2014 Übungsblatt 2 Alexander Koch alexander.koch@kit.edu Björn Kaidel bjoern.kaidel@kit.edu 1 / 32 Kummerkasten In der Übung lauter und deutlicher sprechen: Wir geben
MehrDigitale Signaturen. Andreas Spillner. Kryptografie, SS 2018
Digitale Signaturen Andreas Spillner Kryptografie, SS 2018 Ausgangspunkt Digitale Signaturen bieten unter anderem das, was man auch mit einer eigenhändigen Unterschrift auf einem Dokument bezweckt. Beispiel:
MehrDigitale Signaturen. GHR-und Chamäleon-Signaturen Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen GHR-und Chamäleon-Signaturen Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-01-12 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen KIT
MehrAuthentikation und digitale Signatur
TU Graz 23. Jänner 2009 Überblick: Begriffe Authentikation Digitale Signatur Überblick: Begriffe Authentikation Digitale Signatur Überblick: Begriffe Authentikation Digitale Signatur Begriffe Alice und
MehrVorlesung Sicherheit
Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 02.05.2016 1 / 22 Überblick 1 Hashfunktionen Erinnerung Formalisierung Die Merkle-Damgård-Konstruktion
MehrDas Generalized Birthday Problem
Das Generalized Birthday Problem Problem Birthday Gegeben: L 1, L 2 Listen mit Elementen aus {0, 1} n Gesucht: x 1 L 1 und x 2 L 2 mit x 1 x 2 = 0. Anwendungen: Meet-in-the-Middle Angriffe (z.b. für RSA,
MehrDigitale Signaturen. Kapitel 8
Digitale Signaturen Kapitel 8 Handschriftliche vs. digitale Unterschrift digitalisieren mp3 Unterschrift digitale Unterschrift von D.H. für mp3? (Scannen und als Bitmap anhängen z.b. zu leicht zu fälschen)
MehrKryptographie und Komplexität
Kryptographie und Komplexität Einheit 5.2 ElGamal Systeme 1. Verschlüsselungsverfahren 2. Korrektheit und Komplexität 3. Sicherheitsaspekte Das ElGamal Verschlüsselungsverfahren Public-Key Verfahren von
MehrVerteilte Kyroptographie
Verteilte Kyroptographie Klassische kryptographische Verfahren Kryptographische Hash-Funktionen Public-Key-Signaturen Verteilte Mechanismen Schwellwert-Signaturen Verteilt generierte Zufallszahlen Verteilte
MehrNachklausur zur Vorlesung
Lehrstuhl für Theoretische Informatik Prof. Dr. Markus Lohrey Diskrete Mathematik für Informatiker Nachklausur Nachklausur zur Vorlesung Diskrete Mathematik für Informatiker SS 16, 08. September 2016 Vorname:
MehrAufgabe der Kryptografie
Aufgabe der Kryptografie Eve möchte die Unterhaltung mithören und/oder ausgetauschte Informationen ändern. Alice & Bob kommunzieren über einen unsicheren Kanal. Alice & Bob nutzen Verschlüsselung und digitale
MehrWS 2013/14. Diskrete Strukturen
WS 2013/14 Diskrete Strukturen Prof. Dr. J. Esparza Lehrstuhl für Grundlagen der Softwarezuverlässigkeit und theoretische Informatik Fakultät für Informatik Technische Universität München http://www7.in.tum.de/um/courses/ds/ws1314
Mehr6.3 Authentizität. Geheimhaltung: nur der Empfänger kann die Nachricht lesen. die Nachricht erreicht den Empfänger so, wie sie abgeschickt wurde
6.3 Authentizität Zur Erinnerung: Geheimhaltung: nur der Empfänger kann die Nachricht lesen Integrität: die Nachricht erreicht den Empfänger so, wie sie abgeschickt wurde Authentizität: es ist sichergestellt,
MehrKryptographie für CTFs
Kryptographie für CTFs Eine Einführung KIT Die Forschungsuniversität in der Helmholtz-Gemeinschaft www.kitctf.de Einführung Cryptography is the practice and study of techniques for secure communication
MehrKryptografische Hashfunktionen
Kryptografische Hashfunktionen Andreas Spillner Kryptografie, SS 2018 Wo verwenden wir kryptografische Hashfunktionen? Der Hashwert H(x) einer Nachricht x wird oft wie ein Fingerabdruck von x vewendet.
MehrÜbung zur Vorlesung. Sicherheit Übungsblatt 6 Alexander Koch
Übung zur Vorlesung Sicherheit 14.07.2015 Übungsblatt 6 Alexander Koch alexander.koch@kit.edu https://b.socrative.com/login/student/ Room: SICHERHEIT Bitte gleich einloggen! 1 / 26 Sicherheit Übungsblatt
MehrKryptographie - eine mathematische Einführung
Kryptographie - eine mathematische Einführung Rosa Freund 28. Dezember 2004 Überblick Grundlegende Fragestellungen Symmetrische Verschlüsselung: Blockchiffren, Hashfunktionen
MehrInstitut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester 2013.
Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz IKS Institut für Kryptographie und Sicherheit Stammvorlesung Sicherheit im Sommersemester 2013 Übungsblatt 2 Aufgabe 1. Wir wissen,
MehrAlgorithmische Kryptographie
Algorithmische Kryptographie Walter Unger Lehrstuhl für Informatik I 16. Februar 2007 Public-Key-Systeme: Rabin 1 Das System nach Rabin 2 Grundlagen Körper Endliche Körper F(q) Definitionen Quadratwurzel
MehrII.1 Verschlüsselungsverfahren
II.1 Verschlüsselungsverfahren Definition 2.1 Ein Verschlüsselungsverfahren ist ein 5-Tupel (P,C,K,E,D), wobei 1. P die Menge der Klartexte ist. 2. C die Menge der Chiffretexte ist. 3. K die Menge der
MehrMusterlösung zur Hauptklausur Theoretische Grundlagen der Informatik Wintersemester 2013/14
Institut für Theoretische Informatik Prof. Dr. Jörn Müller-Quade Musterlösung zur Hauptklausur Theoretische Grundlagen der Informatik Wintersemester 23/4 Vorname Nachname Matrikelnummer Hinweise Für die
MehrMiller-Rabin Test. Primzahl- und Zerlegbarkeitstests. Zeugen für die Zerlegbarkeit ganzer Zahlen
Miller-Rabin Test Primzahl- und Zerlegbarkeitstests Sei N eine positive ganze Zahl. Wie kann man möglichst effizient feststellen, ob N eine Primzahl oder zerlegbar ist? Dies ist die Aufgabe von Primzahlund
MehrDiskrete Strukturen Kapitel 5: Algebraische Strukturen (RSA-Verfahren)
WS 2016/17 Diskrete Strukturen Kapitel 5: Algebraische Strukturen (RSA-Verfahren) Hans-Joachim Bungartz Lehrstuhl für wissenschaftliches Rechnen Fakultät für Informatik Technische Universität München http://www5.in.tum.de/wiki/index.php/diskrete_strukturen_-_winter_16
MehrVIII. Digitale Signaturen
VIII. Digitale Signaturen Bob Eve Eve möchte - lauschen - ändern - personifizieren Alice 1 Aufgaben - Vertraulichkeit - Lauschen - Authentizität - Tauschen des Datenursprungs - Integrität - Änderung der
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 26.05.2014 1 / 32 Überblick 1 Hinweis 2 Asymmetrische Authentifikation von Nachrichten Erinnerung RSA als Signaturschema ElGamal-Signaturen Hash-Then-Sign
MehrHybride Verschlüsselungsverfahren
Hybride Verschlüsselungsverfahren Ziel: Flexibilität von asym. Verfahren und Effizienz von sym. Verfahren. Szenario: Sei Π = (Gen, Enc, Dec) ein PK-Verschlüsselungsverfahren und Π = (Gen, Enc, Dec ) ein
MehrBlinde Signaturen, geheime Abstimmungen und digitale Münzen
Blinde Signaturen, geheime Abstimmungen und digitale Münzen Claus Diem Im Wintersemester 2017 / 18 Crypto 1982 Geheime Abstimmungen Eine geheime Abstimmung Problem. Eine Gruppe von Personen will per Brief
MehrDigitale Signaturen. Einmalsignaturen Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Einmalsignaturen Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-11-04 B. Kaidel Digitale Signaturen: Einmalsignaturen KIT Die Forschungsuniversität
MehrNachklausur zur Vorlesung Theoretische Grundlagen der Informatik Wintersemester 2012/13
Institut für Kryptographie und Sicherheit Prof. Dr. Jörn Müller-Quade Nachklausur zur Vorlesung Theoretische Grundlagen der Informatik Wintersemester 2012/13 Vorname Nachname Matrikelnummer Hinweise Für
Mehr