4 Symmetrische Verfahren Betriebsarten. Betriebsarten Verschlüsselung längerer Nachrichten, Authentikation. 4 Symmetrische Verfahren Betriebsarten

Save this PDF as:
 WORD  PNG  TXT  JPG

Größe: px
Ab Seite anzeigen:

Download "4 Symmetrische Verfahren Betriebsarten. Betriebsarten Verschlüsselung längerer Nachrichten, Authentikation. 4 Symmetrische Verfahren Betriebsarten"

Transkript

1 4 Symmetrische Verfahren Betriebsarten Betriebsarten Verschlüsselung längerer Nachrichten, Authentikation Beispiele für Betriebsarten: Verschlüsselung: Electronic Code Book (ECB) 1981 für DES Cipher Block Chaining (CBC) standardisiert Cipher Feedback (CFB) (FIPS 81) Output Feedback (OFB) Counter Mode (CTR) Authentikation: Cipher-based MAC (CMAC) Authentikation und Verschlüsselung: Counter with CBC-MAC (CCM) Galois/Counter Mode (GCM bzw. GMAC) Kryptographie und Kryptoanalyse Symmetrische Verfahren Betriebsarten Anwendung der Betriebsarten erlaubt die Konstruktion von synchronen oder selbstsynchronisierenden Stromchiffren aus Blockchiffren (zugrunde liegendes Alphabet wird dabei teilweise gewechselt) Synchrone Stromchiffre: Verschlüsselung eines Zeichens ist abhängig von der Position bzw. von vorhergehenden Klartextoder Schlüsselzeichen Selbstsynchronisierende Stromchiffre: Verschlüsselung ist nur von begrenzter Anzahl vorhergehender Zeichen abhängig ECB, CBC und CFB: selbstsynchronisierende Stromchiffre OFB, CTR: synchrone Stromchiffre Kryptographie und Kryptoanalyse Symmetrische Verfahren Betriebsarten Betrachtung von Fehlerauswirkungen / Manipulationen Zeitpunkt des Fehlers / der Manipulation während der Übertragung (Speicherung) während der Ver- bzw. Entschlüsselung (transient) Sender enc dec Empfänger Art des Fehlers / der Manipulation Additive Fehler: Verfälschung einzelner Bits ( Addition eines Fehlermusters ); Blockgrenzen bleiben erhalten Synchronisationsfehler: Hinzufügen bzw. Verlust von Blöcken / Bits (letzteres ändert die Blockgrenzen) Kryptographie und Kryptoanalyse 202 1

2 4 Symmetrische Verfahren Betriebsarten Electronic Codebook (ECB) Verschlüsselung Entschlüsselung k k m i l l c i enc c i l dec l m i c i = enc(k, m i ), 1 < i n m i = dec(k, c i ), 1 < i n c = enc(k, m 1 ) enc(k, m 2 )... enc(k, m n ) m = dec(k, c 1 ) dec(k, c 2 )... dec(k, c n ) Kryptographie und Kryptoanalyse Symmetrische Verfahren Betriebsarten Electronic Codebook (ECB) Eigenschaften Selbstsynchronisierend (Abhängigkeit von 0 Blöcken) Länge der verarbeiteten Einheiten: entsprechend Blockgröße der Blockchiffre (DES: l = 64 Bit) Keine Abhängigkeiten zwischen den Blöcken Direktzugriff auf einzelne Schlüsseltextblöcke möglich gleiche Klartextblöcke liefern gleiche Schlüsseltextblöcke ggf. Kodebuchanalysen möglich Fehlerauswirkungen additive Fehler: keine Fehlerfortpflanzung Synchronisationsfehler bzgl. ganzer Blöcke: keine Fehlerfortpflanzung gezieltes Einfügen und Entfernen von Blöcken möglich Synchronisationsfehler bzgl. Bits: Entschlüsselung fehlerhaft, bis Blockgrenzen erneut festgelegt (falls nicht explizit kenntlich gemacht) Kryptographie und Kryptoanalyse Symmetrische Verfahren Betriebsarten Cipher Block Chaining (CBC) Verschlüsselung k m i l enc c i l 1 l c i-1 IV Speicher für Schlüsseltextblock c i-1 bzw. IV c 1 = enc(k, (m 1 IV )); IV: Initialisierungsvektor c i = enc(k, (m i c i-1 )), 1 < i n c = enc(k, (m 1 IV)) enc(k, (m 2 c 1 )) enc(k, (m 3 c 2 )) enc(k, (m n c n-1 )) Kryptographie und Kryptoanalyse 205 2

3 4 Symmetrische Verfahren Betriebsarten Cipher Block Chaining (CBC) Entschlüsselung k c i l dec l m i m 1 = dec(k, c 1 ) IV m i = dec(k, c i ) c i-1, 1 < i n c i-1 IV 1 l Speicher für Schlüsseltextblock c i-1 bzw. IV m = dec(k, c 1 ) IV dec(k, c 2 ) c 1 dec(k, c 3 ) c 2 dec(k, c n ) c n-1 Kryptographie und Kryptoanalyse Symmetrische Verfahren Betriebsarten Cipher Block Chaining (CBC) Eigenschaften Selbstsynchronisierend (Abhängigkeit von 1 Block) Länge der verarbeiteten Einheiten: entsprechend Blockgröße der Blockchiffre (DES: l = 64 Bit) Abhängigkeiten zwischen den Blöcken kein Direktzugriff auf einzelne Schlüsseltextblöcke möglich gleiche Klartextblöcke liefern unterschiedliche Schlüsseltextblöcke Kodebuchanalysen erschwert Initialisierungsvektor IV muss Sender und Empfänger bekannt sein Kryptographie und Kryptoanalyse Symmetrische Verfahren Betriebsarten Fehlerauswirkungen Fehler während der Übertragung additive Fehler: Fehlerfortpflanzung in den Folgeblock Synchronisationsfehler bzgl. ganzer Blöcke: 2 Blöcke betroffen Synchronisationsfehler bzgl. Bits: Entschlüsselung fehlerhaft, bis Blockgrenzen erneut festgelegt Fehler während der Verschlüsselung ab Fehlerstelle wird ein anderer Schlüsseltext erzeugt Entschlüsselung: nur ein Klartextblock betroffen Verfahren eignet sich zur Authentikation: Manipulationen, Einfügen und Entfernen von Blöcken erkennbar Kryptographie und Kryptoanalyse 208 3

4 4 Symmetrische Verfahren Betriebsarten CBC zur Authentikation (CBC-MAC) k enc c i c i-1 IV 1 l IV = 0 0 letzter Schlüsseltextblock c n m i letzter Schlüsseltextblock wird als MAC angehängt: m 1 m 2 m 3 m n c n Empfänger berechnet ebenfalls c n und vergleicht mit erhaltenem c n Kryptographie und Kryptoanalyse Symmetrische Verfahren Betriebsarten Cipher Feedback (CFB) Verschlüsselung l r+1 r 1 Schieberegister A a i Inhalt zum Zeitpunkt i a 1 = IV a i = LSB l-r (a i-1 ) c i-1 enc k m i r select r c i = m i select r (enc(k, a i )) für l = 64, r = 8: a i = c i-8 c i-7 c i-6 c i-2 c i-1 Ausgabeblock B b i Ausgabe zum Zeitpunkt i r c i Kryptographie und Kryptoanalyse Symmetrische Verfahren Betriebsarten Cipher Feedback (CFB) Entschlüsselung l r+1 r 1 Schieberegister A a i Inhalt zum Zeitpunkt i a 1 = IV a i = LSB l-r (a i-1 ) c i-1 enc k c i r select m i = c i select r (enc(k, a i )) für l = 64, r = 8: a i = c i-8 c i-7 c i-6 c i-2 c i-1 r r m i Kryptographie und Kryptoanalyse 211 4

5 4 Symmetrische Verfahren Betriebsarten Cipher Feedback (CFB) Eigenschaften l Selbstsynchronisierend (Abhängigkeit von Einheiten; l: r Blockgröße der Chiffre; DES: l = 64) Länge der verarbeiteten Einheiten: r < b, frei wählbar (z.b. 8 Bit, also byteweise Verarbeitung) Abhängigkeiten zwischen den Blöcken kein Direktzugriff auf einzelne Schlüsseltextblöcke möglich gleiche Klartextblöcke liefern unterschiedliche Schlüsseltextblöcke Initialisierungsvektor IV muss Sender und Empfänger bekannt sein Nur Verschlüsselungsfunktion verwendet es entsteht immer eine symmetrische Chiffre Kryptographie und Kryptoanalyse Symmetrische Verfahren Betriebsarten Fehlerauswirkungen Fehler während der Übertragung additive Fehler und Synchronisationsfehler bzgl. ganzer Blöcke: Fehlerfortpflanzung entsprechend der Abhängigkeiten von vorherigen Blöcken Synchronisationsfehler bzgl. Bits: Entschlüsselung fehlerhaft, bis Blockgrenzen erneut festgelegt; durch geeignete Wahl von r können Verschiebungen der Blockgrenzen verhindert werden Fehler während der Verschlüsselung entsprechend CBC Verfahren eignet sich zur Authentikation (verschlüsselten letzten Block c n als MAC): Manipulationen, Einfügen und Entfernen von Blöcken erkennbar Kryptographie und Kryptoanalyse Symmetrische Verfahren Betriebsarten Output Feedback (OFB) Ver-/Entschlüsselung l 1 Eingabeblock A a i Inhalt zum Zeitpunkt i a 1 = IV enc k l 1 m i c i l c i = m i enc(k, a i ) m i = c i enc(k, a i ) l c i m i Anmerkung: in FIPS 81 Länge der verarbeiteten Einheiten frei wählbar Kryptographie und Kryptoanalyse 214 5

6 4 Symmetrische Verfahren Betriebsarten Output Feedback (OFB) Eigenschaften Synchron Abhängigkeit von Position der verarbeiteten Einheit kein Direktzugriff auf einzelne Schlüsseltextblöcke möglich gleiche Klartextblöcke liefern unterschiedliche Schlüsseltextblöcke Initialisierungsvektor IV muss Sender und Empfänger bekannt sein; darf bzgl. eines Schlüssels nur einmal verwendet werden Nur Verschlüsselungsfunktion verwendet es entsteht immer eine symmetrische Chiffre Fehlerauswirkungen additive Fehler: keine Fehlerfortpflanzung anfällig gegen Synchronisationsfehler Kryptographie und Kryptoanalyse Symmetrische Verfahren Betriebsarten Counter Mode (CTR) Ver-/Entschlüsselung l 1 T i Zähler zum Zeitpunkt i T 1 Startwert des Zählers T i = inc(t i -1 ) enc k l 1 m i c i c i = m i enc(k, T i ) m i = c i enc(k, T i ) c i m i Kryptographie und Kryptoanalyse Symmetrische Verfahren Betriebsarten Counter Mode (CTR) Eigenschaften Synchron Abhängigkeit von Position der verarbeiteten Einheit gleiche Klartextblöcke liefern unterschiedliche Schlüsseltextblöcke Direktzugriff auf einzelne Schlüsseltextblöcke möglich Zähler muss Sender und Empfänger bekannt sein, darf bzgl. eines Schlüssels nur einmal verwendet werden Nur Verschlüsselungsfunktion verwendet es entsteht immer eine symmetrische Chiffre Fehlerauswirkungen additive Fehler: keine Fehlerfortpflanzung anfällig gegen Synchronisationsfehler Vorteil: Effizienz Kryptographie und Kryptoanalyse 217 6

7 4 Symmetrische Verfahren Betriebsarten Cipher-based MAC (CMAC) Bietet auch Sicherheit für Nachrichten beliebiger Länge Schlüssel k 1 und k 2 werden mit Hilfe des geheimen Schlüssels k ermittelt (abhängig von Blocklänge) und mit letztem Nachrichtenblock XOR-verknüpft Berechnung des MAC ansonsten wie mit CBC (IV = 0 0); Auswahl der Tlen MSBs (most significant bits) als MAC m 1 m 2 m n * ggf. aufgefüllt k enc k enc k enc c n [1:Tlen] k 1, falls m* n kompletter Block / k 2 sonst Kryptographie und Kryptoanalyse Symmetrische Verfahren Betriebsarten Counter with CBC-MAC (CCM) Vertraulichkeit und Integrität für die Nachricht (payload P) Integrität für zusätzliche Daten (assigned data A) Zufallszahl (nonce N; verschieden für verschiedene Paare (A,P)) Generieren & Verschlüsseln: MAC berechnen für P, A und N mittels CBC-MAC (IV = 0) Verschlüsselung von N, P und MAC mittels CTR Entschlüsseln & Prüfen: Entschlüsselung mittels CTR N, P, MAC Berechnung des MAC für P, A und N mittels CBC-MAC und Vergleich mit entschlüsseltem MAC Kryptographie und Kryptoanalyse Symmetrische Verfahren Betriebsarten Galois/Counter Mode (GCM bzw. GMAC) Vertraulichkeit und Integrität für die Nachricht Integrität für zusätzliche Daten Initialisierungsvektor IV (darf nur einmal verwendet werden) GMAC: zu verschlüsselnde Nachricht der Länge 0 Verschlüsselung: CTR mit spezieller inc-funktion (nur ein Teil der Bits des Zählers werden inkrementiert) erster Wert des Zählers von IV abgeleitet Berechnung des MAC: Hashfunktion GHASH: Multiplikation mit einem festen Parameter H (hash subkey) in einem endlichen Körper H = enc(k, ) Kryptographie und Kryptoanalyse 220 7

8 Überblick über die Vorlesung 1. Einführung 2. Grundlagen 3. Klassische Verfahren 4. Symmetrische Verfahren 5. Asymmetrische Verfahren Grundlagen Diffie-Hellman-Schlüsselaustausch ElGamal RSA Kryptosysteme auf Basis elliptischer Kurven Kryptographie und Kryptoanalyse Asymmetrische Verfahren Grundlagen Asymmetrische Verfahren Schlüsselverteilungsproblem bei symmetrischen Systemen Asymmetrische bzw. Public-Key-Systeme: Schlüsselpaare, bestehend aus privatem und öffentlichem Schlüssel Es darf praktisch nicht möglich sein, den privaten Schlüssel aus dem öffentlichen Schlüssel zu ermitteln. Grundlage: Trapdoor-Einwegfunktion A, B Mengen f: A B heißt Einwegfunktion, wenn gilt: f: A B leicht berechenbar für alle a A, aber f -1 : B A schwierig oder nicht berechenbar für fast alle b B Trapdoor-Eigenschaft: Berechnung von f -1 (b) durch Kenntnis bestimmter Zusatzparameter ebenfalls leicht berechenbar. Kryptographie und Kryptoanalyse Asymmetrische Verfahren Grundlagen n = {0,1,2,, n-1} Restklassenring modulo n n* : multiplikative Gruppe, n* ú {a n ggt(a,n) = 1} Eulersche Φ-Funktion Anzahl der zu n teilerfremden Zahlen kleiner n: Φ(n) ú {a n ggt(a,n) = 1} Ordnung der Gruppe n * (bzw. p* ); n* ú {a n ggt(a,n) = 1} (Anzahl der Elemente dieser Gruppe) Φ(p)= p-1 (p prim) n = p q; p, q prim, p q: Φ(p q)=(p-1)(q-1) Kryptographie und Kryptoanalyse 223 8

9 5 Asymmetrische Verfahren Grundlagen Erweiterter Euklidscher Algorithmus (EEA) Bestimmung von ggt(a,b) und seiner Linearkombinationsdarstellung: EEA(a,b) ggt(a,b) = u a + v b Bestimmung des multiplikativen Inversen a -1 von a in n * : EEA(a,n) ggt(a,n) = u a + v n = 1 u = a -1 mit aa -1 1 mod n Kryptographie und Kryptoanalyse Asymmetrische Verfahren Grundlagen EEA: a,b N, b > a ggt(a,b), ggt(a,b) = u a + v b Initialisierung r q s t -2 b a b mod a b div a s -2 q 0 s -1 t -2 q 0 t -1 i r i-2 mod r i-1 r i-2 div r i-1 s i-2 q i s i-1 t i-2 q i t i-1 Abbruch: r k = 0 Beispiel k-1 r k-1 q k-1 v u k 0 q k ggt(a,b) = r k-1, u = t k-1, v = s k-1 Kryptographie und Kryptoanalyse Asymmetrische Verfahren Grundlagen Erzeugung von Primzahlen 1. Wahl einer Zufallszahl p als Kandidat für die Primzahl 2. Test, ob p prim ist 3. Wiederholung von 1. und 2., bis Primzahl gefunden Primzahltest nach Rabin-Miller für p 3 mod 4 p-1 * p prim: a Z p : a 2 1 mod p falls p nicht prim, gilt dies für höchstens ¼ der möglichen a Test für l zufällig gewählte Werte a durchführen Ergebnis einmal 1: p nicht prim Ergebnis bei allen l Versuchen = 1: p prim mit Wahrscheinlichkeit 1 4 -l Kryptographie und Kryptoanalyse 226 9

10 5 Asymmetrische Verfahren Grundlagen Zyklische Gruppe alle Elemente der Gruppe G lassen sich aus einem Element g G (erzeugendes Element oder Generator) durch Potenzieren von g erzeugen: G = <g> Ordnung von Gruppenelementen a G: order G a bzw. order a kleinste natürliche Zahl e mit a e = 1 (e > 0) zyklische Gruppe: order g = G (Ordnung von G) Multiplikative Gruppe Z p * = {1, 2,, p-1} (p prim) ist zyklisch: Z * p = <g> = {g i mod p i = 0, 1,, (p)-1} Kleiner Satz von Fermat Für alle x Z p * gilt: x p-1 1 mod p Kryptographie und Kryptoanalyse Asymmetrische Verfahren Grundlagen * Z 7 = {1,2,3,4,5,6} 3 0 = = = = = 9 ª 2 mod = = = = 18 ª 4 mod = = 12 ª 5 mod = = 15 ª 1 mod y = 3 x mod x 3 6 ª 1 mod 7 order 3 = 6 3 ist Generator von Z 7 * Kryptographie und Kryptoanalyse Asymmetrische Verfahren Grundlagen * Z 7 = {1,2,3,4,5,6} 2 0 = = = = = = = 8 ª 1 mod = = = = = = 8 ª 1 mod 7 y = 2 x mod x * 2 3 ª 1 mod 7 order 2 = 3 2 ist kein Generator von Z 7 Kryptographie und Kryptoanalyse

11 5 Asymmetrische Verfahren Grundlagen Finden eines Generators g einer Gruppe G Satz von Lagrange: In endlichen Gruppen G teilt die Ordnung jeder Untergruppe H die Ordnung von G: H G. Für a G mit order a = e und k Z gilt: a k = 1 e k Algorithmus zum Finden von g G Benötigt: n = G, Primfaktorzerlegung Wahl eines zufälligen Elements a G Für i = 1, 2, k: b a n p i e1 e2 n p1 p2... b = 1: a kein Generator, Wahl eines anderen Elements aus G p e k k Kryptographie und Kryptoanalyse Asymmetrische Verfahren Grundlagen Problem für G = Z * p Algorithmus benötigt Primfaktorzerlegung von G Z * p = Φ(p) = p-1 Faktorisierung schwierig Algorithmus für spezielle Primzahlen: sichere Primzahl: p = 2q + 1, q prim Algorithmus zum Finden von g Z * p für sichere Primzahl p mit k Bit Wahl einer Primzahl q mit k-1 Bit Test, ob p = 2q + 1 prim Suche nach Generator g mit vorherigem Algorithmus Kryptographie und Kryptoanalyse Asymmetrische Verfahren Grundlagen Operationen in n Addition, Subtraktion und Multiplikation leicht Berechnung von y = a x mod n ebenfalls effizient möglich: Square-and-Multiply-Algorithmus Binärdarstellung des Exponenten: x 10 = (x l-1 x l-2 x 1 x 0 ) 2 z = 1; for (i = l-1; i 0; i--) { z = z 2 ; if (x i == 1) then z = zamod n; } Kryptographie und Kryptoanalyse

12 5 Asymmetrische Verfahren Grundlagen Diskreter Logarithmus Für jede Zahl y Z p * gibt es einen Exponenten x mit 0 x p-2, so dass gilt: y = g x mod p. Der Exponent x wird diskreter Logarithmus von y zur Basis g modulo p genannt: x = log g y mod p Bestimmen von x: Diskreter-Logarithmus-Problem kein Algorithmus zur effizienten Berechnung des diskreten Logarithmus bekannt besser als Durchprobieren: Babystep-Giantstep-Algorithmus von Shanks, aber ebenfalls nicht praktikabel für größere Gruppen (ca. ab G > ): weniger Operationen, aber mehr Speicherplatz benötigt Kryptographie und Kryptoanalyse Asymmetrische Verfahren Grundlagen Beispiel: Diskreter Logarithmus für p = 229, g = 6 y = log 6 x mod x Kryptographie und Kryptoanalyse Asymmetrische Verfahren Grundlagen Berechnung des diskreten Logarithmus mit dem Babystep-Giantstep-Algorithmus: x = log g y mod p m = G, G : Ordnung der Gruppe Ansatz: x = q m + r, 0 r < m Algorithmus berechnet q und r y = g x y = g q m + r (g m ) q = yg -r Babystep-Liste: B = {(i, y (g i ) -1 mod p), 0 i < m} Giantstep-Liste: G = {(j, (g m ) j mod p), 0 j < m} r q Berechnung der Elemente von G, bis (g m ) j als zweite Komponente eines Elements in B gefunden. Kryptographie und Kryptoanalyse

13 5 Asymmetrische Verfahren Grundlagen Weitere Algorithmen zur Ermittlung des diskreten Logarithmus sind z.b.: Pollard- -Algorithmus (begrenzter Speicheraufwand) Pohlig-Hellman-Algorithmus (falls p-1 kleine Primteiler hat) Index-Calculus-Algorithmus (effizientester Algorithmus, für prime Restklassengruppe modulo einer Primzahl) Möglichkeiten zur Berechnung des diskreten Logarithmus sind bei der Wahl der Parameter für entsprechende kryptographische Verfahren zu beachten! Kryptographie und Kryptoanalyse Asymmetrische Verfahren DH-Schlüsselaustausch Diffie-Hellman-Schlüsselaustausch Öffentlich bekannt: Primzahl p, Generator g Teilnehmer A wählt x A mit 0 x A p-2 (x A geheim) unsicherer Kanal p, g p, g Teilnehmer B wählt x B mit 0 x B p-2 (x B geheim) berechnet y A = g x A mod p y A berechnet y B = g x B mod p y B x k A,B = y A B mod p enc (k A,B, m) x k A,B = y B A mod p Kryptographie und Kryptoanalyse Asymmetrische Verfahren DH-Schlüsselaustausch Sicherheit des Diffie-Hellman-Schlüsselaustauschs Diffie-Hellman-Problem: Geg.: p, g, y A = g x A mod p und y B = g x B mod p Problem: bestimme g x A x Bmod p Angreifer beobachtet y A, y B, kann er x A = log g y A mod p oder x B = log g y B mod p berechnen, kann er das Geheimnis k AB = g x A x Bmod p ermitteln. sicher gegen passive Angriffe aber: unsicher gegen aktive Angriffe Kryptographie und Kryptoanalyse

14 5 Asymmetrische Verfahren DH-Schlüsselaustausch Aktiver Angriff (Man-in-the-Middle-Angriff) C gibt sich gegenüber A als B und gegenüber B als A aus. Teilnehmer A Kanal Angreifer C Kanal Teilnehmer B p, g p, g p, g wählt x A y A = g x A mod p y A wählt x C y C = g x Cmod p wählt x B y B = g x B mod p y C y B y C x k A,C = y A C mod p enc (k A,C, m) x k A,C = y C A mod p x k B,C = y C B mod p enc (k B,C, m) x k B,C = y B C mod p Kryptographie und Kryptoanalyse Asymmetrische Verfahren DH-Schlüsselaustausch Abhilfe: Vertrauenswürdige Instanz Teilnehmer A p, g Vertrauenswürdige Instanz y A, y B, y C Teilnehmer B p, g wählt x A y A = g x A mod p 1. wählt x B y B = g x Bmod p k AB = y x A B mod p enc (k A,B, m) x k AB = y B A mod p Angreifer C p, g wählt x C y C = g x C mod p Kryptographie und Kryptoanalyse Asymmetrische Verfahren ElGamal-Kryptosystem ElGamal-Kryptosystem Taher ElGamal: A Public-Key Cryptosystem and a Signature Scheme Based on Discrete Logarithms. CRYPTO 84, Springer-Verlag, / IEEE Transactions on Information Theory, v. 31, n. 4, 1985, Basiert auf Problem des diskreten Logarithmus Verwendung als Konzelations- und Signatursystem Verschiedene Varianten des ElGamal-Signatursystems bekannt; Digital Signature Algorithm (DSA) basiert auf einer dieser Varianten, DSA als Digital Signature Standard (DSS) vom NIST 1994 publiziert (FIPS186) Kryptographie und Kryptoanalyse

15 5 Asymmetrische Verfahren ElGamal-Kryptosystem ElGamal als Konzelationssystem Schlüsselgenerierung Jeder Teilnehmer wählt Primzahl p und Generator g Z * p wählt zufällige Zahl k d mit 0 k d p-2 berechnet k e = g k d mod p Öffentlicher Schlüssel: (p, g, k e ) Privater Schlüssel: k d Kryptographie und Kryptoanalyse Asymmetrische Verfahren ElGamal-Kryptosystem Verschlüsselung (B A) Verschlüsselung von Nachrichten m Z p, d.h., m {0, 1,, p-1} (ggf. Aufteilung größerer Nachrichten) B benötigt öffentlichen Schlüssel von A: (p, g, k e ) wählt Zufallszahl r mit 0 r p-2 berechnet c = (c 1, c 2 ) mit c 1 = g r mod p c 2 = mke r mod p sendetc = (c 1, c 2 ) an A Entschlüsselung p-1-k -1 d k d A berechnet m = c 1 c 2 mod p bzw. m = (c 1 ) c 2 mod p Kryptographie und Kryptoanalyse Asymmetrische Verfahren ElGamal-Kryptosystem Anmerkungen Systemweit gültige Parameter p, g möglich Benutzung des zufälligen Parameters r ergibt indeterministische Verschlüsselung Sicherheit Sicherheit basiert auf Diffie-Hellman-Problem Wahl sicherer Parameter - Berechnung des DL schwierig: Länge von p Anforderungen an p aufgrund spezieller Algorithmen sichere Verwendung: Nutzung verschiedener Zufallszahlen r für Verschlüsselung verschiedener Nachrichten Gewählter Schlüsseltext-Klartext-Angriff möglich Angriff vereiteln Kryptographie und Kryptoanalyse

16 5 Asymmetrische Verfahren ElGamal-Kryptosystem Verwendung verschiedener Zufallszahlen Verschlüsselung zweier verschiedener Nachrichten m 1, m 2 mit derselben Zufallszahl r ist eine der Nachrichten bekannt, kann die zweite berechnet werden: m 1 : c 1 = (c 1,1, c 1,2 ) m 2 : c 2 = (c 2,1, c 2,2 ) c 1,1 = c 2,1 = g r mod p c 1,2 c 2,2 : c 1,2 = m 1 ke r mod p c 2,2 = m 2 ke r mod p -1-1 m 1 bekannt: c 1,2 c 2,2 = m 1 m 2 mod p -1 m 2 = m 1 c 1,2 c 2,2 mod p Kryptographie und Kryptoanalyse Asymmetrische Verfahren ElGamal-Kryptosystem Gewählter Schlüsseltext-Klartext-Angriff Ziel: Ermittlung von m aus beobachtetem c = (c 1, c 2 ) Angreifer sendet c = (c 1, c 2 ) an Empfänger (c 2 beliebig) Empfänger -k entschlüsselt: m = c d 1 c 2 mod p Angreifer k berechnet: c d 1 = c 2 (m ) -1 mod p -k entschlüsselt: m = c d 1 c 2 mod p Kryptographie und Kryptoanalyse Asymmetrische Verfahren ElGamal-Kryptosystem Vereitelung des gewählten Schlüsseltext-Klartext-Angriffs Einfügen von Redundanz vor der Verschlüsselung, z.b. mittels einer Hashfunktion h(): m * = m, h(m) c 1 = g r mod p c 2 = m * ke r mod p Überprüfung der Redundanz beim Empfänger: Entschlüsselung liefert m * = m, x Nachricht wird nur ausgegeben, wenn x = h(m) Anmerkung: Verwendung unterschiedlicher Zufallszahlen ( unterschiedliche c 1 ) reicht nicht: c 1 kann unkenntlich gemacht werden Kryptographie und Kryptoanalyse

17 5 Asymmetrische Verfahren ElGamal-Kryptosystem ElGamal als Signatursystem Schlüsselgenerierung Wie beim Konzelationssystem jeder Teilnehmer wählt Primzahl p und Generator g Z * p wählt zufällige Zahl k s mit 0 k s p-2 berechnet k t = g k s mod p Öffentlicher Schlüssel: (p, g, k t ) Privater Schlüssel: k s Kryptographie und Kryptoanalyse Asymmetrische Verfahren ElGamal-Kryptosystem Signieren Signieren von Nachrichten m Z p, d.h., m {0, 1,, p-1} (ggf. Aufteilung größerer Nachrichten oder Anwendung einer Hashfunktion h(m) mit h(m) < p) A führt die folgenden Schritte aus: wählt Zufallszahl r Z * p-1 berechnet r -1 mit r r -1 1 mod (p-1) berechnet s = (s 1, s 2 ) mit s 1 = g r mod p s 2 = r -1 (h(m) - k s s 1 ) mod (p-1) sendetm, (s 1, s 2 ) Kryptographie und Kryptoanalyse Asymmetrische Verfahren ElGamal-Kryptosystem Test der Signatur Teilnehmer benötigt öffentlichen Schlüssel von A: (p, g, k t ) testet, ob 1 s 1 p-1 s 1 s 2 berechnet v 1 = k t s 1 mod p berechnet h(m) und v 2 = g h(m) mod p akzeptiert Signatur, wenn v 1 ª v 2 Sicherheit Sicherheit basiert auf Diffie-Hellman-Problem Wahl sicherer Parameter: p (Berechnen DL schwierig) sichere Verwendung: Nutzung verschiedener Zufallszahlen r zum Signieren verschiedener Nachrichten Verwendung einer Hashfunktion (sonst existentielles Brechen) Kryptographie und Kryptoanalyse

18 5 Asymmetrische Verfahren ElGamal-Kryptosystem Verwendung verschiedener Zufallszahlen Signatur für zwei verschiedene Nachrichten m 1, m 2 mit derselben Zufallszahl r berechnen Ermittlung des geheimen Signaturschlüssels k s : m 1 : s 1 = (s 1,1, s 1,2 ) m 2 : s 2 = (s 2,1, s 2,2 ) s 1,1 = s 2,1 = g r mod p s 1,2 s 2,2 : s 1,2 = r -1 (h(m 1 ) - k s s 1,1 ) mod (p-1) s 2,2 = r -1 (h(m 2 ) - k s s 2,1 ) mod (p-1) s 1,2 - s 2,2 = r -1 (h(m 1 ) - h(m 2 )) mod (p-1) falls s 1,2 - s 2,2 0 mod (p-1) und ggt(s 1,2 - s 2,2, p-1) = 1: r = (s 1,2 - s 2,2 ) -1 (h(m 1 ) - h(m 2 )) mod (p-1) -1 k s = s 1,1 (h(m 1 ) s 1,2 r) mod (p-1) Kryptographie und Kryptoanalyse Asymmetrische Verfahren ElGamal-Kryptosystem Existentielles Brechen nachrichtenbezogenes Brechen für irgendeine Nachricht m Verifikationskongruenz (ohne Hashfunktion): s 1 s 2 m k t s 1 g mod p v Ersetzen: s 1 = g u k t mod p mit u, v Z, ggt(v, p-1) = 1 s 1 + v s 2 m - u s k 2 t g mod p Exponenten = 0 ermöglicht das Bestimmen von s 2 und m: linke Seite: rechte Seite: s 2 = - s 1 v -1 mod (p-1) m = s 2 u mod (p-1) Kryptographie und Kryptoanalyse Asymmetrische Verfahren ElGamal-Kryptosystem Durchführung: Wahl von u, v Z mit ggt(v, p-1) = 1 Berechnen von s 1, s 2 und m Damit gilt: s k 1 s t 2 s 1 1 s 2 u -s 1 kt g k t g m mod p (s 1, s 2 ) ist gültige Signatur für m = s 2 u mod (p-1) Verwendung einer Hashfunktion: nur Signaturen für h(m) berechenbar Kryptographie und Kryptoanalyse

19 5 Asymmetrische Verfahren ElGamal-Kryptosystem Varianten des ElGamal-Verfahrens Effizientere Verfahren (kürzere Signaturen): Signatursystem nach Schnorr (1989) Digital Signature Algorithm (DSA) 1991 vom NIST vorgeschlagen 1994 zum Standard erklärt (DSS, FIPS 186) Sicherheit gegen adaptive Angriffe: Cramer, Shoup (1998) Konzelationssystem (adaptive chosen-plaintext attack) Pointcheval, Stern (1998) Signatursystem (adaptive chosen-ciphertext attack) Verallgemeinerung des Verfahrens Realisierung in beliebigen zyklischen Gruppen möglich (Bedingung: DH-Problem schwer), z.b. Punktgruppe einer elliptischen Kurve über einem endlichen Körper Kryptographie und Kryptoanalyse Asymmetrische Verfahren ElGamal / DSA Digital Signature Algorithm (DSA) Öffentliche Parameter Primzahl q mit < q < Primzahl p mit q (p-1), 2 L-1 < p < 2 L, 512 L 1024 und L = t ÿ64 Element g Z * p mit order g = q Jeder Teilnehmer wählt zufällig k s mit 0 < k s < q berechnet k t = g k s mod p Kryptographie und Kryptoanalyse Asymmetrische Verfahren ElGamal / DSA Signieren A führt die folgenden Schritte aus: wählt Zufallszahl r Z * q berechnet r -1 mit r r -1 1 mod q berechnet s = (s 1, s 2 ) mit s 1 = (g r mod p) mod q s 2 = r -1 (h(m) + k s s 1 ) mod q sendetm, (s 1, s 2 ) Kryptographie und Kryptoanalyse

20 5 Asymmetrische Verfahren ElGamal / DSA Test der Signatur Teilnehmer benötigt öffentlichen Schlüssel von A: (p, q, g, k t ) testet, ob 1 s 1 q-1 und 1 s 2 q-1 berechnet v 1 = h(m) s -1 2 mod q v 2 = s 1 s -1 2 mod q akzeptiert Signatur, wenn (g k t mod p) mod q ª s 1 v 1 v 2 Berechnungen in einer Untergruppe von Z * p der Ordnung q durchgeführt kürzere Signaturen Kryptographie und Kryptoanalyse Asymmetrische Verfahren RSA-Kryptosystem RSA-Kryptosystem Ronald L. Rivest, Adi Shamir, Leonhard M. Adleman: A Method for Obtaining Digital Signatures and Public-Key Cryptosystems. Communications of the ACM, vol. 21, no. 2, 1978, Basiert auf der Faktorisierungsannahme (bislang jedoch kein Beweis) Verwendung als Konzelations- und Signatursystem Kryptographie und Kryptoanalyse Asymmetrische Verfahren RSA-Kryptosystem Mathematische Grundlagen Berechnung von n = pq leicht, aber Faktorisierung von n schwer Faktorisierungsalgorithmen Spezielle Algorithmen: Anforderungen an die Faktoren von n Allgemeine Algorithmen: hängen nur von der Größe von n ab Beispiele für spezielle Algorithmen: Faktorisierung nach Fermat (1643) n ungerade, p, q n Zerlegung n = x 2 y 2 = (x+y)(x y) Start mit x n Berechnung von x 2 n, (x+1) 2 n, (x+2) 2 n, bis Ergebnis eine Quadratzahl ist (y 2 = x 2 n) Faktoren von n: p = x + y, q = x - y Kryptographie und Kryptoanalyse

21 5 Asymmetrische Verfahren RSA-Kryptosystem Pollard (p-1)-methode (1974) n hat Primfaktor p, für den p-1 nur kleine Primfaktoren hat ( glatt bzgl. einer Schranke B) Ermitteln eines Vielfachen k von p-1 ohne Kenntnis von p Es gilt: a k 1 mod p (k = l(p - 1), ggt(a, p) = 1) p a k 1 n F a k 1 d = ggt(a k 1, n) echter Teiler von n (1 < d < n) Kandidaten für k: Produkte aller Primzahlpotenzen B Kryptographie und Kryptoanalyse Asymmetrische Verfahren RSA-Kryptosystem Beispiele für allgemeine Algorithmen: Quadratisches Sieb (Pomerance, 1981) Zahlkörpersieb (Anfang der 1990er Jahre) Grundlage beider Verfahren: Bestimme x, y Z, so dass gilt: Dann gilt: x 2 y 2 mod n x T ±y mod n n x 2 y 2 = (x y)(x + y) n F (x y) n F (x + y) ggt(x y, n) und ggt(x + y, n) sind Teiler von n Quadratisches Sieb für Faktorisierung von Zahlen bis ca. 110 Dezimalstellen schnellster Algorithmus Weiteres zur Faktorisierung: (RSA Factoring Challenge, bis 2007 aktualisiert) Kryptographie und Kryptoanalyse Asymmetrische Verfahren RSA-Kryptosystem Spezialfall des Chinesischen Restsatzes: für n = p q gilt a b mod n a b mod p a b mod q d.h.: n (a-b) p (a-b) q (a-b) Effiziente Berechnung von f(x) mod n mit Hilfe der Kenntnis von p, q möglich (y p = f(x) mod p, y q = f(x) mod q): y f(x) mod n y y p mod p y y q mod q Chinesischer Restealgorithmus (CRA): 1. bestimme u, v mit u p + v q = 1 (mittels EEA) 2. y = CRA(y p, y q ) = u p y q + v q y p mod n Kryptographie und Kryptoanalyse

22 5 Asymmetrische Verfahren RSA-Kryptosystem Schlüsselgenerierung (Konzelationssystem) Jeder Teilnehmer wählt zufällig und unabhängig 2 verschiedene Primzahlen p, q ungefähr gleicher Länge berechnet n = pq wählt zufällige Zahl k e mit 1 < k e < (n), ggt(k e, (n)) = 1-1 berechnet k d = k e mod (n) Öffentlicher Schlüssel: (n, k e ) Geheimer Schlüssel: (p, q, k d ) Signatursystem: k s statt k d und k t statt k e Kryptographie und Kryptoanalyse Asymmetrische Verfahren RSA-Kryptosystem RSA als Konzelationssystem (unsichere Variante) Teilnehmer A Schlüsselgenerierung öffentlich: n, k e privat: p, q, k d unsicherer Kanal Teilnehmer B bekannt: n, k e Entschlüsselung m = c k d mod n c Verschlüsselung c = m k e mod n (m < n) k k e d ke kd Nachzuweisen: m Ζn : m m m mod n Kryptographie und Kryptoanalyse Asymmetrische Verfahren RSA-Kryptosystem RSA als Signatursystem (unsichere Variante) Teilnehmer A Schlüsselgenerierung öffentlich: n, k t privat: p, q, k s unsicherer Kanal Teilnehmer B bekannt: n, k t Signieren s = m k smod n (m < n) m, s Testen m = s k t mod n? Kryptographie und Kryptoanalyse

23 5 Asymmetrische Verfahren RSA-Kryptosystem Effiziente Berechnung der Entschlüsselung mit Hilfe der Kenntnis von p und q Statt Berechnung von f(x) mod n: Berechnung von y p mod p und y q mod q und CRA(y p, y q ) Einmal zu berechnen: -1 k k e k d,p = k e mod (p-1) (c d,p ) c mod p -1 k k d,q = k e mod (q-1) (c d,q k e ) c mod q Entschlüsselung eines Schlüsseltextes c: k y p = c d,p mod p k y q = c d,q m = CRA(y p, y q ) mod q Kryptographie und Kryptoanalyse Asymmetrische Verfahren RSA-Kryptosystem Sicherheit Parameterwahl Stand der Faktorisierung Länge der verwendeten Primzahlen Anforderungen an die Primzahlen aufgrund spezieller Algorithmen Angriff auf RSA als Konzelationssystem bei zu kleinem öffentlichen Schlüssel sichere Verwendung Verwendung unterschiedlicher Module für unterschiedliche Nutzer (Verhinderung der Common Modulus Attack ) Verhinderung passiver Angriffe durch indeterministische Verschlüsselung Verhinderung aktiver Angriffe durch Hinzufügen von Redundanz Kryptographie und Kryptoanalyse Asymmetrische Verfahren RSA-Kryptosystem Wahl des öffentlichen Schlüssels (1) Bedingung: ggt(k e, (n)) = 1, aber frei wählbar Aus Effizienzgründen möglichst kurz, möglichst nur Nullen Möglicher Angriff auf RSA als Konzelationssystem für k e = 3: Ein Teilnehmer verschlüsselt Nachricht m für drei Teilnehmer mit k e = 3 und n 1 n 2 n 3 Angreifer beobachtet: c 1 = m k e mod n 1 = m 3 mod n 1 c 2 = m k e mod n 2 = m 3 mod n 2 c 3 = m k e mod n 3 = m 3 mod n 3 Kryptographie und Kryptoanalyse

24 5 Asymmetrische Verfahren RSA-Kryptosystem Wahl des öffentlichen Schlüssels (2) m 3 mod (n 1 n 2 n 3 ) = CRA(c 1, c 2, c 3 ) m 3 < n 1 n 2 n 3 m 3 mod (n 1 n 2 n 3 ) = m 3 Ermittlung von m: Ziehen der dritten Wurzel Allgemein: Angreifer müsste k e Verschlüsselungen derselben Nachricht beobachten Oftmals vorgeschlagen: Signatursystem: k t = 3 Konzelationssystem: k e = Kryptographie und Kryptoanalyse Asymmetrische Verfahren RSA-Kryptosystem Passive Angriffe RSA arbeitet deterministisch Konzelationssystem Angreifer: probeweise Verschlüsselung von Klartextblöcken und Vergleich mit beobachteten Schlüsseltextblöcken Abhilfe: Hinzunahme einer Zufallszahl r indeterministische Verschlüsselung der Nachrichten ( Randomisierung, Padding ) c = (r, m) k e mod n PKCS #1 v 1.5 (verwendet in SSL v 3.0): 1998 von Bleichenbacher gebrochen (gewählter Schlüsseltext-Klartext- Angriff) PKCS #1 v 2.1 basierend auf OAEP (Optimal Asymmetric Encryption Padding, Bellare und Rogaway 1995) Details: Kryptographie und Kryptoanalyse Asymmetrische Verfahren RSA-Kryptosystem Signatursystem Angreifer: Wahl einer Signatur, Berechnung der zugehörigen Nachricht mit m = s k t mod n Existentielles Brechen damit möglich Forderung: sinnvolle Texte dürfen sich nur mit sehr geringer Wahrscheinlichkeit ergeben Angriff wird zusätzlich erschwert durch Verwendung einer Hashfunktion (zur Verhinderung aktiver Angriffe) Kryptographie und Kryptoanalyse

25 5 Asymmetrische Verfahren RSA-Kryptosystem Aktive Angriffe (am Beispiel des Signatursystems) Grundlage: RSA ist Homomorphismus bzgl. Multiplikation Angreifer beobachtet Signaturen s 1, s 2 für Nachrichten m 1, m 2 berechnet Signatur s 3 = s 1 s 2 mod n für Nachricht m 3 = m 1 m 2 mod n (m 3 jedoch nicht frei wählbar) Aktiver Angriff von Davida (selektiv) Ziel: Signatur für gewählte Nachricht m 3 Angreifer -1 wählt m 1 und berechnet m 1 mod n -1 berechnet m 2 = m 3 m 1 mod n lässt m 1 und m 2 signieren erhält s 1, s 2 berechnet s 3 = s 1 s 2 mod n Kryptographie und Kryptoanalyse Asymmetrische Verfahren RSA-Kryptosystem Verbesserter aktiver Angriff von Moore (selektiv) Ziel: Signatur für gewählte Nachricht m 2 Angreifer * wählt r Z n, berechnet r -1 mod n berechnet m 1 = m 2 r k t mod n lässt m 1 signieren erhält s 1 berechnet s 2 = s 1 r -1 mod n Anwendung der Angriffe auf RSA als Konzelationssystem möglich Kryptographie und Kryptoanalyse Asymmetrische Verfahren RSA-Kryptosystem Anmerkung: Blinde Signaturen mit RSA Ausnutzen des Angriffs von Moore Empfänger der Signatur möchte Text unterschreiben lassen, ohne dass der Signierer den Text erfährt Anwendung z.b. für digitale Zahlungssysteme Ziel: blinde Signatur für Nachricht m 2 Teilnehmer * wählt r Z n, berechnet r -1 mod n blendet m 2 durch Multiplikation mit r k t: m 1 = m 2 r k t mod n lässt m 1 signieren erhält s 1 berechnet s 2 = s 1 r -1 mod n Kryptographie und Kryptoanalyse

26 5 Asymmetrische Verfahren RSA-Kryptosystem Verhinderung der skizzierten Angriffe Konzelationssystem: Hinzunahme einer Zufallszahl r Hinzufügen von Redundanz, die nach der Entschlüsselung geprüft wird: Anwendung einer kollisionsresistenten Hashfunktion h() auf Nachricht und Zufallszahl: c = (r, m, h(r, m)) k c Signatursystem: Anwendung einer kollisionsresistenten Hashfunktion h() auf die Nachricht: s = (h(m)) k s Kryptographie und Kryptoanalyse Asymmetrische Verfahren Rabin-Kryptosystem Rabin-Kryptosystem Michael O. Rabin: Digitalized Signatures and Public-Key Functions as Intractable as Factorization. MIT/LCS/TR-212, MIT Laboratory for Computer Science, January Beweisbar sicher gegen reine Schlüsseltextangriffe, aber der Beweis liefert auch einen gewählten Schlüsseltext-Angriff Sichere Verwendung möglich, Verschlüsselung effizienter als bei RSA Verwendung als Konzelations- und Signatursystem Kryptographie und Kryptoanalyse Asymmetrische Verfahren Rabin-Kryptosystem Mathematische Grundlagen Quadratische Reste modulo p (QR p ): QR p = {x p y * p : y 2 * x mod p} x: quadratischer Rest, y: Wurzel aus x -y: ebenfalls Wurzel aus x Elemente x p, für die diese Kongruenz nicht lösbar ist, heißen quadratische * Nichtreste modulo p Für Primzahlen 2gibt es genau quadratische Reste: Kryptographie und Kryptoanalyse

27 5 Asymmetrische Verfahren Rabin-Kryptosystem Entscheidung, ob eine Zahl ein quadratischer Rest ist, liefert das Euler-Kriterium: QR, falls 1 mod (effizient berechenbar m.h. der Square-and-Multiply-Methode) Wurzelziehen für p 3 mod 4: y z p 1 4 mod p (für p 1 mod 4 gibt es keine Lösungsformel, aber einen effizienten Algorithmus) Kryptographie und Kryptoanalyse Asymmetrische Verfahren Rabin-Kryptosystem Quadratische Reste modulo, (QR n ) Laut Chinesischem Restsatz gilt: y 2 x mod n y 2 x mod p y 2 x mod q Lösbarkeit der quadratischen Kongruenzen modulo p und modulo q mittels Euler-Kriterium überprüfen Wurzeln modulo p ( ) und modulo q ( ) bestimmen CRA(, ) liefert die vier Wurzeln modulo n: CRA, mit mod und mod CRA, mit mod und mod CRA, mit mod und mod CRA, mit mod und mod Kryptographie und Kryptoanalyse Asymmetrische Verfahren Rabin-Kryptosystem Schlüsselgenerierung Jeder Teilnehmer wählt zufällig und unabhängig 2 verschiedene Primzahlen p, q mit 3 mod 4 (vereinfacht die Entschlüsselung) berechnet n = pq Öffentlicher Schlüssel: n Geheimer Schlüssel: p, q Verschlüsselung 0, 1,, : mod Entschlüsselung Empfänger bestimmt die vier Quadratwurzeln aus c Nachteil: unklar, welche Wurzel die Nachricht ist Kryptographie und Kryptoanalyse

28 5 Asymmetrische Verfahren Rabin-Kryptosystem Sicherheit Leicht zu zeigen: Wer faktorisieren kann, kann das Rabin- Kryptosystem brechen. Zu zeigen: Wer das Rabin-Kryptosystem brechen kann, kann faktorisieren. Annahme: Es gibt einen Algorithmus R, der das Rabin-Kryptosystem bricht R liefert zu jedem c eine Quadratwurzel m R c. Angreifer: wählt berechnet mod und m R c :neues m wählen, Angriff wiederholen : falls ggt, 1, liefert der ggt p oder q nach einem Durchlauf n mit Wahrscheinlichkeit ½ faktorisiert beweisbar sicher gegen diesen Angriff Kryptographie und Kryptoanalyse Asymmetrische Verfahren Rabin-Kryptosystem Begründung für Möglichkeit der Faktorisierung tatsächliche Nachricht m ist eine der vier Wurzeln CRA(, ) berechnetes m R c erfüllt eine der folgenden Bedingungen: (1) mod mod (2) mod mod (3) mod mod (4) mod mod damit gilt: (1) ggt, (2) ggt, p (3) ggt, q (4) ggt, 1 Kryptographie und Kryptoanalyse Asymmetrische Verfahren Rabin-Kryptosystem Genügt diese beweisbare Sicherheit? Betrachtet wurde nur ein passiver Angriff Aus dem Beweis lässt sich jedoch der folgende gewählte Schlüsseltext-Angriff herleiten: Angreifer: wählt berechnet mod lässt sich entschlüsseln Kann mit Wahrscheinlichkeit ½ faktorisieren! Einführen von Redundanz (SAEP) verhindert diesen aktiven Angriff und erlaubt die Bestimmung der tatsächlichen Nachricht unter den 4 Wurzeln Kryptographie und Kryptoanalyse

29 5 Asymmetrische Verfahren Rabin-Kryptosystem Sichere Verwendung des Rabin-Kryptosystems Dan Boneh: Simplified OAEP for the RSA and Rabin Functions. CRYPTO 2001, Springer, LNCS 2139, pp , SAEP: Rabin, SAEP+: Rabin, RSA Verfahren beschreiben das Hinzufügen von Redundanz vor der Verschlüsselung (Padding) H, G: Hashfunktionen Effizienz: Padding im Vergleich zu den kryptographischen Operationen vernachlässigbar Abbildung aus [Bone_01] Kryptographie und Kryptoanalyse Asymmetrische Verfahren ECC Kryptosysteme auf Basis elliptischer Kurven Elliptic Curve Cryptography (ECC) V. Miller: Use of Elliptic Curves in Cryptography. Crypto 85, Springer, LNCS 218, , N. Koblitz: Elliptic Curve Cryptosystems. Mathematics of Computation, 48, , Grundlage: Auf elliptischen Kurven können (additive) abelsche Gruppen definiert werden, in denen das diskrete Logarithmus Problem (elliptic curve discrete logarithm problem, ECDLP) sehr schwer zu lösen ist (vermutlich schwerer als in multiplikativen Gruppen von Körpern gleicher Größe). Kryptographie und Kryptoanalyse Asymmetrische Verfahren ECC Elliptische Kurven über Eine elliptische Kurve über den reellen Zahlen ist die Menge aller Punkte x, die eine kubische Gleichung der Form y 2 = x 3 + ax + b mit a, b erfüllen sowie der Punkt im Unendlichen O. Bedeutung für Kryptographie: nicht-singuläre elliptische Kurven Nullstellen des Polynoms dürfen nicht zusammenfallen Bedingung: Diskriminante 0, d.h.: 4a b 2 0 Kryptographie und Kryptoanalyse

30 5 Asymmetrische Verfahren ECC Beispiele für elliptische Kurven über den reellen Zahlen (1) y 2 = x 3-7x + 1 y 2 = x 3-8x (-7) = Diskriminante: 4 (-8) = 652 Kryptographie und Kryptoanalyse Asymmetrische Verfahren ECC Beispiele für elliptische Kurven über den reellen Zahlen (2) y 2 = x 3-3x + 2 y 2 = x 3 4 (-3) = 0 Diskriminante: 4 (0) = 0 Kryptographie und Kryptoanalyse Asymmetrische Verfahren ECC Definition einer (additiven) abelschen Gruppe Menge der Punkte, welche die Gleichung erfüllen sowie Punkt im Unendlichen O als neutrales Element Operation + auf dieser Menge: Addition von Punkten E sei eine elliptische Kurve; Punkte P, Q, R E Folgende Axiome gelten: Abgeschlossenheit: P + Q = R Assoziativität: (P + Q) + R = P + (Q + R) Neutrales Element: P + O = O + P = P Inverses Element : P + (-P) = O Kommutativität: P + R = R + P Kryptographie und Kryptoanalyse

31 5 Asymmetrische Verfahren ECC Punktaddition R = P + Q mit Q -P R Q P y 2 = x 3-7x + 0,5 R = P + Q Gerade durch P und Q legen Schnittpunkt der Geraden mit der Kurve ergibt R Spiegelung von R an der x-achse ergibt R = P + Q Kryptographie und Kryptoanalyse Asymmetrische Verfahren ECC Punktaddition R = P + Q mit Q = -P P R = P + -P = O -P y 2 = x 3-7x + 0,5 Gerade durch P und P: Parallele zur y-achse Kein weiterer Schnittpunkt mit der Kurve Als Schnittpunkt definiert: O Kryptographie und Kryptoanalyse Asymmetrische Verfahren ECC Punktaddition R = P + P =2P mit y P 0 P R y 2 = x 3-8x + 10 R = 2P Tangente im Punkt P Schnittpunkt der Tangente mit der Kurve ergibt R Spiegelung von R an der x-achse ergibt R = 2P Kryptographie und Kryptoanalyse

32 5 Asymmetrische Verfahren ECC Punktaddition R = P + P =2P mit y P = 0 R = 2 P = P + - P = O P y 2 = x 3-8x + 10 Tangente im Punkt P: Parallele zur y-achse Kein Schnittpunkt der Tangente mit der Kurve Sonderfall von R = P + -P: R = 2P = P + -P = O Kryptographie und Kryptoanalyse Asymmetrische Verfahren ECC Berechnung der Koordinaten des Punktes R = (x R, y R ) P + Q = R mit P = (x P, y P ), Q = (x Q, y Q ); P Q Anstieg s der Geraden durch P und Q: s = (y Q y P )/(x Q x P ) x R = s 2 x P x Q y R = - y P + s(x P x R ) P + P = 2P = R mit P = (x P, y P ), y P 0 Anstieg s der Tangente am Punkt P : 2 s = (3x P + a)/(2y P ) x R = s 2 2x P y R = - y P + s(x P x R ) Kryptographie und Kryptoanalyse Asymmetrische Verfahren ECC Elliptische Kurven über endlichen Körpern Für Kryptographie relevant Möglichkeiten: GF(p) oder GF(2 m ) E(p; a, b): y 2 = x 3 + ax + b mod p; a, b p, p > 3 Menge aller Punkte, die diese Gleichung erfüllen, sowie O Rechenoperationen äquivalent (nun jedoch mod p) additive abelsche Gruppe Bedingung wiederum: Nullstellen dürfen nicht zusammenfallen (4a b 2 mod p 0) Kryptographie und Kryptoanalyse

33 5 Asymmetrische Verfahren ECC Punkte der elliptischen Kurve E(p; a, b) Quadratische Reste QR: * * QR p = {x p y p : y 2 x mod p} x: quadratischer Rest, y: Wurzel aus x -y: ebenfalls Wurzel aus x Ermitteln der Punkte von E(p; a, b): Berechnung von z = x 3 + ax + b mod p für x p z = 0: (x,0) ist ein Punkt von E(p; a, b) z 0: Prüfen, ob es sich um einen quadratischen Rest handelt z QR p z = y 2 Wurzelziehen (x,y) und (x, -y) sind Punkte von E(p; a, b) z QR p keine Punkte von E(p; a, b) gefunden Kryptographie und Kryptoanalyse Asymmetrische Verfahren ECC Prüfen, ob z QR p (p > 2) Legendre-Symbol: 0, falls z 0 mod p z 1, falls z QR p p -1, falls z QRp (z QNR p ) Euler-Kriterium: z z p p 1 2 mod p Wurzelziehen für p 3 mod 4: y z p 1 4 mod p Kryptographie und Kryptoanalyse Asymmetrische Verfahren ECC Beispiel: y 2 = x 3 + x + 6 mod 11 Diskriminante: mod 11 0 x z = x 3 + x + 6 mod 11 p+1 z p y 4 = z mod p , , , , , ,9 Punkte dieser elliptischen Kurve: {(2,4),(2,7), (3,5),(3,6), (5,2), (5,9), (7,2),(7,9), (8,3),(8,8), (10,2),(10,9), O} Kryptographie und Kryptoanalyse

34 5 Asymmetrische Verfahren ECC Beispiel: y 2 = x 3 + x + 6 mod 11 Punkte dieser elliptischen Kurve: {(2,4), (2,7), (3,5), (3,6), (5,2), (5,9), (7,2), (7,9), (8,3), (8,8), (10,2), (10,9), O} y x Kryptographie und Kryptoanalyse Asymmetrische Verfahren ECC Operationen auf elliptischen Kurven E(p; a, b) Punktaddition, Punktverdopplung; nun mod p Berechnung des Vielfachen eines Punktes R = cp: Double-and-(Add or Subtract)-Algorithmus Darstellung des Faktors: i c c i 2, c i {-1, 0, 1} i 0 R = O; for (i = l-1; i 0; i--) { R = 2R; if (c i == 1) then R = R + P mod p; else if (c i == -1) then R = R - P mod p; } l 1 Kryptographie und Kryptoanalyse Asymmetrische Verfahren ECC Effizienzverbesserung durch Darstellung des Exponenten in nichtadjazenter Form (NAF) es gibt keine zwei aufeinanderfolgenden Stellen 0 Überführen einer Binärdarstellung in NAF: von rechts beginnend ersetzen (0, 1, 1,, 1, 1) (1, 0, 0,, 0, -1) Darstellung in NAF enthält weniger Einsen weniger Additionen erforderlich Kryptographie und Kryptoanalyse

35 5 Asymmetrische Verfahren ECC Problem des diskreten Logarithmus auf elliptischen Kurven Durch einen Punkt P mit Ordnung n erzeugte additive zyklische Untergruppe von E(p; a, b): P = {O, P, 2P, 3P,, (n-1)p} Ordnung eines Punktes: order P = n; kleinste natürliche Zahl n mit np = O Gegeben seien eine elliptische Kurve E über GF(p), ein Punkt P E(p; a, b) sowie ein Punkt Q P. ECDLP: Bestimmung von d mit Q = dp. ECDLP Kryptographie und Kryptoanalyse Asymmetrische Verfahren ECC Parameter für ECC Öffentlich bekannte Parameter: Primzahl p, Kurve E(p; a, b), Punkt P und Ordnung n von P Geheimer Schlüssel: k d mit 1 k d < n Öffentlicher Schlüssel: Q = k d P (= k e ) Relevant bzgl. Sicherheit: Ordnung E(p; a, b) der elliptischen Kurven (Punktanzahl) sowie Ordnung zufällig gewählter Punkte E(p; a, b) [1, 2p + 1] Theorem von Hasse: p p E(p; a, b) p p (Hasse-Intervall) Klassen schwacher Kurven vermeiden Kryptographie und Kryptoanalyse Asymmetrische Verfahren ECC ECDH: Protokoll für Schlüsselaustausch Basiert auf Diffie-Hellman-Schlüsselaustausch Öffentlich bekannte Parameter: Primzahl p, Kurve E(p; a, b), Punkt P, order P = n Teilnehmer A unsicherer Kanal Teilnehmer B p, E(p; a, b), P, n p, E(p; a, b), P, n wählt x A mit 1 x A n-1 wählt x B mit 1 x B n-1 (x A geheim) (x B geheim) berechnet Q A = x A P mod p Q A Q B Q B = x B P mod p k A,B = x A Q B mod p enc(k A,B, m) k A,B = x B Q A mod p Kryptographie und Kryptoanalyse

36 5 Asymmetrische Verfahren ECC ElGamal Verschlüsselung mit elliptischen Kurven Schlüsselgenerierung Als öffentliche Parameter gegeben: p, E(p; a, b) über p, P E(p; a, b), order P = n Jeder Teilnehmer wählt als seinen geheimen Dechiffrierschlüssel zufällige Zahl k d mit 1 k d n-1 berechnet als öffentlichen Schlüssel (k e ) einen Punkt Q auf E(p; a, b) mit Q = k d P mod p Kryptographie und Kryptoanalyse Asymmetrische Verfahren ECC Verschlüsselung der Nachricht m (B A) B kennt öffentliche Parameter und Schlüssel Q von A stellt m als Punkt M E(p; a, b) dar wählt Zufallszahl r mit 1 r n-1 berechnet c 1 = rp mod p c 2 = M + rq mod p sendet c = (c 1, c 2 ) an A Entschlüsselung A berechnet M = c 2 k d c 1 mod p ermittelt m aus M Nachricht muss als Punkt der elliptischen Kurve dargestellt werden Expansionsfaktor ~4 Kryptographie und Kryptoanalyse Asymmetrische Verfahren ECC Relevanz von ECC Vorteil: geringere Schlüssellängen im Vergleich zu anderen kryptographischen Systemen Interessant für Einsatz in Umgebungen mit begrenzter Kapazität (Chipkarten, zusätzlich Punkt(de)kompression) Alternative zu RSA In verschiedenen Standards berücksichtigt, z.b. ANSI X9.62, FIPS 186-2, IEEE , ISO/IEC Beispiele: ECDSA (Elliptic Curve Digital Signature Algorithm) ECIES (Elliptic Curve Integrated Encryption Scheme) Kryptographie und Kryptoanalyse

37 5 Asymmetrische Verfahren ECC Reduktion des Speicherbedarfs für Punkte E(p; a,b): y 2 = x 3 + ax + b mod p (x,y) œ E, y 2 ª 0modp:(x,y 1 ), (x,y 2 ) œ E, y 2 ª - y 1 mod p Punkt-Kompression PK(x,y) E(p; a,b) \ {O} Z p μ Z 2 PK(x,y) = (x, y mod 2) Punkt-Dekompression PD(x,i) z = x 3 + ax + b mod p y = z mod p if (y ª i mod 2) then PD(x,i) = (x,y) else PD(x,i) = (x,-y) Kryptographie und Kryptoanalyse Asymmetrische Verfahren ECC ECIES (vereinfacht, nur Verschlüsselung) Öffentlich bekannte Parameter: Primzahl p, Kurve E(p; a, b), Punkt P und Ordnung n von P Geheimer Schlüssel: k d mit 1 k d < n Öffentlicher Schlüssel: Q = k d P Verschlüsselung von m œ Z p * Sender wählt Zufallszahl r mit 1 r n-1 berechnet c 1 = PK(rP mod p) c 2 = m x 0 mod p mit (x 0, y 0 ) = r Q mod p, x 0 0 Entschlüsselung PD(c 1 ) = rp mod p (x 0, y 0 ) = k d rpmod p -1 m = c 2 x 0 mod p Kryptographie und Kryptoanalyse

Public-Key-Verschlüsselung und Diskrete Logarithmen

Public-Key-Verschlüsselung und Diskrete Logarithmen Public-Key-Verschlüsselung und Diskrete Logarithmen Carsten Baum Institut für Informatik Universität Potsdam 10. Juni 2009 1 / 30 Inhaltsverzeichnis 1 Mathematische Grundlagen Gruppen, Ordnung, Primitivwurzeln

Mehr

Einführung in die asymmetrische Kryptographie

Einführung in die asymmetrische Kryptographie !"#$$% Einführung in die asymmetrische Kryptographie Dipl.-Inform. Mel Wahl Prof. Dr. Christoph Ruland Universität Siegen Institut für digitale Kommunikationssysteme Grundlagen Verschlüsselung Digitale

Mehr

Public Key Kryptographie

Public Key Kryptographie 3. Juni 2006 1 Algorithmen für Langzahlen 1 RSA 1 Das Rabin-Kryptosystem 1 Diskrete Logarithmen Grundlagen der PK Kryptographie Bisher: Ein Schlüssel für Sender und Empfänger ( Secret-Key oder symmetrische

Mehr

Einführung in die Kryptographie

Einführung in die Kryptographie Ä Johannes Buchmann Einführung in die Kryptographie Dritte, erweiterte Auflage Inhaltsverzeichnis 1. Einleitung 1 2. Ganze Zahlen 3 2.1 Grundlagen 3 2.2 Teilbarkeit 4 2.3 Darstellung ganzer Zahlen 5 2.4

Mehr

Elliptic Curve Cryptography

Elliptic Curve Cryptography Elliptic Curve Cryptography Institut für Informatik Humboldt-Universität zu Berlin 10. November 2013 ECC 1 Aufbau 1 Asymmetrische Verschlüsselung im Allgemeinen 2 Elliptische Kurven über den reellen Zahlen

Mehr

Kryptographie - eine mathematische Einführung

Kryptographie - eine mathematische Einführung Kryptographie - eine mathematische Einführung Rosa Freund 28. Dezember 2004 Überblick Grundlegende Fragestellungen Symmetrische Verschlüsselung: Blockchiffren, Hashfunktionen

Mehr

Kryptographie und Komplexität

Kryptographie und Komplexität Kryptographie und Komplexität Einheit 5 Kryptosysteme auf der Basis diskreter Logarithmen 1. Diffie Hellman Schlüsselaustausch 2. El Gamal Systeme 3. Angriffe auf Diskrete Logarithmen 4. Elliptische Kurven

Mehr

Kryptographie und Komplexität

Kryptographie und Komplexität Kryptographie und Komplexität Einheit 5.2 ElGamal Systeme 1. Verschlüsselungsverfahren 2. Korrektheit und Komplexität 3. Sicherheitsaspekte Das ElGamal Verschlüsselungsverfahren Public-Key Verfahren von

Mehr

Public-Key Kryptographie mit dem RSA Schema. Torsten Büchner

Public-Key Kryptographie mit dem RSA Schema. Torsten Büchner Public-Key Kryptographie mit dem RSA Schema Torsten Büchner 7.12.2004 1.Einleitung 1. symmetrische-, asymmetrische Verschlüsselung 2. RSA als asymmetrisches Verfahren 2.Definition von Begriffen 1. Einwegfunktionen

Mehr

Kryptographie mit elliptischen Kurven

Kryptographie mit elliptischen Kurven Kryptographie mit elliptischen Kurven Dr. Dirk Feldhusen SRC Security Research & Consulting GmbH Bonn - Wiesbaden Inhalt Elliptische Kurven! Grafik! Punktaddition! Implementation Kryptographie! Asymmetrische

Mehr

Asymmetrische Kryptographie u

Asymmetrische Kryptographie u Asymmetrische Kryptographie u23 2015 Simon, Florob e.v. https://koeln.ccc.de Cologne 2015-10-05 1 Zahlentheorie Modulare Arithmetik Algebraische Strukturen Referenzprobleme 2 Diffie-Hellman Diffie-Hellman-Schlüsselaustausch

Mehr

Technikseminar SS2012

Technikseminar SS2012 Technikseminar SS2012 ECC - Elliptic Curve Cryptography Kryptosysteme basierend auf elliptischen Kurven 11.06.2012 Gliederung Was ist ECC? ECC und andere Verfahren Diffie-Hellman-Schlüsselaustausch Funktionsweise

Mehr

Kryptographie und Komplexität

Kryptographie und Komplexität Kryptographie und Komplexität Einheit 4.4 Semantische Sicherheit 1. Sicherheit partieller Informationen 2. Das Verfahren von Rabin 3. Sicherheit durch Randomisierung Semantische Sicherheit Mehr als nur

Mehr

Kryptographische Protokolle

Kryptographische Protokolle Kryptographische Protokolle Lerneinheit 4: Schlüsselvereinbarung Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen Sommersemester 2017 8.5.2017 Einleitung Einleitung In dieser Lerneinheit

Mehr

3: Zahlentheorie / Primzahlen

3: Zahlentheorie / Primzahlen Stefan Lucks Diskrete Strukturen (WS 2009/10) 96 3: Zahlentheorie / Primzahlen 3: Zahlentheorie / Primzahlen Stefan Lucks Diskrete Strukturen (WS 2009/10) 97 Definition 37 (Teiler, Vielfache, Primzahlen,

Mehr

Einführung in die Kryptographie

Einführung in die Kryptographie Johannes Buchmann Einführung in die Kryptographie Fünfte Auflage ~ Springer Inhaltsverzeichnis 1. Einleitung... 1 2. Ganze Zahlen............................................. 3 2.1 Grundlagen... 3 2.2

Mehr

Kryptographie und Komplexität

Kryptographie und Komplexität Kryptographie und Komplexität Einheit 4 Public Key Kryptographie mit RSA 1. Ver- und Entschlüsselung 2. Schlüsselerzeugung und Primzahltests 3. Angriffe auf das RSA Verfahren 4. Sicherheit von RSA Probleme

Mehr

Kapitel 3 Elementare Zahletheorie

Kapitel 3 Elementare Zahletheorie Kapitel 3 Elementare Zahletheorie 89 Kapitel 3.1 Ganze Zahlen, Gruppen und Ringe 90 Die ganzen Zahlen Menge der ganzen Zahlen Z={..., 3, 2, 1,0,1,2,3,...} Es gibt zwei Operationen Addition: Z Z Z, (a,b)

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 12.05.2014 1 / 26 Überblick 1 Hashfunktionen Erinnerung Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel:

Mehr

Kryptographie und Kryptoanalyse Literaturhinweise

Kryptographie und Kryptoanalyse Literaturhinweise Kryptographie und Kryptoanalyse Literaturhinweise 21. April 2015 Begleitbuch inkl. Übungen und Musterlösungen: [1] Auswahl weiterer Bücher: [5, 10, 25, 30, 41, 45] Schlüsselaustausch: [9] Sicherheit kryptographischer

Mehr

Elliptische Kurven. Definition Elliptische Kurve nach Willems Sei K ein Körper der Charakteristik ungleich 2 und 3. Eine Polynomgleichung der Form

Elliptische Kurven. Definition Elliptische Kurve nach Willems Sei K ein Körper der Charakteristik ungleich 2 und 3. Eine Polynomgleichung der Form Elliptische Kurven Einstieg: - Elliptische Kurven sind spezielle algebraische Kurven, auf denen geometrisch eine Addition definiert ist. - Diese Addition spielt in der Kryptographie eine wichtige Rolle,

Mehr

Aufgabe der Kryptografie

Aufgabe der Kryptografie Aufgabe der Kryptografie Eve möchte die Unterhaltung mithören und/oder ausgetauschte Informationen ändern. Alice & Bob kommunzieren über einen unsicheren Kanal. Alice & Bob nutzen Verschlüsselung und digitale

Mehr

Übungen zur Vorlesung Systemsicherheit

Übungen zur Vorlesung Systemsicherheit Übungen zur Vorlesung Systemsicherheit Asymmetrische Kryptographie Tilo Müller, Reinhard Tartler, Michael Gernoth Lehrstuhl Informatik 1 + 4 24. November 2010 c (Lehrstuhl Informatik 1 + 4) Übungen zur

Mehr

Einführung in die Kryptographie. 20.6.2011, www.privacyfoundation.ch

Einführung in die Kryptographie. 20.6.2011, www.privacyfoundation.ch Einführung in die Kryptographie 20.6.2011, www.privacyfoundation.ch Kryptographie Name kryptós: verborgen, geheim gráphein: schreiben Verschlüsselung Text so umwandeln, dass man ihn nur noch entziffern/lesen

Mehr

Public Key Kryptographie

Public Key Kryptographie 4. Dezember 2007 Outline 1 Einführung 2 3 4 Einführung 1976 Whitefield Diffie und Martin Hellman 2 Schlüsselprinzip Asymmetrische Verschlüsselungsverfahren public Key private Key Anwendung E-Mail PGP openpgp

Mehr

6.2 Asymmetrische Verschlüsselung

6.2 Asymmetrische Verschlüsselung 6.2 Asymmetrische Verschlüsselung (asymmetric encryption, public-key encryption) Prinzip (Diffie, Hellman, Merkle 1976-78): Statt eines Schlüssels K gibt es ein Schlüsselpaar K E, K D zum Verschlüsseln

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 15.05.2017 1 / 25 Überblick 1 Hashfunktionen Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel: RSA

Mehr

Literatur. ISM SS 2017 Teil 8/Asymmetrische Verschlüsselung

Literatur. ISM SS 2017 Teil 8/Asymmetrische Verschlüsselung Literatur [8-1] Beutelspacher, A.; Schwenk, J.; Wolfenstetter, K.-D.: Moderne Verfahren der Kryptographie. 4. Auflage, Vieweg 2001 [8-2] Schmeh, Klaus: Kryptografie. dpunkt, 4. Auflage, 2009 [8-3] Schneier,

Mehr

Kryptograhie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik

Kryptograhie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik Kryptograhie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik Übersicht Zwecke der Krytographie Techniken Symmetrische Verschlüsselung( One-time Pad,

Mehr

Probabilistische Primzahltests

Probabilistische Primzahltests 23.01.2006 Motivation und Überblick Grundsätzliches Vorgehen Motivation und Überblick Als Primzahltest bezeichnet man ein mathematisches Verfahren, mit dem ermittelt wird, ob eine gegebene Zahl eine Primzahl

Mehr

Elliptische Kurven. dp := P P. als die d-fache Skalarmultiplikation von P, so erhalten wir alle Gruppenelemente aus G mittels

Elliptische Kurven. dp := P P. als die d-fache Skalarmultiplikation von P, so erhalten wir alle Gruppenelemente aus G mittels Elliptische Kurven Mitte der 1980 ern schlugen Miller 11 und Koblitz 12 unabhängig voneinander vor elliptische Kurven für die Kryptographie einzusetzen. Analog zu den Diskreten-Logarithmus-Verfahren, bei

Mehr

Proseminar Datensicherheit & Versicherungsmathematik RSA-Verfahren

Proseminar Datensicherheit & Versicherungsmathematik RSA-Verfahren Proseminar Datensicherheit & Versicherungsmathematik RSA-Verfahren Herwig Stütz 2007-11-23 1 Inhaltsverzeichnis 1 Einführung 2 2 Das RSA-Verfahren 2 2.1 Schlüsselerzeugung.................................

Mehr

Übung GSS Blatt 6. SVS Sicherheit in Verteilten Systemen

Übung GSS Blatt 6. SVS Sicherheit in Verteilten Systemen Übung GSS Blatt 6 SVS Sicherheit in Verteilten Systemen 1 Einladung zum SVS-Sommerfest SVS-Sommerfest am 12.07.16 ab 17 Uhr Ihr seid eingeladen! :-) Es gibt Thüringer Bratwürste im Brötchen oder Grillkäse

Mehr

4 Kryptologie. Übersicht

4 Kryptologie. Übersicht 4 Kryptologie Übersicht 4.1 Der erweiterte euklidische Algorithmus................................ 38 4.2 Rechnen mit Restklassen modulo p................................... 39 4.3 Der kleine Satz von

Mehr

Kryptographie. ein erprobter Lehrgang. AG-Tagung Informatik, April 2011 Alfred Nussbaumer, LSR für NÖ. LSR für NÖ, 28. April 2011 Alfred Nussbaumer

Kryptographie. ein erprobter Lehrgang. AG-Tagung Informatik, April 2011 Alfred Nussbaumer, LSR für NÖ. LSR für NÖ, 28. April 2011 Alfred Nussbaumer Kryptographie ein erprobter Lehrgang AG-Tagung Informatik, April 2011 Alfred Nussbaumer, LSR für NÖ 1 Variante: Kryptographie in 5 Tagen Ein kleiner Ausflug in die Mathematik (Primzahlen, Restklassen,

Mehr

Kryptographie und elliptische Kurven - oder: Wie macht man Mathematikern das Leben schwer?

Kryptographie und elliptische Kurven - oder: Wie macht man Mathematikern das Leben schwer? Kryptographie und elliptische Kurven - oder: Wie macht man Mathematikern das Leben schwer? Harold Gutch logix@foobar.franken.de KNF Kongress 2007, 25. 11. 2007 Outline Worum geht es überhaupt? Zusammenhang

Mehr

Vorlesung Diskrete Strukturen Gruppe und Ring

Vorlesung Diskrete Strukturen Gruppe und Ring Vorlesung Diskrete Strukturen Gruppe und Ring Bernhard Ganter Institut für Algebra TU Dresden D-01062 Dresden bernhard.ganter@tu-dresden.de WS 2009/10 1 Bernhard Ganter, TU Dresden Modul Einführung in

Mehr

RSA Verfahren. Kapitel 7 p. 103

RSA Verfahren. Kapitel 7 p. 103 RSA Verfahren RSA benannt nach den Erfindern Ron Rivest, Adi Shamir und Leonard Adleman war das erste Public-Key Verschlüsselungsverfahren. Sicherheit hängt eng mit der Schwierigkeit zusammen, große Zahlen

Mehr

Digitale Signaturen. Einführung und das Schnorr Signatur Schema. 1 Digitale Signaturen Einführung & das Schnorr Signatur Schema.

Digitale Signaturen. Einführung und das Schnorr Signatur Schema. 1 Digitale Signaturen Einführung & das Schnorr Signatur Schema. Digitale Signaturen Einführung und das Schnorr Signatur Schema 1 Übersicht 1. Prinzip der digitalen Signatur 2. Grundlagen Hash Funktionen Diskreter Logarithmus 3. ElGamal Signatur Schema 4. Schnorr Signatur

Mehr

Vortrag zum Proseminar: Kryptographie

Vortrag zum Proseminar: Kryptographie Vortrag zum Proseminar: Kryptographie Thema: Oliver Czernik 6.12.2005 Historie Michael Rabin Professor für Computerwissenschaft Miller-Rabin-Primzahltest Januar 1979 April 1977: RSA Asymmetrisches Verschlüsselungssystem

Mehr

Das RSA-Verfahren. Proseminar Kryptographische Protokolle SS Armin Litzel

Das RSA-Verfahren. Proseminar Kryptographische Protokolle SS Armin Litzel in der Praxis Proseminar Kryptographische Protokolle SS 2009 5.5.2009 in der Praxis Gliederung 1 Grundlegendes über RSA 2 in der Praxis Allgemeine Vorgehensweise zur Verschlüsselung Signieren mit RSA 3

Mehr

Einführung in. Elliptische Kurven. Seminarvortrag im Rahmen des Proseminars. Public-Key Kryptographie. Björn Mühlenfeld

Einführung in. Elliptische Kurven. Seminarvortrag im Rahmen des Proseminars. Public-Key Kryptographie. Björn Mühlenfeld Einführung in Elliptische Kurven Seminarvortrag im Rahmen des Proseminars Public-Key Kryptographie Björn Mühlenfeld 10.01.2006 Übersicht 1/15 Definition Addition auf elliptischen Kurven Elliptische Kurven

Mehr

Betriebssysteme und Sicherheit

Betriebssysteme und Sicherheit Betriebssysteme und Sicherheit Signatursysteme WS 2013/2014 Dr.-Ing. Elke Franz Elke.Franz@tu-dresden.de 1 Überblick 1 Prinzip digitaler Signatursysteme 2 Vergleich symmetrische / asymmetrische Authentikation

Mehr

Lösungen zu. Grundlagen der Kryptologie SS Hochschule Konstanz. Dr.-Ing. Harald Vater. Giesecke & Devrient GmbH Prinzregentenstraße 159

Lösungen zu. Grundlagen der Kryptologie SS Hochschule Konstanz. Dr.-Ing. Harald Vater. Giesecke & Devrient GmbH Prinzregentenstraße 159 Lösungen zu Grundlagen der Kryptologie SS 008 Hochschule Konstanz Dr.-Ing. Harald Vater Giesecke & Devrient GmbH Prinzregentenstraße 159 D-81677 München Tel.: +49 89 4119-1989 E-Mail: hvater@htwg-konstanz.de

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 06.05.2013 1 / 25 Überblick 1 Hashfunktionen Erinnerung Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel:

Mehr

1 Das RSA-Verfahren und seine algorithmischen Grundlagen

1 Das RSA-Verfahren und seine algorithmischen Grundlagen 1 Das RSA-Verfahren und seine algorithmischen Grundlagen Das wichtigste d. h., am weitesten verbreitete und am meisten analysierte asymmetrische Verfahren ist das RSA-Verfahren, benannt nach seinen Erfindern

Mehr

Vorlesung Datensicherheit. Sommersemester 2010

Vorlesung Datensicherheit. Sommersemester 2010 Vorlesung Datensicherheit Sommersemester 2010 Harald Baier Kapitel 3: Hashfunktionen und asymmetrische Verfahren Inhalt Hashfunktionen Asymmetrische kryptographische Verfahren Harald Baier Datensicherheit

Mehr

Wiederholung. Symmetrische Verfahren: klassische Verfahren / grundlegende Prinzipien: Substitution, Transposition, One-Time-Pad DES AES

Wiederholung. Symmetrische Verfahren: klassische Verfahren / grundlegende Prinzipien: Substitution, Transposition, One-Time-Pad DES AES Wiederholung Symmetrische Verfahren: klassische Verfahren / grundlegende Prinzipien: Substitution, Transposition, One-Time-Pad DES AES Mathematische Grundlagen: algebraische Strukturen: Halbgruppe, Monoid,

Mehr

Zusammenfassung der Vorlesung vom 15.4.2015

Zusammenfassung der Vorlesung vom 15.4.2015 Zusammenfassung der Vorlesung vom 15.4.2015 Für welche Schutzziele ist Kryptographie der geeignete Schutzmechanismus? Was genau kann erreicht werden (verhindern / entdecken)? Was besagt das Prinzip von

Mehr

$Id: ring.tex,v /05/03 15:13:26 hk Exp $

$Id: ring.tex,v /05/03 15:13:26 hk Exp $ $Id: ring.tex,v 1.13 2012/05/03 15:13:26 hk Exp $ 3 Ringe 3.1 Der Ring Z m In der letzten Sitzung hatten wir die sogenannten Ringe eingeführt, dies waren Mengen A versehen mit einer Addition + und einer

Mehr

Großer Beleg. Arithmetische Optimierung eines kryptographischen Algorithmus für moderne FPGA-Architekturen. Peter Heinzig. 17.

Großer Beleg. Arithmetische Optimierung eines kryptographischen Algorithmus für moderne FPGA-Architekturen. Peter Heinzig. 17. Großer Beleg Arithmetische Optimierung eines kryptographischen Algorithmus für moderne FPGA-Architekturen Peter Heinzig 17. Januar 2011 1/23 Peter Heinzig Großer Beleg Überblick Einleitung 1 Einleitung

Mehr

Das RSA Kryptosystem

Das RSA Kryptosystem Kryptografie Grundlagen RSA Institut für Mathematik Technische Universität Berlin Kryptografie Grundlagen RSA mit geheimem mit öffentlichem Schlüssel Realisierung Kryptografie mit geheimem Schlüssel Alice

Mehr

Public Key Kryptographie mit dem RSA Schema. Karsten Fischer, Sven Kauer

Public Key Kryptographie mit dem RSA Schema. Karsten Fischer, Sven Kauer Public Key Kryptographie mit dem RSA Schema Karsten Fischer, Sven Kauer Gliederung I. Historischer Hintergrund II. Public Key Kryptographie III. Beispielszenario IV. Einweg-Funktion V. RSA Verfahren VI.

Mehr

RSA Äquivalenz der Parameter

RSA Äquivalenz der Parameter RSA Kryptosystem Wurde 1977 von Rivest, Shamir und Adleman erfunden. Genaue Beschreibung im PKCS #1. De-facto Standard für asymmetrische Kryptosysteme. Schlüsselerzeugung: Seien p, q zwei verschiedene,

Mehr

Regine Schreier

Regine Schreier Regine Schreier 20.04.2016 Kryptographie Verschlüsselungsverfahren Private-Key-Verfahren und Public-Key-Verfahren RSA-Verfahren Schlüsselerzeugung Verschlüsselung Entschlüsselung Digitale Signatur mit

Mehr

EINIGE GRUNDLAGEN DER KRYPTOGRAPHIE

EINIGE GRUNDLAGEN DER KRYPTOGRAPHIE EINIGE GRUNDLAGEN DER KRYPTOGRAPHIE Steffen Reith reith@thi.uni-hannover.de 22. April 2005 Download: http://www.thi.uni-hannover.de/lehre/ss05/kry/folien/einleitung.pdf WAS IST KRYPTOGRAPHIE? Kryptographie

Mehr

Zahlentheorieseminar: Einführung in die Public-Key-Kryptographie

Zahlentheorieseminar: Einführung in die Public-Key-Kryptographie Dozent: Dr. Ralf Gerkmann Referenten: Jonathan Paulsteiner (10939570) und Roman Lämmel ( ) Zahlentheorieseminar: Einführung in die Public-Key-Kryptographie 0. Inhalt 1. Einführung in die Kryptographie

Mehr

Zufallsprimzahlen und eine Revolution in der Kryptographie Stefan Edelkamp

Zufallsprimzahlen und eine Revolution in der Kryptographie Stefan Edelkamp Zufallsprimzahlen und eine Revolution in der Kryptographie Stefan Edelkamp Fakultät für Mathematik und Informatik Universität of Bremen Übersicht des Vortrags 1 Einfache Kryptosysteme 2 Einmalschlüssel

Mehr

Pseudo-Zufallsgeneratoren basierend auf dem DLP

Pseudo-Zufallsgeneratoren basierend auf dem DLP Seminar Codes und Kryptografie SS 2004 Struktur des Vortrags Struktur des Vortrags Ziel Motivation 1 Einleitung Ziel Motivation 2 Grundlegende Definitionen Zufallsgeneratoren 3 Generator Sicherheit 4 Generator

Mehr

WS 2009/10. Diskrete Strukturen

WS 2009/10. Diskrete Strukturen WS 2009/10 Diskrete Strukturen Prof. Dr. J. Esparza Lehrstuhl für Grundlagen der Softwarezuverlässigkeit und theoretische Informatik Fakultät für Informatik Technische Universität München http://www7.in.tum.de/um/courses/ds/ws0910

Mehr

4: Algebraische Strukturen / Gruppen

4: Algebraische Strukturen / Gruppen Stefan Lucks Diskrete Strukturen (WS 2009/10) 120 4: Algebraische Strukturen / Gruppen Definition 46 Sei G eine nichtleere Menge. Eine Funktion : G G G bezeichnen wir als Verknüpfung auf G. Das Paar (G,

Mehr

Rabin Verschlüsselung 1979

Rabin Verschlüsselung 1979 Rabin Verschlüsselung 1979 Idee: Rabin Verschlüsselung Beobachtung: Berechnen von Wurzeln in Z p ist effizient möglich. Ziehen von Quadratwurzeln in Z N ist äquivalent zum Faktorisieren. Vorteil: CPA-Sicherheit

Mehr

Workshop Experimente zur Kryptographie

Workshop Experimente zur Kryptographie Fakultät Informatik, Institut Systemarchitektur, Professur Datenschutz und Datensicherheit Workshop Experimente zur Kryptographie Sebastian Clauß Dresden, 23.03.2011 Alltägliche Anwendungen von Kryptographie

Mehr

Kryptographische Verfahren. zur Datenübertragung im Internet. Patrick Schmid, Martin Sommer, Elvis Corbo

Kryptographische Verfahren. zur Datenübertragung im Internet. Patrick Schmid, Martin Sommer, Elvis Corbo Kryptographische Verfahren zur Datenübertragung im Internet Patrick Schmid, Martin Sommer, Elvis Corbo 1. Einführung Übersicht Grundlagen Verschlüsselungsarten Symmetrisch DES, AES Asymmetrisch RSA Hybrid

Mehr

Kurze Einführung in kryptographische Grundlagen.

Kurze Einführung in kryptographische Grundlagen. Kurze Einführung in kryptographische Grundlagen. Was ist eigentlich AES,RSA,DH,ELG,DSA,DSS,ECB,CBC Benjamin.Kellermann@gmx.de GPG-Fingerprint: D19E 04A8 8895 020A 8DF6 0092 3501 1A32 491A 3D9C git clone

Mehr

Homomorphe Verschlüsselung

Homomorphe Verschlüsselung Homomorphe Verschlüsselung Definition Homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : G G für Gruppen G, G. Π heißt homomorph, falls Enc(m 1 ) G Enc(m 2 ) eine gültige Verschlüsselung

Mehr

Bemerkungen. Orientierung. Digitale Unterschriften. Angriffe und Sicherheitsmodelle

Bemerkungen. Orientierung. Digitale Unterschriften. Angriffe und Sicherheitsmodelle Orientierung Haben bisher im Public-Key Bereich nur Verschlüsselung betrachtet. Haben dafür geeignete mathematische Strukturen und ihre Eigenschaften diskutiert. RSA, Rabin: Restklassenringe modulo n,

Mehr

Gruppenbasierte Kryptographie. ElGamal Sicherheit. Drei Probleme. ElGamal Verschlüsselung. Benutzt zyklische Gruppen von (fast) Primzahlordnung:

Gruppenbasierte Kryptographie. ElGamal Sicherheit. Drei Probleme. ElGamal Verschlüsselung. Benutzt zyklische Gruppen von (fast) Primzahlordnung: Gruppenbasierte Kryptographie Benutzt zyklische Gruppen von (fast) Primzahlordnung: G = g und #G = l = cl 0 mit c klein und l 0 prim. b G : x Z : b = g x. Das Element x heißt diskreter Logarithmus von

Mehr

El Gamal Verschlüsselung und seine Anwendungen

El Gamal Verschlüsselung und seine Anwendungen El Gamal Verschlüsselung und seine Anwendungen Andrés Guevara July 11, 2005 1 Kurze Einführung in die Kryptographie Situation: Absender will Empfänger eine Nachricht schicken. Einige Ziele der Kryptographie

Mehr

Der kleine Satz von Fermat

Der kleine Satz von Fermat Der kleine Satz von Fermat Luisa-Marie Hartmann 5. Mai 2017 Inhaltsverzeichnis 1 Einleitung 3 2 Hauptteil 4 2.1 Prime Restklassengruppen............................ 4 2.2 Ordnung von Gruppenelementen........................

Mehr

Kommunikationsalgorithmus RSA

Kommunikationsalgorithmus RSA Kommunikationsalgorithmus RSA Herr Maue Ergänzungsfach Informatik Neue Kantonsschule Aarau Früjahrsemester 2015 24.04.2015 EFI (Hr. Maue) Kryptographie 24.04.2015 1 / 26 Programm heute 1. Verschlüsselungsverfahren

Mehr

Klassische Verschlüsselungsverfahren

Klassische Verschlüsselungsverfahren Klassische Verschlüsselungsverfahren Matthias Morak 10. Dezember 2008 Inhaltsverzeichnis 1 Einleitung 2 1.1 Definitionen........................................ 2 1.2 Geschichte.........................................

Mehr

Kryptographie. Nachricht

Kryptographie. Nachricht Kryptographie Kryptographie Sender Nachricht Angreifer Empfänger Ziele: Vertraulichkeit Angreifer kann die Nachricht nicht lesen (Flüstern). Integrität Angreifer kann die Nachricht nicht ändern ohne dass

Mehr

Wiederholung Symmetrische Verschlüsselung klassische Verfahren: Substitutionschiffren Transpositionschiffren Vigenère-Chiffre One-Time-Pad moderne

Wiederholung Symmetrische Verschlüsselung klassische Verfahren: Substitutionschiffren Transpositionschiffren Vigenère-Chiffre One-Time-Pad moderne Wiederholung Symmetrische Verschlüsselung klassische Verfahren: Substitutionschiffren Transpositionschiffren Vigenère-Chiffre One-Time-Pad moderne Verfahren: DES (Feistel-Chiffre) mehrfache Wiederholung

Mehr

Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Nachklausur

Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Nachklausur Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz IKS Institut für Kryptographie und Sicherheit Stammvorlesung Sicherheit im Sommersemester 2013 Nachklausur 07.10.2013 Vorname: Nachname:

Mehr

IT-Sicherheit Kapitel 3 Public Key Kryptographie

IT-Sicherheit Kapitel 3 Public Key Kryptographie IT-Sicherheit Kapitel 3 Public Key Kryptographie Dr. Christian Rathgeb Sommersemester 2013 1 Einführung In der symmetrischen Kryptographie verwenden Sender und Empfänger den selben Schlüssel die Teilnehmer

Mehr

Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Klausur Hinweise

Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Klausur Hinweise Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Klausur 21.07.2015 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen

Mehr

Einführung in die Kryptographie

Einführung in die Kryptographie Einführung in die Kryptographie Stefan Katzenbeisser Institut für Informatik Technische Universität München skatzenbeisser@acm.org Kryptographie p.1/54 Vom Zeichen zum Code Älteste Form: Codes repräsentieren

Mehr

Einführung in Computer Microsystems

Einführung in Computer Microsystems Einführung in Computer Microsystems Kapitel 9 Entwurf eines eingebetteten Systems für Anwendungen in der IT-Sicherheit Prof. Dr.-Ing. Sorin A. Huss Fachbereich Informatik Integrierte Schaltungen und Systeme

Mehr

IT-Sicherheit: Kryptographie. Asymmetrische Kryptographie

IT-Sicherheit: Kryptographie. Asymmetrische Kryptographie IT-Sicherheit: Kryptographie Asymmetrische Kryptographie Fragen zur Übung 5 C oder Java? Ja (gerne auch Python); Tips waren allerdings nur für C Wie ist das mit der nonce? Genau! (Die Erkennung und geeignete

Mehr

Konzepte von Betriebssystemkomponenten: Schwerpunkt Sicherheit. Asymmetrische Verschlüsselung, Digitale Signatur

Konzepte von Betriebssystemkomponenten: Schwerpunkt Sicherheit. Asymmetrische Verschlüsselung, Digitale Signatur Konzepte von Betriebssystemkomponenten: Schwerpunkt Sicherheit Thema: Asymmetrische Verschlüsselung, Digitale Signatur Vortragender: Rudi Pfister Überblick: Asymmetrische Verschlüsselungsverfahren - Prinzip

Mehr

Digitale Unterschriften mit ElGamal

Digitale Unterschriften mit ElGamal Digitale Unterschriften mit ElGamal Seminar Kryptographie und Datensicherheit Institut für Informatik Andreas Havenstein Inhalt Einführung RSA Angriffe auf Signaturen und Verschlüsselung ElGamal Ausblick

Mehr

Grundlagen der Verschlüsselung und Authentifizierung (1)

Grundlagen der Verschlüsselung und Authentifizierung (1) Grundlagen der Verschlüsselung und Authentifizierung (1) Proseminar im SS 2010 Friedrich-Alexander-Universität Erlangen-Nürnberg 18.05.2010 1 Motivation

Mehr

4 Diskrete Logarithmen und Anwendungen

4 Diskrete Logarithmen und Anwendungen Stand: 19.1.2015 Vorlesung Grundlagen und Methoden der Kryptographie Dietzfelbinger 4 Diskrete Logarithmen und Anwendungen 4.1 Diskrete Logarithmen Wir betrachten eine endliche zyklische Gruppe (G,, e)

Mehr

4 Diskrete Logarithmen und Anwendungen

4 Diskrete Logarithmen und Anwendungen Stand: 05.11.2013 Vorlesung Grundlagen und Methoden der Kryptographie Dietzfelbinger 4 Diskrete Logarithmen und Anwendungen 4.1 Diskrete Logarithmen Wir betrachten eine endliche zyklische Gruppe (G,, e)

Mehr

11. Das RSA Verfahren

11. Das RSA Verfahren Chr.Nelius: Zahlentheorie (SoSe 2017) 53 11. Das RSA Verfahren Bei einer asymmetrischen Verschlüsselung lässt sich der Schlüssel zum Entschlüsseln nicht aus dem Schlüssel zum Verschlüsseln bestimmen und

Mehr

7.3 Unizitätslänge. 8 Schlüsselaustausch und öffentliche Schlüssel

7.3 Unizitätslänge. 8 Schlüsselaustausch und öffentliche Schlüssel 7.3 Unizitätslänge ein Chiffrierverfahren sei über Z verschiedene Schlüssel parametrierbar also könnte ein Geheimtext zu (höchstens) Z verschiedenen Klartexten entschlüsselt werden wie viele davon sind

Mehr

Diffie-Hellman, ElGamal und DSS. Vortrag von David Gümbel am 28.05.2002

Diffie-Hellman, ElGamal und DSS. Vortrag von David Gümbel am 28.05.2002 Diffie-Hellman, ElGamal und DSS Vortrag von David Gümbel am 28.05.2002 Übersicht Prinzipielle Probleme der sicheren Nachrichtenübermittlung 'Diskreter Logarithmus'-Problem Diffie-Hellman ElGamal DSS /

Mehr

7 Asymmetrische Kryptosysteme

7 Asymmetrische Kryptosysteme 10 7 Asymmetrische Kryptosysteme 7 Asymmetrische Kryptosysteme Diffie und Hellman kamen 1976 auf die Idee, dass die Geheimhaltung des Chiffrierschlüssels keine notwendige Voraussetzung für die Sicherheit

Mehr

Kryptographie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik

Kryptographie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik Kryptographie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik Übersicht Zwecke der Kryptographie Techniken Symmetrische Verschlüsselung( One-time Pad,

Mehr

Lösung zur Klausur zu Krypographie Sommersemester 2005

Lösung zur Klausur zu Krypographie Sommersemester 2005 Lösung zur Klausur zu Krypographie Sommersemester 2005 1. Bestimmen Sie die zwei letzten Ziffern der Dezimaldarstellung von 12 34 Es gilt: 12 34 = 12 32+2 = 12 32 12 2 = 12 (25) 12 2 = ((((12 2 ) 2 ) 2

Mehr

Kryptographische Algorithmen

Kryptographische Algorithmen Kryptographische Algorithmen Lerneinheit 6: Public Key Kryptosysteme Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen Wintersemester 2016/2017 19.9.2016 Public Key Kryptosysteme Einleitung

Mehr

Einführung in die Kryptographie

Einführung in die Kryptographie Einführung in die Kryptographie Stefan Katzenbeisser Institut für Informatik Technische Universität München skatzenbeisser@acm.org Kryptographie p.1/54 Vom Zeichen zum Code Älteste Form: Codes repräsentieren

Mehr

Zahlentheorie, Arithmetik und Algebra

Zahlentheorie, Arithmetik und Algebra Zahlentheorie, Arithmetik und Algebra Seminar Hallo Welt für Fortgeschrittene 2008 Matthias Niessner June 20, 2008 Erlangen 1 von 29 Matthias Niessner Zahlentheorie, Arithmetik und Algebra Übersicht 1

Mehr

Anwendungen der Linearen Algebra: Kryptologie

Anwendungen der Linearen Algebra: Kryptologie Anwendungen der Linearen Algebra: Kryptologie Philip Herrmann Universität Hamburg 5.12.2012 Philip Herrmann (Universität Hamburg) AnwLA: Kryptologie 1 / 28 No one has yet discovered any warlike purpose

Mehr

Algorithmentheorie Randomisierung. Robert Elsässer

Algorithmentheorie Randomisierung. Robert Elsässer Algorithmentheorie 03 - Randomisierung Robert Elsässer Randomisierung Klassen von randomisierten Algorithmen Randomisierter Quicksort Randomisierter Primzahltest Kryptographie 2 1. Klassen von randomisierten

Mehr

AES und Public-Key-Kryptographie

AES und Public-Key-Kryptographie Jens Kubieziel jens@kubieziel.de Friedrich-Schiller-Universität Jena Fakultät für Mathem atik und Informatik 22. Juni 2009 Beschreibung des Algorithmus Angriffe gegen AES Wichtige Algorithmen im 20. Jahrhundert

Mehr

Seminar zum Thema Kryptographie

Seminar zum Thema Kryptographie Seminar zum Thema Kryptographie Michael Hampton 11. Mai 2017 Inhaltsverzeichnis 1 Einleitung 3 1.1 Konventionen.................................. 3 1.2 Wiederholung.................................. 3

Mehr

RSA (Rivest, Shamir, Adleman)

RSA (Rivest, Shamir, Adleman) Juli 2012 LB 3 Kryptographie F. Kaden 1/11 1977 von Rivest, Shamir, Adleman am MIT (Massachusetts Institut of Technology) entwickelt asymmetrisches Verschlüsselungsverfahren Ziel: email-verschlüsselung,

Mehr