4 Symmetrische Verfahren Betriebsarten. Betriebsarten Verschlüsselung längerer Nachrichten, Authentikation. 4 Symmetrische Verfahren Betriebsarten
|
|
- Cornelia Katja Kerner
- vor 1 Jahren
- Abrufe
Transkript
1 4 Symmetrische Verfahren Betriebsarten Betriebsarten Verschlüsselung längerer Nachrichten, Authentikation Beispiele für Betriebsarten: Verschlüsselung: Electronic Code Book (ECB) 1981 für DES Cipher Block Chaining (CBC) standardisiert Cipher Feedback (CFB) (FIPS 81) Output Feedback (OFB) Counter Mode (CTR) Authentikation: Cipher-based MAC (CMAC) Authentikation und Verschlüsselung: Counter with CBC-MAC (CCM) Galois/Counter Mode (GCM bzw. GMAC) Kryptographie und Kryptoanalyse Symmetrische Verfahren Betriebsarten Anwendung der Betriebsarten erlaubt die Konstruktion von synchronen oder selbstsynchronisierenden Stromchiffren aus Blockchiffren (zugrunde liegendes Alphabet wird dabei teilweise gewechselt) Synchrone Stromchiffre: Verschlüsselung eines Zeichens ist abhängig von der Position bzw. von vorhergehenden Klartextoder Schlüsselzeichen Selbstsynchronisierende Stromchiffre: Verschlüsselung ist nur von begrenzter Anzahl vorhergehender Zeichen abhängig ECB, CBC und CFB: selbstsynchronisierende Stromchiffre OFB, CTR: synchrone Stromchiffre Kryptographie und Kryptoanalyse Symmetrische Verfahren Betriebsarten Betrachtung von Fehlerauswirkungen / Manipulationen Zeitpunkt des Fehlers / der Manipulation während der Übertragung (Speicherung) während der Ver- bzw. Entschlüsselung (transient) Sender enc dec Empfänger Art des Fehlers / der Manipulation Additive Fehler: Verfälschung einzelner Bits ( Addition eines Fehlermusters ); Blockgrenzen bleiben erhalten Synchronisationsfehler: Hinzufügen bzw. Verlust von Blöcken / Bits (letzteres ändert die Blockgrenzen) Kryptographie und Kryptoanalyse 202 1
2 4 Symmetrische Verfahren Betriebsarten Electronic Codebook (ECB) Verschlüsselung Entschlüsselung k k m i l l c i enc c i l dec l m i c i = enc(k, m i ), 1 < i n m i = dec(k, c i ), 1 < i n c = enc(k, m 1 ) enc(k, m 2 )... enc(k, m n ) m = dec(k, c 1 ) dec(k, c 2 )... dec(k, c n ) Kryptographie und Kryptoanalyse Symmetrische Verfahren Betriebsarten Electronic Codebook (ECB) Eigenschaften Selbstsynchronisierend (Abhängigkeit von 0 Blöcken) Länge der verarbeiteten Einheiten: entsprechend Blockgröße der Blockchiffre (DES: l = 64 Bit) Keine Abhängigkeiten zwischen den Blöcken Direktzugriff auf einzelne Schlüsseltextblöcke möglich gleiche Klartextblöcke liefern gleiche Schlüsseltextblöcke ggf. Kodebuchanalysen möglich Fehlerauswirkungen additive Fehler: keine Fehlerfortpflanzung Synchronisationsfehler bzgl. ganzer Blöcke: keine Fehlerfortpflanzung gezieltes Einfügen und Entfernen von Blöcken möglich Synchronisationsfehler bzgl. Bits: Entschlüsselung fehlerhaft, bis Blockgrenzen erneut festgelegt (falls nicht explizit kenntlich gemacht) Kryptographie und Kryptoanalyse Symmetrische Verfahren Betriebsarten Cipher Block Chaining (CBC) Verschlüsselung k m i l enc c i l 1 l c i-1 IV Speicher für Schlüsseltextblock c i-1 bzw. IV c 1 = enc(k, (m 1 IV )); IV: Initialisierungsvektor c i = enc(k, (m i c i-1 )), 1 < i n c = enc(k, (m 1 IV)) enc(k, (m 2 c 1 )) enc(k, (m 3 c 2 )) enc(k, (m n c n-1 )) Kryptographie und Kryptoanalyse 205 2
3 4 Symmetrische Verfahren Betriebsarten Cipher Block Chaining (CBC) Entschlüsselung k c i l dec l m i m 1 = dec(k, c 1 ) IV m i = dec(k, c i ) c i-1, 1 < i n c i-1 IV 1 l Speicher für Schlüsseltextblock c i-1 bzw. IV m = dec(k, c 1 ) IV dec(k, c 2 ) c 1 dec(k, c 3 ) c 2 dec(k, c n ) c n-1 Kryptographie und Kryptoanalyse Symmetrische Verfahren Betriebsarten Cipher Block Chaining (CBC) Eigenschaften Selbstsynchronisierend (Abhängigkeit von 1 Block) Länge der verarbeiteten Einheiten: entsprechend Blockgröße der Blockchiffre (DES: l = 64 Bit) Abhängigkeiten zwischen den Blöcken kein Direktzugriff auf einzelne Schlüsseltextblöcke möglich gleiche Klartextblöcke liefern unterschiedliche Schlüsseltextblöcke Kodebuchanalysen erschwert Initialisierungsvektor IV muss Sender und Empfänger bekannt sein Kryptographie und Kryptoanalyse Symmetrische Verfahren Betriebsarten Fehlerauswirkungen Fehler während der Übertragung additive Fehler: Fehlerfortpflanzung in den Folgeblock Synchronisationsfehler bzgl. ganzer Blöcke: 2 Blöcke betroffen Synchronisationsfehler bzgl. Bits: Entschlüsselung fehlerhaft, bis Blockgrenzen erneut festgelegt Fehler während der Verschlüsselung ab Fehlerstelle wird ein anderer Schlüsseltext erzeugt Entschlüsselung: nur ein Klartextblock betroffen Verfahren eignet sich zur Authentikation: Manipulationen, Einfügen und Entfernen von Blöcken erkennbar Kryptographie und Kryptoanalyse 208 3
4 4 Symmetrische Verfahren Betriebsarten CBC zur Authentikation (CBC-MAC) k enc c i c i-1 IV 1 l IV = 0 0 letzter Schlüsseltextblock c n m i letzter Schlüsseltextblock wird als MAC angehängt: m 1 m 2 m 3 m n c n Empfänger berechnet ebenfalls c n und vergleicht mit erhaltenem c n Kryptographie und Kryptoanalyse Symmetrische Verfahren Betriebsarten Cipher Feedback (CFB) Verschlüsselung l r+1 r 1 Schieberegister A a i Inhalt zum Zeitpunkt i a 1 = IV a i = LSB l-r (a i-1 ) c i-1 enc k m i r select r c i = m i select r (enc(k, a i )) für l = 64, r = 8: a i = c i-8 c i-7 c i-6 c i-2 c i-1 Ausgabeblock B b i Ausgabe zum Zeitpunkt i r c i Kryptographie und Kryptoanalyse Symmetrische Verfahren Betriebsarten Cipher Feedback (CFB) Entschlüsselung l r+1 r 1 Schieberegister A a i Inhalt zum Zeitpunkt i a 1 = IV a i = LSB l-r (a i-1 ) c i-1 enc k c i r select m i = c i select r (enc(k, a i )) für l = 64, r = 8: a i = c i-8 c i-7 c i-6 c i-2 c i-1 r r m i Kryptographie und Kryptoanalyse 211 4
5 4 Symmetrische Verfahren Betriebsarten Cipher Feedback (CFB) Eigenschaften l Selbstsynchronisierend (Abhängigkeit von Einheiten; l: r Blockgröße der Chiffre; DES: l = 64) Länge der verarbeiteten Einheiten: r < b, frei wählbar (z.b. 8 Bit, also byteweise Verarbeitung) Abhängigkeiten zwischen den Blöcken kein Direktzugriff auf einzelne Schlüsseltextblöcke möglich gleiche Klartextblöcke liefern unterschiedliche Schlüsseltextblöcke Initialisierungsvektor IV muss Sender und Empfänger bekannt sein Nur Verschlüsselungsfunktion verwendet es entsteht immer eine symmetrische Chiffre Kryptographie und Kryptoanalyse Symmetrische Verfahren Betriebsarten Fehlerauswirkungen Fehler während der Übertragung additive Fehler und Synchronisationsfehler bzgl. ganzer Blöcke: Fehlerfortpflanzung entsprechend der Abhängigkeiten von vorherigen Blöcken Synchronisationsfehler bzgl. Bits: Entschlüsselung fehlerhaft, bis Blockgrenzen erneut festgelegt; durch geeignete Wahl von r können Verschiebungen der Blockgrenzen verhindert werden Fehler während der Verschlüsselung entsprechend CBC Verfahren eignet sich zur Authentikation (verschlüsselten letzten Block c n als MAC): Manipulationen, Einfügen und Entfernen von Blöcken erkennbar Kryptographie und Kryptoanalyse Symmetrische Verfahren Betriebsarten Output Feedback (OFB) Ver-/Entschlüsselung l 1 Eingabeblock A a i Inhalt zum Zeitpunkt i a 1 = IV enc k l 1 m i c i l c i = m i enc(k, a i ) m i = c i enc(k, a i ) l c i m i Anmerkung: in FIPS 81 Länge der verarbeiteten Einheiten frei wählbar Kryptographie und Kryptoanalyse 214 5
6 4 Symmetrische Verfahren Betriebsarten Output Feedback (OFB) Eigenschaften Synchron Abhängigkeit von Position der verarbeiteten Einheit kein Direktzugriff auf einzelne Schlüsseltextblöcke möglich gleiche Klartextblöcke liefern unterschiedliche Schlüsseltextblöcke Initialisierungsvektor IV muss Sender und Empfänger bekannt sein; darf bzgl. eines Schlüssels nur einmal verwendet werden Nur Verschlüsselungsfunktion verwendet es entsteht immer eine symmetrische Chiffre Fehlerauswirkungen additive Fehler: keine Fehlerfortpflanzung anfällig gegen Synchronisationsfehler Kryptographie und Kryptoanalyse Symmetrische Verfahren Betriebsarten Counter Mode (CTR) Ver-/Entschlüsselung l 1 T i Zähler zum Zeitpunkt i T 1 Startwert des Zählers T i = inc(t i -1 ) enc k l 1 m i c i c i = m i enc(k, T i ) m i = c i enc(k, T i ) c i m i Kryptographie und Kryptoanalyse Symmetrische Verfahren Betriebsarten Counter Mode (CTR) Eigenschaften Synchron Abhängigkeit von Position der verarbeiteten Einheit gleiche Klartextblöcke liefern unterschiedliche Schlüsseltextblöcke Direktzugriff auf einzelne Schlüsseltextblöcke möglich Zähler muss Sender und Empfänger bekannt sein, darf bzgl. eines Schlüssels nur einmal verwendet werden Nur Verschlüsselungsfunktion verwendet es entsteht immer eine symmetrische Chiffre Fehlerauswirkungen additive Fehler: keine Fehlerfortpflanzung anfällig gegen Synchronisationsfehler Vorteil: Effizienz Kryptographie und Kryptoanalyse 217 6
7 4 Symmetrische Verfahren Betriebsarten Cipher-based MAC (CMAC) Bietet auch Sicherheit für Nachrichten beliebiger Länge Schlüssel k 1 und k 2 werden mit Hilfe des geheimen Schlüssels k ermittelt (abhängig von Blocklänge) und mit letztem Nachrichtenblock XOR-verknüpft Berechnung des MAC ansonsten wie mit CBC (IV = 0 0); Auswahl der Tlen MSBs (most significant bits) als MAC m 1 m 2 m n * ggf. aufgefüllt k enc k enc k enc c n [1:Tlen] k 1, falls m* n kompletter Block / k 2 sonst Kryptographie und Kryptoanalyse Symmetrische Verfahren Betriebsarten Counter with CBC-MAC (CCM) Vertraulichkeit und Integrität für die Nachricht (payload P) Integrität für zusätzliche Daten (assigned data A) Zufallszahl (nonce N; verschieden für verschiedene Paare (A,P)) Generieren & Verschlüsseln: MAC berechnen für P, A und N mittels CBC-MAC (IV = 0) Verschlüsselung von N, P und MAC mittels CTR Entschlüsseln & Prüfen: Entschlüsselung mittels CTR N, P, MAC Berechnung des MAC für P, A und N mittels CBC-MAC und Vergleich mit entschlüsseltem MAC Kryptographie und Kryptoanalyse Symmetrische Verfahren Betriebsarten Galois/Counter Mode (GCM bzw. GMAC) Vertraulichkeit und Integrität für die Nachricht Integrität für zusätzliche Daten Initialisierungsvektor IV (darf nur einmal verwendet werden) GMAC: zu verschlüsselnde Nachricht der Länge 0 Verschlüsselung: CTR mit spezieller inc-funktion (nur ein Teil der Bits des Zählers werden inkrementiert) erster Wert des Zählers von IV abgeleitet Berechnung des MAC: Hashfunktion GHASH: Multiplikation mit einem festen Parameter H (hash subkey) in einem endlichen Körper H = enc(k, ) Kryptographie und Kryptoanalyse 220 7
8 Überblick über die Vorlesung 1. Einführung 2. Grundlagen 3. Klassische Verfahren 4. Symmetrische Verfahren 5. Asymmetrische Verfahren Grundlagen Diffie-Hellman-Schlüsselaustausch ElGamal RSA Kryptosysteme auf Basis elliptischer Kurven Kryptographie und Kryptoanalyse Asymmetrische Verfahren Grundlagen Asymmetrische Verfahren Schlüsselverteilungsproblem bei symmetrischen Systemen Asymmetrische bzw. Public-Key-Systeme: Schlüsselpaare, bestehend aus privatem und öffentlichem Schlüssel Es darf praktisch nicht möglich sein, den privaten Schlüssel aus dem öffentlichen Schlüssel zu ermitteln. Grundlage: Trapdoor-Einwegfunktion A, B Mengen f: A B heißt Einwegfunktion, wenn gilt: f: A B leicht berechenbar für alle a A, aber f -1 : B A schwierig oder nicht berechenbar für fast alle b B Trapdoor-Eigenschaft: Berechnung von f -1 (b) durch Kenntnis bestimmter Zusatzparameter ebenfalls leicht berechenbar. Kryptographie und Kryptoanalyse Asymmetrische Verfahren Grundlagen n = {0,1,2,, n-1} Restklassenring modulo n n* : multiplikative Gruppe, n* ú {a n ggt(a,n) = 1} Eulersche Φ-Funktion Anzahl der zu n teilerfremden Zahlen kleiner n: Φ(n) ú {a n ggt(a,n) = 1} Ordnung der Gruppe n * (bzw. p* ); n* ú {a n ggt(a,n) = 1} (Anzahl der Elemente dieser Gruppe) Φ(p)= p-1 (p prim) n = p q; p, q prim, p q: Φ(p q)=(p-1)(q-1) Kryptographie und Kryptoanalyse 223 8
9 5 Asymmetrische Verfahren Grundlagen Erweiterter Euklidscher Algorithmus (EEA) Bestimmung von ggt(a,b) und seiner Linearkombinationsdarstellung: EEA(a,b) ggt(a,b) = u a + v b Bestimmung des multiplikativen Inversen a -1 von a in n * : EEA(a,n) ggt(a,n) = u a + v n = 1 u = a -1 mit aa -1 1 mod n Kryptographie und Kryptoanalyse Asymmetrische Verfahren Grundlagen EEA: a,b N, b > a ggt(a,b), ggt(a,b) = u a + v b Initialisierung r q s t -2 b a b mod a b div a s -2 q 0 s -1 t -2 q 0 t -1 i r i-2 mod r i-1 r i-2 div r i-1 s i-2 q i s i-1 t i-2 q i t i-1 Abbruch: r k = 0 Beispiel k-1 r k-1 q k-1 v u k 0 q k ggt(a,b) = r k-1, u = t k-1, v = s k-1 Kryptographie und Kryptoanalyse Asymmetrische Verfahren Grundlagen Erzeugung von Primzahlen 1. Wahl einer Zufallszahl p als Kandidat für die Primzahl 2. Test, ob p prim ist 3. Wiederholung von 1. und 2., bis Primzahl gefunden Primzahltest nach Rabin-Miller für p 3 mod 4 p-1 * p prim: a Z p : a 2 1 mod p falls p nicht prim, gilt dies für höchstens ¼ der möglichen a Test für l zufällig gewählte Werte a durchführen Ergebnis einmal 1: p nicht prim Ergebnis bei allen l Versuchen = 1: p prim mit Wahrscheinlichkeit 1 4 -l Kryptographie und Kryptoanalyse 226 9
10 5 Asymmetrische Verfahren Grundlagen Zyklische Gruppe alle Elemente der Gruppe G lassen sich aus einem Element g G (erzeugendes Element oder Generator) durch Potenzieren von g erzeugen: G = <g> Ordnung von Gruppenelementen a G: order G a bzw. order a kleinste natürliche Zahl e mit a e = 1 (e > 0) zyklische Gruppe: order g = G (Ordnung von G) Multiplikative Gruppe Z p * = {1, 2,, p-1} (p prim) ist zyklisch: Z * p = <g> = {g i mod p i = 0, 1,, (p)-1} Kleiner Satz von Fermat Für alle x Z p * gilt: x p-1 1 mod p Kryptographie und Kryptoanalyse Asymmetrische Verfahren Grundlagen * Z 7 = {1,2,3,4,5,6} 3 0 = = = = = 9 ª 2 mod = = = = 18 ª 4 mod = = 12 ª 5 mod = = 15 ª 1 mod y = 3 x mod x 3 6 ª 1 mod 7 order 3 = 6 3 ist Generator von Z 7 * Kryptographie und Kryptoanalyse Asymmetrische Verfahren Grundlagen * Z 7 = {1,2,3,4,5,6} 2 0 = = = = = = = 8 ª 1 mod = = = = = = 8 ª 1 mod 7 y = 2 x mod x * 2 3 ª 1 mod 7 order 2 = 3 2 ist kein Generator von Z 7 Kryptographie und Kryptoanalyse
11 5 Asymmetrische Verfahren Grundlagen Finden eines Generators g einer Gruppe G Satz von Lagrange: In endlichen Gruppen G teilt die Ordnung jeder Untergruppe H die Ordnung von G: H G. Für a G mit order a = e und k Z gilt: a k = 1 e k Algorithmus zum Finden von g G Benötigt: n = G, Primfaktorzerlegung Wahl eines zufälligen Elements a G Für i = 1, 2, k: b a n p i e1 e2 n p1 p2... b = 1: a kein Generator, Wahl eines anderen Elements aus G p e k k Kryptographie und Kryptoanalyse Asymmetrische Verfahren Grundlagen Problem für G = Z * p Algorithmus benötigt Primfaktorzerlegung von G Z * p = Φ(p) = p-1 Faktorisierung schwierig Algorithmus für spezielle Primzahlen: sichere Primzahl: p = 2q + 1, q prim Algorithmus zum Finden von g Z * p für sichere Primzahl p mit k Bit Wahl einer Primzahl q mit k-1 Bit Test, ob p = 2q + 1 prim Suche nach Generator g mit vorherigem Algorithmus Kryptographie und Kryptoanalyse Asymmetrische Verfahren Grundlagen Operationen in n Addition, Subtraktion und Multiplikation leicht Berechnung von y = a x mod n ebenfalls effizient möglich: Square-and-Multiply-Algorithmus Binärdarstellung des Exponenten: x 10 = (x l-1 x l-2 x 1 x 0 ) 2 z = 1; for (i = l-1; i 0; i--) { z = z 2 ; if (x i == 1) then z = zamod n; } Kryptographie und Kryptoanalyse
12 5 Asymmetrische Verfahren Grundlagen Diskreter Logarithmus Für jede Zahl y Z p * gibt es einen Exponenten x mit 0 x p-2, so dass gilt: y = g x mod p. Der Exponent x wird diskreter Logarithmus von y zur Basis g modulo p genannt: x = log g y mod p Bestimmen von x: Diskreter-Logarithmus-Problem kein Algorithmus zur effizienten Berechnung des diskreten Logarithmus bekannt besser als Durchprobieren: Babystep-Giantstep-Algorithmus von Shanks, aber ebenfalls nicht praktikabel für größere Gruppen (ca. ab G > ): weniger Operationen, aber mehr Speicherplatz benötigt Kryptographie und Kryptoanalyse Asymmetrische Verfahren Grundlagen Beispiel: Diskreter Logarithmus für p = 229, g = 6 y = log 6 x mod x Kryptographie und Kryptoanalyse Asymmetrische Verfahren Grundlagen Berechnung des diskreten Logarithmus mit dem Babystep-Giantstep-Algorithmus: x = log g y mod p m = G, G : Ordnung der Gruppe Ansatz: x = q m + r, 0 r < m Algorithmus berechnet q und r y = g x y = g q m + r (g m ) q = yg -r Babystep-Liste: B = {(i, y (g i ) -1 mod p), 0 i < m} Giantstep-Liste: G = {(j, (g m ) j mod p), 0 j < m} r q Berechnung der Elemente von G, bis (g m ) j als zweite Komponente eines Elements in B gefunden. Kryptographie und Kryptoanalyse
13 5 Asymmetrische Verfahren Grundlagen Weitere Algorithmen zur Ermittlung des diskreten Logarithmus sind z.b.: Pollard- -Algorithmus (begrenzter Speicheraufwand) Pohlig-Hellman-Algorithmus (falls p-1 kleine Primteiler hat) Index-Calculus-Algorithmus (effizientester Algorithmus, für prime Restklassengruppe modulo einer Primzahl) Möglichkeiten zur Berechnung des diskreten Logarithmus sind bei der Wahl der Parameter für entsprechende kryptographische Verfahren zu beachten! Kryptographie und Kryptoanalyse Asymmetrische Verfahren DH-Schlüsselaustausch Diffie-Hellman-Schlüsselaustausch Öffentlich bekannt: Primzahl p, Generator g Teilnehmer A wählt x A mit 0 x A p-2 (x A geheim) unsicherer Kanal p, g p, g Teilnehmer B wählt x B mit 0 x B p-2 (x B geheim) berechnet y A = g x A mod p y A berechnet y B = g x B mod p y B x k A,B = y A B mod p enc (k A,B, m) x k A,B = y B A mod p Kryptographie und Kryptoanalyse Asymmetrische Verfahren DH-Schlüsselaustausch Sicherheit des Diffie-Hellman-Schlüsselaustauschs Diffie-Hellman-Problem: Geg.: p, g, y A = g x A mod p und y B = g x B mod p Problem: bestimme g x A x Bmod p Angreifer beobachtet y A, y B, kann er x A = log g y A mod p oder x B = log g y B mod p berechnen, kann er das Geheimnis k AB = g x A x Bmod p ermitteln. sicher gegen passive Angriffe aber: unsicher gegen aktive Angriffe Kryptographie und Kryptoanalyse
14 5 Asymmetrische Verfahren DH-Schlüsselaustausch Aktiver Angriff (Man-in-the-Middle-Angriff) C gibt sich gegenüber A als B und gegenüber B als A aus. Teilnehmer A Kanal Angreifer C Kanal Teilnehmer B p, g p, g p, g wählt x A y A = g x A mod p y A wählt x C y C = g x Cmod p wählt x B y B = g x B mod p y C y B y C x k A,C = y A C mod p enc (k A,C, m) x k A,C = y C A mod p x k B,C = y C B mod p enc (k B,C, m) x k B,C = y B C mod p Kryptographie und Kryptoanalyse Asymmetrische Verfahren DH-Schlüsselaustausch Abhilfe: Vertrauenswürdige Instanz Teilnehmer A p, g Vertrauenswürdige Instanz y A, y B, y C Teilnehmer B p, g wählt x A y A = g x A mod p 1. wählt x B y B = g x Bmod p k AB = y x A B mod p enc (k A,B, m) x k AB = y B A mod p Angreifer C p, g wählt x C y C = g x C mod p Kryptographie und Kryptoanalyse Asymmetrische Verfahren ElGamal-Kryptosystem ElGamal-Kryptosystem Taher ElGamal: A Public-Key Cryptosystem and a Signature Scheme Based on Discrete Logarithms. CRYPTO 84, Springer-Verlag, / IEEE Transactions on Information Theory, v. 31, n. 4, 1985, Basiert auf Problem des diskreten Logarithmus Verwendung als Konzelations- und Signatursystem Verschiedene Varianten des ElGamal-Signatursystems bekannt; Digital Signature Algorithm (DSA) basiert auf einer dieser Varianten, DSA als Digital Signature Standard (DSS) vom NIST 1994 publiziert (FIPS186) Kryptographie und Kryptoanalyse
15 5 Asymmetrische Verfahren ElGamal-Kryptosystem ElGamal als Konzelationssystem Schlüsselgenerierung Jeder Teilnehmer wählt Primzahl p und Generator g Z * p wählt zufällige Zahl k d mit 0 k d p-2 berechnet k e = g k d mod p Öffentlicher Schlüssel: (p, g, k e ) Privater Schlüssel: k d Kryptographie und Kryptoanalyse Asymmetrische Verfahren ElGamal-Kryptosystem Verschlüsselung (B A) Verschlüsselung von Nachrichten m Z p, d.h., m {0, 1,, p-1} (ggf. Aufteilung größerer Nachrichten) B benötigt öffentlichen Schlüssel von A: (p, g, k e ) wählt Zufallszahl r mit 0 r p-2 berechnet c = (c 1, c 2 ) mit c 1 = g r mod p c 2 = mke r mod p sendetc = (c 1, c 2 ) an A Entschlüsselung p-1-k -1 d k d A berechnet m = c 1 c 2 mod p bzw. m = (c 1 ) c 2 mod p Kryptographie und Kryptoanalyse Asymmetrische Verfahren ElGamal-Kryptosystem Anmerkungen Systemweit gültige Parameter p, g möglich Benutzung des zufälligen Parameters r ergibt indeterministische Verschlüsselung Sicherheit Sicherheit basiert auf Diffie-Hellman-Problem Wahl sicherer Parameter - Berechnung des DL schwierig: Länge von p Anforderungen an p aufgrund spezieller Algorithmen sichere Verwendung: Nutzung verschiedener Zufallszahlen r für Verschlüsselung verschiedener Nachrichten Gewählter Schlüsseltext-Klartext-Angriff möglich Angriff vereiteln Kryptographie und Kryptoanalyse
16 5 Asymmetrische Verfahren ElGamal-Kryptosystem Verwendung verschiedener Zufallszahlen Verschlüsselung zweier verschiedener Nachrichten m 1, m 2 mit derselben Zufallszahl r ist eine der Nachrichten bekannt, kann die zweite berechnet werden: m 1 : c 1 = (c 1,1, c 1,2 ) m 2 : c 2 = (c 2,1, c 2,2 ) c 1,1 = c 2,1 = g r mod p c 1,2 c 2,2 : c 1,2 = m 1 ke r mod p c 2,2 = m 2 ke r mod p -1-1 m 1 bekannt: c 1,2 c 2,2 = m 1 m 2 mod p -1 m 2 = m 1 c 1,2 c 2,2 mod p Kryptographie und Kryptoanalyse Asymmetrische Verfahren ElGamal-Kryptosystem Gewählter Schlüsseltext-Klartext-Angriff Ziel: Ermittlung von m aus beobachtetem c = (c 1, c 2 ) Angreifer sendet c = (c 1, c 2 ) an Empfänger (c 2 beliebig) Empfänger -k entschlüsselt: m = c d 1 c 2 mod p Angreifer k berechnet: c d 1 = c 2 (m ) -1 mod p -k entschlüsselt: m = c d 1 c 2 mod p Kryptographie und Kryptoanalyse Asymmetrische Verfahren ElGamal-Kryptosystem Vereitelung des gewählten Schlüsseltext-Klartext-Angriffs Einfügen von Redundanz vor der Verschlüsselung, z.b. mittels einer Hashfunktion h(): m * = m, h(m) c 1 = g r mod p c 2 = m * ke r mod p Überprüfung der Redundanz beim Empfänger: Entschlüsselung liefert m * = m, x Nachricht wird nur ausgegeben, wenn x = h(m) Anmerkung: Verwendung unterschiedlicher Zufallszahlen ( unterschiedliche c 1 ) reicht nicht: c 1 kann unkenntlich gemacht werden Kryptographie und Kryptoanalyse
17 5 Asymmetrische Verfahren ElGamal-Kryptosystem ElGamal als Signatursystem Schlüsselgenerierung Wie beim Konzelationssystem jeder Teilnehmer wählt Primzahl p und Generator g Z * p wählt zufällige Zahl k s mit 0 k s p-2 berechnet k t = g k s mod p Öffentlicher Schlüssel: (p, g, k t ) Privater Schlüssel: k s Kryptographie und Kryptoanalyse Asymmetrische Verfahren ElGamal-Kryptosystem Signieren Signieren von Nachrichten m Z p, d.h., m {0, 1,, p-1} (ggf. Aufteilung größerer Nachrichten oder Anwendung einer Hashfunktion h(m) mit h(m) < p) A führt die folgenden Schritte aus: wählt Zufallszahl r Z * p-1 berechnet r -1 mit r r -1 1 mod (p-1) berechnet s = (s 1, s 2 ) mit s 1 = g r mod p s 2 = r -1 (h(m) - k s s 1 ) mod (p-1) sendetm, (s 1, s 2 ) Kryptographie und Kryptoanalyse Asymmetrische Verfahren ElGamal-Kryptosystem Test der Signatur Teilnehmer benötigt öffentlichen Schlüssel von A: (p, g, k t ) testet, ob 1 s 1 p-1 s 1 s 2 berechnet v 1 = k t s 1 mod p berechnet h(m) und v 2 = g h(m) mod p akzeptiert Signatur, wenn v 1 ª v 2 Sicherheit Sicherheit basiert auf Diffie-Hellman-Problem Wahl sicherer Parameter: p (Berechnen DL schwierig) sichere Verwendung: Nutzung verschiedener Zufallszahlen r zum Signieren verschiedener Nachrichten Verwendung einer Hashfunktion (sonst existentielles Brechen) Kryptographie und Kryptoanalyse
18 5 Asymmetrische Verfahren ElGamal-Kryptosystem Verwendung verschiedener Zufallszahlen Signatur für zwei verschiedene Nachrichten m 1, m 2 mit derselben Zufallszahl r berechnen Ermittlung des geheimen Signaturschlüssels k s : m 1 : s 1 = (s 1,1, s 1,2 ) m 2 : s 2 = (s 2,1, s 2,2 ) s 1,1 = s 2,1 = g r mod p s 1,2 s 2,2 : s 1,2 = r -1 (h(m 1 ) - k s s 1,1 ) mod (p-1) s 2,2 = r -1 (h(m 2 ) - k s s 2,1 ) mod (p-1) s 1,2 - s 2,2 = r -1 (h(m 1 ) - h(m 2 )) mod (p-1) falls s 1,2 - s 2,2 0 mod (p-1) und ggt(s 1,2 - s 2,2, p-1) = 1: r = (s 1,2 - s 2,2 ) -1 (h(m 1 ) - h(m 2 )) mod (p-1) -1 k s = s 1,1 (h(m 1 ) s 1,2 r) mod (p-1) Kryptographie und Kryptoanalyse Asymmetrische Verfahren ElGamal-Kryptosystem Existentielles Brechen nachrichtenbezogenes Brechen für irgendeine Nachricht m Verifikationskongruenz (ohne Hashfunktion): s 1 s 2 m k t s 1 g mod p v Ersetzen: s 1 = g u k t mod p mit u, v Z, ggt(v, p-1) = 1 s 1 + v s 2 m - u s k 2 t g mod p Exponenten = 0 ermöglicht das Bestimmen von s 2 und m: linke Seite: rechte Seite: s 2 = - s 1 v -1 mod (p-1) m = s 2 u mod (p-1) Kryptographie und Kryptoanalyse Asymmetrische Verfahren ElGamal-Kryptosystem Durchführung: Wahl von u, v Z mit ggt(v, p-1) = 1 Berechnen von s 1, s 2 und m Damit gilt: s k 1 s t 2 s 1 1 s 2 u -s 1 kt g k t g m mod p (s 1, s 2 ) ist gültige Signatur für m = s 2 u mod (p-1) Verwendung einer Hashfunktion: nur Signaturen für h(m) berechenbar Kryptographie und Kryptoanalyse
19 5 Asymmetrische Verfahren ElGamal-Kryptosystem Varianten des ElGamal-Verfahrens Effizientere Verfahren (kürzere Signaturen): Signatursystem nach Schnorr (1989) Digital Signature Algorithm (DSA) 1991 vom NIST vorgeschlagen 1994 zum Standard erklärt (DSS, FIPS 186) Sicherheit gegen adaptive Angriffe: Cramer, Shoup (1998) Konzelationssystem (adaptive chosen-plaintext attack) Pointcheval, Stern (1998) Signatursystem (adaptive chosen-ciphertext attack) Verallgemeinerung des Verfahrens Realisierung in beliebigen zyklischen Gruppen möglich (Bedingung: DH-Problem schwer), z.b. Punktgruppe einer elliptischen Kurve über einem endlichen Körper Kryptographie und Kryptoanalyse Asymmetrische Verfahren ElGamal / DSA Digital Signature Algorithm (DSA) Öffentliche Parameter Primzahl q mit < q < Primzahl p mit q (p-1), 2 L-1 < p < 2 L, 512 L 1024 und L = t ÿ64 Element g Z * p mit order g = q Jeder Teilnehmer wählt zufällig k s mit 0 < k s < q berechnet k t = g k s mod p Kryptographie und Kryptoanalyse Asymmetrische Verfahren ElGamal / DSA Signieren A führt die folgenden Schritte aus: wählt Zufallszahl r Z * q berechnet r -1 mit r r -1 1 mod q berechnet s = (s 1, s 2 ) mit s 1 = (g r mod p) mod q s 2 = r -1 (h(m) + k s s 1 ) mod q sendetm, (s 1, s 2 ) Kryptographie und Kryptoanalyse
20 5 Asymmetrische Verfahren ElGamal / DSA Test der Signatur Teilnehmer benötigt öffentlichen Schlüssel von A: (p, q, g, k t ) testet, ob 1 s 1 q-1 und 1 s 2 q-1 berechnet v 1 = h(m) s -1 2 mod q v 2 = s 1 s -1 2 mod q akzeptiert Signatur, wenn (g k t mod p) mod q ª s 1 v 1 v 2 Berechnungen in einer Untergruppe von Z * p der Ordnung q durchgeführt kürzere Signaturen Kryptographie und Kryptoanalyse Asymmetrische Verfahren RSA-Kryptosystem RSA-Kryptosystem Ronald L. Rivest, Adi Shamir, Leonhard M. Adleman: A Method for Obtaining Digital Signatures and Public-Key Cryptosystems. Communications of the ACM, vol. 21, no. 2, 1978, Basiert auf der Faktorisierungsannahme (bislang jedoch kein Beweis) Verwendung als Konzelations- und Signatursystem Kryptographie und Kryptoanalyse Asymmetrische Verfahren RSA-Kryptosystem Mathematische Grundlagen Berechnung von n = pq leicht, aber Faktorisierung von n schwer Faktorisierungsalgorithmen Spezielle Algorithmen: Anforderungen an die Faktoren von n Allgemeine Algorithmen: hängen nur von der Größe von n ab Beispiele für spezielle Algorithmen: Faktorisierung nach Fermat (1643) n ungerade, p, q n Zerlegung n = x 2 y 2 = (x+y)(x y) Start mit x n Berechnung von x 2 n, (x+1) 2 n, (x+2) 2 n, bis Ergebnis eine Quadratzahl ist (y 2 = x 2 n) Faktoren von n: p = x + y, q = x - y Kryptographie und Kryptoanalyse
21 5 Asymmetrische Verfahren RSA-Kryptosystem Pollard (p-1)-methode (1974) n hat Primfaktor p, für den p-1 nur kleine Primfaktoren hat ( glatt bzgl. einer Schranke B) Ermitteln eines Vielfachen k von p-1 ohne Kenntnis von p Es gilt: a k 1 mod p (k = l(p - 1), ggt(a, p) = 1) p a k 1 n F a k 1 d = ggt(a k 1, n) echter Teiler von n (1 < d < n) Kandidaten für k: Produkte aller Primzahlpotenzen B Kryptographie und Kryptoanalyse Asymmetrische Verfahren RSA-Kryptosystem Beispiele für allgemeine Algorithmen: Quadratisches Sieb (Pomerance, 1981) Zahlkörpersieb (Anfang der 1990er Jahre) Grundlage beider Verfahren: Bestimme x, y Z, so dass gilt: Dann gilt: x 2 y 2 mod n x T ±y mod n n x 2 y 2 = (x y)(x + y) n F (x y) n F (x + y) ggt(x y, n) und ggt(x + y, n) sind Teiler von n Quadratisches Sieb für Faktorisierung von Zahlen bis ca. 110 Dezimalstellen schnellster Algorithmus Weiteres zur Faktorisierung: (RSA Factoring Challenge, bis 2007 aktualisiert) Kryptographie und Kryptoanalyse Asymmetrische Verfahren RSA-Kryptosystem Spezialfall des Chinesischen Restsatzes: für n = p q gilt a b mod n a b mod p a b mod q d.h.: n (a-b) p (a-b) q (a-b) Effiziente Berechnung von f(x) mod n mit Hilfe der Kenntnis von p, q möglich (y p = f(x) mod p, y q = f(x) mod q): y f(x) mod n y y p mod p y y q mod q Chinesischer Restealgorithmus (CRA): 1. bestimme u, v mit u p + v q = 1 (mittels EEA) 2. y = CRA(y p, y q ) = u p y q + v q y p mod n Kryptographie und Kryptoanalyse
22 5 Asymmetrische Verfahren RSA-Kryptosystem Schlüsselgenerierung (Konzelationssystem) Jeder Teilnehmer wählt zufällig und unabhängig 2 verschiedene Primzahlen p, q ungefähr gleicher Länge berechnet n = pq wählt zufällige Zahl k e mit 1 < k e < (n), ggt(k e, (n)) = 1-1 berechnet k d = k e mod (n) Öffentlicher Schlüssel: (n, k e ) Geheimer Schlüssel: (p, q, k d ) Signatursystem: k s statt k d und k t statt k e Kryptographie und Kryptoanalyse Asymmetrische Verfahren RSA-Kryptosystem RSA als Konzelationssystem (unsichere Variante) Teilnehmer A Schlüsselgenerierung öffentlich: n, k e privat: p, q, k d unsicherer Kanal Teilnehmer B bekannt: n, k e Entschlüsselung m = c k d mod n c Verschlüsselung c = m k e mod n (m < n) k k e d ke kd Nachzuweisen: m Ζn : m m m mod n Kryptographie und Kryptoanalyse Asymmetrische Verfahren RSA-Kryptosystem RSA als Signatursystem (unsichere Variante) Teilnehmer A Schlüsselgenerierung öffentlich: n, k t privat: p, q, k s unsicherer Kanal Teilnehmer B bekannt: n, k t Signieren s = m k smod n (m < n) m, s Testen m = s k t mod n? Kryptographie und Kryptoanalyse
23 5 Asymmetrische Verfahren RSA-Kryptosystem Effiziente Berechnung der Entschlüsselung mit Hilfe der Kenntnis von p und q Statt Berechnung von f(x) mod n: Berechnung von y p mod p und y q mod q und CRA(y p, y q ) Einmal zu berechnen: -1 k k e k d,p = k e mod (p-1) (c d,p ) c mod p -1 k k d,q = k e mod (q-1) (c d,q k e ) c mod q Entschlüsselung eines Schlüsseltextes c: k y p = c d,p mod p k y q = c d,q m = CRA(y p, y q ) mod q Kryptographie und Kryptoanalyse Asymmetrische Verfahren RSA-Kryptosystem Sicherheit Parameterwahl Stand der Faktorisierung Länge der verwendeten Primzahlen Anforderungen an die Primzahlen aufgrund spezieller Algorithmen Angriff auf RSA als Konzelationssystem bei zu kleinem öffentlichen Schlüssel sichere Verwendung Verwendung unterschiedlicher Module für unterschiedliche Nutzer (Verhinderung der Common Modulus Attack ) Verhinderung passiver Angriffe durch indeterministische Verschlüsselung Verhinderung aktiver Angriffe durch Hinzufügen von Redundanz Kryptographie und Kryptoanalyse Asymmetrische Verfahren RSA-Kryptosystem Wahl des öffentlichen Schlüssels (1) Bedingung: ggt(k e, (n)) = 1, aber frei wählbar Aus Effizienzgründen möglichst kurz, möglichst nur Nullen Möglicher Angriff auf RSA als Konzelationssystem für k e = 3: Ein Teilnehmer verschlüsselt Nachricht m für drei Teilnehmer mit k e = 3 und n 1 n 2 n 3 Angreifer beobachtet: c 1 = m k e mod n 1 = m 3 mod n 1 c 2 = m k e mod n 2 = m 3 mod n 2 c 3 = m k e mod n 3 = m 3 mod n 3 Kryptographie und Kryptoanalyse
24 5 Asymmetrische Verfahren RSA-Kryptosystem Wahl des öffentlichen Schlüssels (2) m 3 mod (n 1 n 2 n 3 ) = CRA(c 1, c 2, c 3 ) m 3 < n 1 n 2 n 3 m 3 mod (n 1 n 2 n 3 ) = m 3 Ermittlung von m: Ziehen der dritten Wurzel Allgemein: Angreifer müsste k e Verschlüsselungen derselben Nachricht beobachten Oftmals vorgeschlagen: Signatursystem: k t = 3 Konzelationssystem: k e = Kryptographie und Kryptoanalyse Asymmetrische Verfahren RSA-Kryptosystem Passive Angriffe RSA arbeitet deterministisch Konzelationssystem Angreifer: probeweise Verschlüsselung von Klartextblöcken und Vergleich mit beobachteten Schlüsseltextblöcken Abhilfe: Hinzunahme einer Zufallszahl r indeterministische Verschlüsselung der Nachrichten ( Randomisierung, Padding ) c = (r, m) k e mod n PKCS #1 v 1.5 (verwendet in SSL v 3.0): 1998 von Bleichenbacher gebrochen (gewählter Schlüsseltext-Klartext- Angriff) PKCS #1 v 2.1 basierend auf OAEP (Optimal Asymmetric Encryption Padding, Bellare und Rogaway 1995) Details: Kryptographie und Kryptoanalyse Asymmetrische Verfahren RSA-Kryptosystem Signatursystem Angreifer: Wahl einer Signatur, Berechnung der zugehörigen Nachricht mit m = s k t mod n Existentielles Brechen damit möglich Forderung: sinnvolle Texte dürfen sich nur mit sehr geringer Wahrscheinlichkeit ergeben Angriff wird zusätzlich erschwert durch Verwendung einer Hashfunktion (zur Verhinderung aktiver Angriffe) Kryptographie und Kryptoanalyse
25 5 Asymmetrische Verfahren RSA-Kryptosystem Aktive Angriffe (am Beispiel des Signatursystems) Grundlage: RSA ist Homomorphismus bzgl. Multiplikation Angreifer beobachtet Signaturen s 1, s 2 für Nachrichten m 1, m 2 berechnet Signatur s 3 = s 1 s 2 mod n für Nachricht m 3 = m 1 m 2 mod n (m 3 jedoch nicht frei wählbar) Aktiver Angriff von Davida (selektiv) Ziel: Signatur für gewählte Nachricht m 3 Angreifer -1 wählt m 1 und berechnet m 1 mod n -1 berechnet m 2 = m 3 m 1 mod n lässt m 1 und m 2 signieren erhält s 1, s 2 berechnet s 3 = s 1 s 2 mod n Kryptographie und Kryptoanalyse Asymmetrische Verfahren RSA-Kryptosystem Verbesserter aktiver Angriff von Moore (selektiv) Ziel: Signatur für gewählte Nachricht m 2 Angreifer * wählt r Z n, berechnet r -1 mod n berechnet m 1 = m 2 r k t mod n lässt m 1 signieren erhält s 1 berechnet s 2 = s 1 r -1 mod n Anwendung der Angriffe auf RSA als Konzelationssystem möglich Kryptographie und Kryptoanalyse Asymmetrische Verfahren RSA-Kryptosystem Anmerkung: Blinde Signaturen mit RSA Ausnutzen des Angriffs von Moore Empfänger der Signatur möchte Text unterschreiben lassen, ohne dass der Signierer den Text erfährt Anwendung z.b. für digitale Zahlungssysteme Ziel: blinde Signatur für Nachricht m 2 Teilnehmer * wählt r Z n, berechnet r -1 mod n blendet m 2 durch Multiplikation mit r k t: m 1 = m 2 r k t mod n lässt m 1 signieren erhält s 1 berechnet s 2 = s 1 r -1 mod n Kryptographie und Kryptoanalyse
26 5 Asymmetrische Verfahren RSA-Kryptosystem Verhinderung der skizzierten Angriffe Konzelationssystem: Hinzunahme einer Zufallszahl r Hinzufügen von Redundanz, die nach der Entschlüsselung geprüft wird: Anwendung einer kollisionsresistenten Hashfunktion h() auf Nachricht und Zufallszahl: c = (r, m, h(r, m)) k c Signatursystem: Anwendung einer kollisionsresistenten Hashfunktion h() auf die Nachricht: s = (h(m)) k s Kryptographie und Kryptoanalyse Asymmetrische Verfahren Rabin-Kryptosystem Rabin-Kryptosystem Michael O. Rabin: Digitalized Signatures and Public-Key Functions as Intractable as Factorization. MIT/LCS/TR-212, MIT Laboratory for Computer Science, January Beweisbar sicher gegen reine Schlüsseltextangriffe, aber der Beweis liefert auch einen gewählten Schlüsseltext-Angriff Sichere Verwendung möglich, Verschlüsselung effizienter als bei RSA Verwendung als Konzelations- und Signatursystem Kryptographie und Kryptoanalyse Asymmetrische Verfahren Rabin-Kryptosystem Mathematische Grundlagen Quadratische Reste modulo p (QR p ): QR p = {x p y * p : y 2 * x mod p} x: quadratischer Rest, y: Wurzel aus x -y: ebenfalls Wurzel aus x Elemente x p, für die diese Kongruenz nicht lösbar ist, heißen quadratische * Nichtreste modulo p Für Primzahlen 2gibt es genau quadratische Reste: Kryptographie und Kryptoanalyse
27 5 Asymmetrische Verfahren Rabin-Kryptosystem Entscheidung, ob eine Zahl ein quadratischer Rest ist, liefert das Euler-Kriterium: QR, falls 1 mod (effizient berechenbar m.h. der Square-and-Multiply-Methode) Wurzelziehen für p 3 mod 4: y z p 1 4 mod p (für p 1 mod 4 gibt es keine Lösungsformel, aber einen effizienten Algorithmus) Kryptographie und Kryptoanalyse Asymmetrische Verfahren Rabin-Kryptosystem Quadratische Reste modulo, (QR n ) Laut Chinesischem Restsatz gilt: y 2 x mod n y 2 x mod p y 2 x mod q Lösbarkeit der quadratischen Kongruenzen modulo p und modulo q mittels Euler-Kriterium überprüfen Wurzeln modulo p ( ) und modulo q ( ) bestimmen CRA(, ) liefert die vier Wurzeln modulo n: CRA, mit mod und mod CRA, mit mod und mod CRA, mit mod und mod CRA, mit mod und mod Kryptographie und Kryptoanalyse Asymmetrische Verfahren Rabin-Kryptosystem Schlüsselgenerierung Jeder Teilnehmer wählt zufällig und unabhängig 2 verschiedene Primzahlen p, q mit 3 mod 4 (vereinfacht die Entschlüsselung) berechnet n = pq Öffentlicher Schlüssel: n Geheimer Schlüssel: p, q Verschlüsselung 0, 1,, : mod Entschlüsselung Empfänger bestimmt die vier Quadratwurzeln aus c Nachteil: unklar, welche Wurzel die Nachricht ist Kryptographie und Kryptoanalyse
28 5 Asymmetrische Verfahren Rabin-Kryptosystem Sicherheit Leicht zu zeigen: Wer faktorisieren kann, kann das Rabin- Kryptosystem brechen. Zu zeigen: Wer das Rabin-Kryptosystem brechen kann, kann faktorisieren. Annahme: Es gibt einen Algorithmus R, der das Rabin-Kryptosystem bricht R liefert zu jedem c eine Quadratwurzel m R c. Angreifer: wählt berechnet mod und m R c :neues m wählen, Angriff wiederholen : falls ggt, 1, liefert der ggt p oder q nach einem Durchlauf n mit Wahrscheinlichkeit ½ faktorisiert beweisbar sicher gegen diesen Angriff Kryptographie und Kryptoanalyse Asymmetrische Verfahren Rabin-Kryptosystem Begründung für Möglichkeit der Faktorisierung tatsächliche Nachricht m ist eine der vier Wurzeln CRA(, ) berechnetes m R c erfüllt eine der folgenden Bedingungen: (1) mod mod (2) mod mod (3) mod mod (4) mod mod damit gilt: (1) ggt, (2) ggt, p (3) ggt, q (4) ggt, 1 Kryptographie und Kryptoanalyse Asymmetrische Verfahren Rabin-Kryptosystem Genügt diese beweisbare Sicherheit? Betrachtet wurde nur ein passiver Angriff Aus dem Beweis lässt sich jedoch der folgende gewählte Schlüsseltext-Angriff herleiten: Angreifer: wählt berechnet mod lässt sich entschlüsseln Kann mit Wahrscheinlichkeit ½ faktorisieren! Einführen von Redundanz (SAEP) verhindert diesen aktiven Angriff und erlaubt die Bestimmung der tatsächlichen Nachricht unter den 4 Wurzeln Kryptographie und Kryptoanalyse
29 5 Asymmetrische Verfahren Rabin-Kryptosystem Sichere Verwendung des Rabin-Kryptosystems Dan Boneh: Simplified OAEP for the RSA and Rabin Functions. CRYPTO 2001, Springer, LNCS 2139, pp , SAEP: Rabin, SAEP+: Rabin, RSA Verfahren beschreiben das Hinzufügen von Redundanz vor der Verschlüsselung (Padding) H, G: Hashfunktionen Effizienz: Padding im Vergleich zu den kryptographischen Operationen vernachlässigbar Abbildung aus [Bone_01] Kryptographie und Kryptoanalyse Asymmetrische Verfahren ECC Kryptosysteme auf Basis elliptischer Kurven Elliptic Curve Cryptography (ECC) V. Miller: Use of Elliptic Curves in Cryptography. Crypto 85, Springer, LNCS 218, , N. Koblitz: Elliptic Curve Cryptosystems. Mathematics of Computation, 48, , Grundlage: Auf elliptischen Kurven können (additive) abelsche Gruppen definiert werden, in denen das diskrete Logarithmus Problem (elliptic curve discrete logarithm problem, ECDLP) sehr schwer zu lösen ist (vermutlich schwerer als in multiplikativen Gruppen von Körpern gleicher Größe). Kryptographie und Kryptoanalyse Asymmetrische Verfahren ECC Elliptische Kurven über Eine elliptische Kurve über den reellen Zahlen ist die Menge aller Punkte x, die eine kubische Gleichung der Form y 2 = x 3 + ax + b mit a, b erfüllen sowie der Punkt im Unendlichen O. Bedeutung für Kryptographie: nicht-singuläre elliptische Kurven Nullstellen des Polynoms dürfen nicht zusammenfallen Bedingung: Diskriminante 0, d.h.: 4a b 2 0 Kryptographie und Kryptoanalyse
30 5 Asymmetrische Verfahren ECC Beispiele für elliptische Kurven über den reellen Zahlen (1) y 2 = x 3-7x + 1 y 2 = x 3-8x (-7) = Diskriminante: 4 (-8) = 652 Kryptographie und Kryptoanalyse Asymmetrische Verfahren ECC Beispiele für elliptische Kurven über den reellen Zahlen (2) y 2 = x 3-3x + 2 y 2 = x 3 4 (-3) = 0 Diskriminante: 4 (0) = 0 Kryptographie und Kryptoanalyse Asymmetrische Verfahren ECC Definition einer (additiven) abelschen Gruppe Menge der Punkte, welche die Gleichung erfüllen sowie Punkt im Unendlichen O als neutrales Element Operation + auf dieser Menge: Addition von Punkten E sei eine elliptische Kurve; Punkte P, Q, R E Folgende Axiome gelten: Abgeschlossenheit: P + Q = R Assoziativität: (P + Q) + R = P + (Q + R) Neutrales Element: P + O = O + P = P Inverses Element : P + (-P) = O Kommutativität: P + R = R + P Kryptographie und Kryptoanalyse
31 5 Asymmetrische Verfahren ECC Punktaddition R = P + Q mit Q -P R Q P y 2 = x 3-7x + 0,5 R = P + Q Gerade durch P und Q legen Schnittpunkt der Geraden mit der Kurve ergibt R Spiegelung von R an der x-achse ergibt R = P + Q Kryptographie und Kryptoanalyse Asymmetrische Verfahren ECC Punktaddition R = P + Q mit Q = -P P R = P + -P = O -P y 2 = x 3-7x + 0,5 Gerade durch P und P: Parallele zur y-achse Kein weiterer Schnittpunkt mit der Kurve Als Schnittpunkt definiert: O Kryptographie und Kryptoanalyse Asymmetrische Verfahren ECC Punktaddition R = P + P =2P mit y P 0 P R y 2 = x 3-8x + 10 R = 2P Tangente im Punkt P Schnittpunkt der Tangente mit der Kurve ergibt R Spiegelung von R an der x-achse ergibt R = 2P Kryptographie und Kryptoanalyse
32 5 Asymmetrische Verfahren ECC Punktaddition R = P + P =2P mit y P = 0 R = 2 P = P + - P = O P y 2 = x 3-8x + 10 Tangente im Punkt P: Parallele zur y-achse Kein Schnittpunkt der Tangente mit der Kurve Sonderfall von R = P + -P: R = 2P = P + -P = O Kryptographie und Kryptoanalyse Asymmetrische Verfahren ECC Berechnung der Koordinaten des Punktes R = (x R, y R ) P + Q = R mit P = (x P, y P ), Q = (x Q, y Q ); P Q Anstieg s der Geraden durch P und Q: s = (y Q y P )/(x Q x P ) x R = s 2 x P x Q y R = - y P + s(x P x R ) P + P = 2P = R mit P = (x P, y P ), y P 0 Anstieg s der Tangente am Punkt P : 2 s = (3x P + a)/(2y P ) x R = s 2 2x P y R = - y P + s(x P x R ) Kryptographie und Kryptoanalyse Asymmetrische Verfahren ECC Elliptische Kurven über endlichen Körpern Für Kryptographie relevant Möglichkeiten: GF(p) oder GF(2 m ) E(p; a, b): y 2 = x 3 + ax + b mod p; a, b p, p > 3 Menge aller Punkte, die diese Gleichung erfüllen, sowie O Rechenoperationen äquivalent (nun jedoch mod p) additive abelsche Gruppe Bedingung wiederum: Nullstellen dürfen nicht zusammenfallen (4a b 2 mod p 0) Kryptographie und Kryptoanalyse
33 5 Asymmetrische Verfahren ECC Punkte der elliptischen Kurve E(p; a, b) Quadratische Reste QR: * * QR p = {x p y p : y 2 x mod p} x: quadratischer Rest, y: Wurzel aus x -y: ebenfalls Wurzel aus x Ermitteln der Punkte von E(p; a, b): Berechnung von z = x 3 + ax + b mod p für x p z = 0: (x,0) ist ein Punkt von E(p; a, b) z 0: Prüfen, ob es sich um einen quadratischen Rest handelt z QR p z = y 2 Wurzelziehen (x,y) und (x, -y) sind Punkte von E(p; a, b) z QR p keine Punkte von E(p; a, b) gefunden Kryptographie und Kryptoanalyse Asymmetrische Verfahren ECC Prüfen, ob z QR p (p > 2) Legendre-Symbol: 0, falls z 0 mod p z 1, falls z QR p p -1, falls z QRp (z QNR p ) Euler-Kriterium: z z p p 1 2 mod p Wurzelziehen für p 3 mod 4: y z p 1 4 mod p Kryptographie und Kryptoanalyse Asymmetrische Verfahren ECC Beispiel: y 2 = x 3 + x + 6 mod 11 Diskriminante: mod 11 0 x z = x 3 + x + 6 mod 11 p+1 z p y 4 = z mod p , , , , , ,9 Punkte dieser elliptischen Kurve: {(2,4),(2,7), (3,5),(3,6), (5,2), (5,9), (7,2),(7,9), (8,3),(8,8), (10,2),(10,9), O} Kryptographie und Kryptoanalyse
34 5 Asymmetrische Verfahren ECC Beispiel: y 2 = x 3 + x + 6 mod 11 Punkte dieser elliptischen Kurve: {(2,4), (2,7), (3,5), (3,6), (5,2), (5,9), (7,2), (7,9), (8,3), (8,8), (10,2), (10,9), O} y x Kryptographie und Kryptoanalyse Asymmetrische Verfahren ECC Operationen auf elliptischen Kurven E(p; a, b) Punktaddition, Punktverdopplung; nun mod p Berechnung des Vielfachen eines Punktes R = cp: Double-and-(Add or Subtract)-Algorithmus Darstellung des Faktors: i c c i 2, c i {-1, 0, 1} i 0 R = O; for (i = l-1; i 0; i--) { R = 2R; if (c i == 1) then R = R + P mod p; else if (c i == -1) then R = R - P mod p; } l 1 Kryptographie und Kryptoanalyse Asymmetrische Verfahren ECC Effizienzverbesserung durch Darstellung des Exponenten in nichtadjazenter Form (NAF) es gibt keine zwei aufeinanderfolgenden Stellen 0 Überführen einer Binärdarstellung in NAF: von rechts beginnend ersetzen (0, 1, 1,, 1, 1) (1, 0, 0,, 0, -1) Darstellung in NAF enthält weniger Einsen weniger Additionen erforderlich Kryptographie und Kryptoanalyse
35 5 Asymmetrische Verfahren ECC Problem des diskreten Logarithmus auf elliptischen Kurven Durch einen Punkt P mit Ordnung n erzeugte additive zyklische Untergruppe von E(p; a, b): P = {O, P, 2P, 3P,, (n-1)p} Ordnung eines Punktes: order P = n; kleinste natürliche Zahl n mit np = O Gegeben seien eine elliptische Kurve E über GF(p), ein Punkt P E(p; a, b) sowie ein Punkt Q P. ECDLP: Bestimmung von d mit Q = dp. ECDLP Kryptographie und Kryptoanalyse Asymmetrische Verfahren ECC Parameter für ECC Öffentlich bekannte Parameter: Primzahl p, Kurve E(p; a, b), Punkt P und Ordnung n von P Geheimer Schlüssel: k d mit 1 k d < n Öffentlicher Schlüssel: Q = k d P (= k e ) Relevant bzgl. Sicherheit: Ordnung E(p; a, b) der elliptischen Kurven (Punktanzahl) sowie Ordnung zufällig gewählter Punkte E(p; a, b) [1, 2p + 1] Theorem von Hasse: p p E(p; a, b) p p (Hasse-Intervall) Klassen schwacher Kurven vermeiden Kryptographie und Kryptoanalyse Asymmetrische Verfahren ECC ECDH: Protokoll für Schlüsselaustausch Basiert auf Diffie-Hellman-Schlüsselaustausch Öffentlich bekannte Parameter: Primzahl p, Kurve E(p; a, b), Punkt P, order P = n Teilnehmer A unsicherer Kanal Teilnehmer B p, E(p; a, b), P, n p, E(p; a, b), P, n wählt x A mit 1 x A n-1 wählt x B mit 1 x B n-1 (x A geheim) (x B geheim) berechnet Q A = x A P mod p Q A Q B Q B = x B P mod p k A,B = x A Q B mod p enc(k A,B, m) k A,B = x B Q A mod p Kryptographie und Kryptoanalyse
36 5 Asymmetrische Verfahren ECC ElGamal Verschlüsselung mit elliptischen Kurven Schlüsselgenerierung Als öffentliche Parameter gegeben: p, E(p; a, b) über p, P E(p; a, b), order P = n Jeder Teilnehmer wählt als seinen geheimen Dechiffrierschlüssel zufällige Zahl k d mit 1 k d n-1 berechnet als öffentlichen Schlüssel (k e ) einen Punkt Q auf E(p; a, b) mit Q = k d P mod p Kryptographie und Kryptoanalyse Asymmetrische Verfahren ECC Verschlüsselung der Nachricht m (B A) B kennt öffentliche Parameter und Schlüssel Q von A stellt m als Punkt M E(p; a, b) dar wählt Zufallszahl r mit 1 r n-1 berechnet c 1 = rp mod p c 2 = M + rq mod p sendet c = (c 1, c 2 ) an A Entschlüsselung A berechnet M = c 2 k d c 1 mod p ermittelt m aus M Nachricht muss als Punkt der elliptischen Kurve dargestellt werden Expansionsfaktor ~4 Kryptographie und Kryptoanalyse Asymmetrische Verfahren ECC Relevanz von ECC Vorteil: geringere Schlüssellängen im Vergleich zu anderen kryptographischen Systemen Interessant für Einsatz in Umgebungen mit begrenzter Kapazität (Chipkarten, zusätzlich Punkt(de)kompression) Alternative zu RSA In verschiedenen Standards berücksichtigt, z.b. ANSI X9.62, FIPS 186-2, IEEE , ISO/IEC Beispiele: ECDSA (Elliptic Curve Digital Signature Algorithm) ECIES (Elliptic Curve Integrated Encryption Scheme) Kryptographie und Kryptoanalyse
37 5 Asymmetrische Verfahren ECC Reduktion des Speicherbedarfs für Punkte E(p; a,b): y 2 = x 3 + ax + b mod p (x,y) œ E, y 2 ª 0modp:(x,y 1 ), (x,y 2 ) œ E, y 2 ª - y 1 mod p Punkt-Kompression PK(x,y) E(p; a,b) \ {O} Z p μ Z 2 PK(x,y) = (x, y mod 2) Punkt-Dekompression PD(x,i) z = x 3 + ax + b mod p y = z mod p if (y ª i mod 2) then PD(x,i) = (x,y) else PD(x,i) = (x,-y) Kryptographie und Kryptoanalyse Asymmetrische Verfahren ECC ECIES (vereinfacht, nur Verschlüsselung) Öffentlich bekannte Parameter: Primzahl p, Kurve E(p; a, b), Punkt P und Ordnung n von P Geheimer Schlüssel: k d mit 1 k d < n Öffentlicher Schlüssel: Q = k d P Verschlüsselung von m œ Z p * Sender wählt Zufallszahl r mit 1 r n-1 berechnet c 1 = PK(rP mod p) c 2 = m x 0 mod p mit (x 0, y 0 ) = r Q mod p, x 0 0 Entschlüsselung PD(c 1 ) = rp mod p (x 0, y 0 ) = k d rpmod p -1 m = c 2 x 0 mod p Kryptographie und Kryptoanalyse
Public-Key-Verschlüsselung und Diskrete Logarithmen
Public-Key-Verschlüsselung und Diskrete Logarithmen Carsten Baum Institut für Informatik Universität Potsdam 10. Juni 2009 1 / 30 Inhaltsverzeichnis 1 Mathematische Grundlagen Gruppen, Ordnung, Primitivwurzeln
Einführung in die asymmetrische Kryptographie
!"#$$% Einführung in die asymmetrische Kryptographie Dipl.-Inform. Mel Wahl Prof. Dr. Christoph Ruland Universität Siegen Institut für digitale Kommunikationssysteme Grundlagen Verschlüsselung Digitale
Public Key Kryptographie
3. Juni 2006 1 Algorithmen für Langzahlen 1 RSA 1 Das Rabin-Kryptosystem 1 Diskrete Logarithmen Grundlagen der PK Kryptographie Bisher: Ein Schlüssel für Sender und Empfänger ( Secret-Key oder symmetrische
Einführung in die Kryptographie
Ä Johannes Buchmann Einführung in die Kryptographie Dritte, erweiterte Auflage Inhaltsverzeichnis 1. Einleitung 1 2. Ganze Zahlen 3 2.1 Grundlagen 3 2.2 Teilbarkeit 4 2.3 Darstellung ganzer Zahlen 5 2.4
Elliptic Curve Cryptography
Elliptic Curve Cryptography Institut für Informatik Humboldt-Universität zu Berlin 10. November 2013 ECC 1 Aufbau 1 Asymmetrische Verschlüsselung im Allgemeinen 2 Elliptische Kurven über den reellen Zahlen
Kryptographie - eine mathematische Einführung
Kryptographie - eine mathematische Einführung Rosa Freund 28. Dezember 2004 Überblick Grundlegende Fragestellungen Symmetrische Verschlüsselung: Blockchiffren, Hashfunktionen
Kryptographie und Komplexität
Kryptographie und Komplexität Einheit 5 Kryptosysteme auf der Basis diskreter Logarithmen 1. Diffie Hellman Schlüsselaustausch 2. El Gamal Systeme 3. Angriffe auf Diskrete Logarithmen 4. Elliptische Kurven
Kryptographie und Komplexität
Kryptographie und Komplexität Einheit 5.2 ElGamal Systeme 1. Verschlüsselungsverfahren 2. Korrektheit und Komplexität 3. Sicherheitsaspekte Das ElGamal Verschlüsselungsverfahren Public-Key Verfahren von
Public-Key Kryptographie mit dem RSA Schema. Torsten Büchner
Public-Key Kryptographie mit dem RSA Schema Torsten Büchner 7.12.2004 1.Einleitung 1. symmetrische-, asymmetrische Verschlüsselung 2. RSA als asymmetrisches Verfahren 2.Definition von Begriffen 1. Einwegfunktionen
Kryptographie mit elliptischen Kurven
Kryptographie mit elliptischen Kurven Dr. Dirk Feldhusen SRC Security Research & Consulting GmbH Bonn - Wiesbaden Inhalt Elliptische Kurven! Grafik! Punktaddition! Implementation Kryptographie! Asymmetrische
Asymmetrische Kryptographie u
Asymmetrische Kryptographie u23 2015 Simon, Florob e.v. https://koeln.ccc.de Cologne 2015-10-05 1 Zahlentheorie Modulare Arithmetik Algebraische Strukturen Referenzprobleme 2 Diffie-Hellman Diffie-Hellman-Schlüsselaustausch
Technikseminar SS2012
Technikseminar SS2012 ECC - Elliptic Curve Cryptography Kryptosysteme basierend auf elliptischen Kurven 11.06.2012 Gliederung Was ist ECC? ECC und andere Verfahren Diffie-Hellman-Schlüsselaustausch Funktionsweise
Kryptographie und Komplexität
Kryptographie und Komplexität Einheit 4.4 Semantische Sicherheit 1. Sicherheit partieller Informationen 2. Das Verfahren von Rabin 3. Sicherheit durch Randomisierung Semantische Sicherheit Mehr als nur
Kryptographische Protokolle
Kryptographische Protokolle Lerneinheit 4: Schlüsselvereinbarung Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen Sommersemester 2017 8.5.2017 Einleitung Einleitung In dieser Lerneinheit
3: Zahlentheorie / Primzahlen
Stefan Lucks Diskrete Strukturen (WS 2009/10) 96 3: Zahlentheorie / Primzahlen 3: Zahlentheorie / Primzahlen Stefan Lucks Diskrete Strukturen (WS 2009/10) 97 Definition 37 (Teiler, Vielfache, Primzahlen,
Einführung in die Kryptographie
Johannes Buchmann Einführung in die Kryptographie Fünfte Auflage ~ Springer Inhaltsverzeichnis 1. Einleitung... 1 2. Ganze Zahlen............................................. 3 2.1 Grundlagen... 3 2.2
Kryptographie und Komplexität
Kryptographie und Komplexität Einheit 4 Public Key Kryptographie mit RSA 1. Ver- und Entschlüsselung 2. Schlüsselerzeugung und Primzahltests 3. Angriffe auf das RSA Verfahren 4. Sicherheit von RSA Probleme
Kapitel 3 Elementare Zahletheorie
Kapitel 3 Elementare Zahletheorie 89 Kapitel 3.1 Ganze Zahlen, Gruppen und Ringe 90 Die ganzen Zahlen Menge der ganzen Zahlen Z={..., 3, 2, 1,0,1,2,3,...} Es gibt zwei Operationen Addition: Z Z Z, (a,b)
Vorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 12.05.2014 1 / 26 Überblick 1 Hashfunktionen Erinnerung Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel:
Kryptographie und Kryptoanalyse Literaturhinweise
Kryptographie und Kryptoanalyse Literaturhinweise 21. April 2015 Begleitbuch inkl. Übungen und Musterlösungen: [1] Auswahl weiterer Bücher: [5, 10, 25, 30, 41, 45] Schlüsselaustausch: [9] Sicherheit kryptographischer
Elliptische Kurven. Definition Elliptische Kurve nach Willems Sei K ein Körper der Charakteristik ungleich 2 und 3. Eine Polynomgleichung der Form
Elliptische Kurven Einstieg: - Elliptische Kurven sind spezielle algebraische Kurven, auf denen geometrisch eine Addition definiert ist. - Diese Addition spielt in der Kryptographie eine wichtige Rolle,
Aufgabe der Kryptografie
Aufgabe der Kryptografie Eve möchte die Unterhaltung mithören und/oder ausgetauschte Informationen ändern. Alice & Bob kommunzieren über einen unsicheren Kanal. Alice & Bob nutzen Verschlüsselung und digitale
Übungen zur Vorlesung Systemsicherheit
Übungen zur Vorlesung Systemsicherheit Asymmetrische Kryptographie Tilo Müller, Reinhard Tartler, Michael Gernoth Lehrstuhl Informatik 1 + 4 24. November 2010 c (Lehrstuhl Informatik 1 + 4) Übungen zur
Einführung in die Kryptographie. 20.6.2011, www.privacyfoundation.ch
Einführung in die Kryptographie 20.6.2011, www.privacyfoundation.ch Kryptographie Name kryptós: verborgen, geheim gráphein: schreiben Verschlüsselung Text so umwandeln, dass man ihn nur noch entziffern/lesen
Public Key Kryptographie
4. Dezember 2007 Outline 1 Einführung 2 3 4 Einführung 1976 Whitefield Diffie und Martin Hellman 2 Schlüsselprinzip Asymmetrische Verschlüsselungsverfahren public Key private Key Anwendung E-Mail PGP openpgp
6.2 Asymmetrische Verschlüsselung
6.2 Asymmetrische Verschlüsselung (asymmetric encryption, public-key encryption) Prinzip (Diffie, Hellman, Merkle 1976-78): Statt eines Schlüssels K gibt es ein Schlüsselpaar K E, K D zum Verschlüsseln
Vorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 15.05.2017 1 / 25 Überblick 1 Hashfunktionen Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel: RSA
Literatur. ISM SS 2017 Teil 8/Asymmetrische Verschlüsselung
Literatur [8-1] Beutelspacher, A.; Schwenk, J.; Wolfenstetter, K.-D.: Moderne Verfahren der Kryptographie. 4. Auflage, Vieweg 2001 [8-2] Schmeh, Klaus: Kryptografie. dpunkt, 4. Auflage, 2009 [8-3] Schneier,
Kryptograhie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik
Kryptograhie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik Übersicht Zwecke der Krytographie Techniken Symmetrische Verschlüsselung( One-time Pad,
Probabilistische Primzahltests
23.01.2006 Motivation und Überblick Grundsätzliches Vorgehen Motivation und Überblick Als Primzahltest bezeichnet man ein mathematisches Verfahren, mit dem ermittelt wird, ob eine gegebene Zahl eine Primzahl
Elliptische Kurven. dp := P P. als die d-fache Skalarmultiplikation von P, so erhalten wir alle Gruppenelemente aus G mittels
Elliptische Kurven Mitte der 1980 ern schlugen Miller 11 und Koblitz 12 unabhängig voneinander vor elliptische Kurven für die Kryptographie einzusetzen. Analog zu den Diskreten-Logarithmus-Verfahren, bei
Proseminar Datensicherheit & Versicherungsmathematik RSA-Verfahren
Proseminar Datensicherheit & Versicherungsmathematik RSA-Verfahren Herwig Stütz 2007-11-23 1 Inhaltsverzeichnis 1 Einführung 2 2 Das RSA-Verfahren 2 2.1 Schlüsselerzeugung.................................
Übung GSS Blatt 6. SVS Sicherheit in Verteilten Systemen
Übung GSS Blatt 6 SVS Sicherheit in Verteilten Systemen 1 Einladung zum SVS-Sommerfest SVS-Sommerfest am 12.07.16 ab 17 Uhr Ihr seid eingeladen! :-) Es gibt Thüringer Bratwürste im Brötchen oder Grillkäse
4 Kryptologie. Übersicht
4 Kryptologie Übersicht 4.1 Der erweiterte euklidische Algorithmus................................ 38 4.2 Rechnen mit Restklassen modulo p................................... 39 4.3 Der kleine Satz von
Kryptographie. ein erprobter Lehrgang. AG-Tagung Informatik, April 2011 Alfred Nussbaumer, LSR für NÖ. LSR für NÖ, 28. April 2011 Alfred Nussbaumer
Kryptographie ein erprobter Lehrgang AG-Tagung Informatik, April 2011 Alfred Nussbaumer, LSR für NÖ 1 Variante: Kryptographie in 5 Tagen Ein kleiner Ausflug in die Mathematik (Primzahlen, Restklassen,
Kryptographie und elliptische Kurven - oder: Wie macht man Mathematikern das Leben schwer?
Kryptographie und elliptische Kurven - oder: Wie macht man Mathematikern das Leben schwer? Harold Gutch logix@foobar.franken.de KNF Kongress 2007, 25. 11. 2007 Outline Worum geht es überhaupt? Zusammenhang
Vorlesung Diskrete Strukturen Gruppe und Ring
Vorlesung Diskrete Strukturen Gruppe und Ring Bernhard Ganter Institut für Algebra TU Dresden D-01062 Dresden bernhard.ganter@tu-dresden.de WS 2009/10 1 Bernhard Ganter, TU Dresden Modul Einführung in
RSA Verfahren. Kapitel 7 p. 103
RSA Verfahren RSA benannt nach den Erfindern Ron Rivest, Adi Shamir und Leonard Adleman war das erste Public-Key Verschlüsselungsverfahren. Sicherheit hängt eng mit der Schwierigkeit zusammen, große Zahlen
Digitale Signaturen. Einführung und das Schnorr Signatur Schema. 1 Digitale Signaturen Einführung & das Schnorr Signatur Schema.
Digitale Signaturen Einführung und das Schnorr Signatur Schema 1 Übersicht 1. Prinzip der digitalen Signatur 2. Grundlagen Hash Funktionen Diskreter Logarithmus 3. ElGamal Signatur Schema 4. Schnorr Signatur
Vortrag zum Proseminar: Kryptographie
Vortrag zum Proseminar: Kryptographie Thema: Oliver Czernik 6.12.2005 Historie Michael Rabin Professor für Computerwissenschaft Miller-Rabin-Primzahltest Januar 1979 April 1977: RSA Asymmetrisches Verschlüsselungssystem
Das RSA-Verfahren. Proseminar Kryptographische Protokolle SS Armin Litzel
in der Praxis Proseminar Kryptographische Protokolle SS 2009 5.5.2009 in der Praxis Gliederung 1 Grundlegendes über RSA 2 in der Praxis Allgemeine Vorgehensweise zur Verschlüsselung Signieren mit RSA 3
Einführung in. Elliptische Kurven. Seminarvortrag im Rahmen des Proseminars. Public-Key Kryptographie. Björn Mühlenfeld
Einführung in Elliptische Kurven Seminarvortrag im Rahmen des Proseminars Public-Key Kryptographie Björn Mühlenfeld 10.01.2006 Übersicht 1/15 Definition Addition auf elliptischen Kurven Elliptische Kurven
Betriebssysteme und Sicherheit
Betriebssysteme und Sicherheit Signatursysteme WS 2013/2014 Dr.-Ing. Elke Franz Elke.Franz@tu-dresden.de 1 Überblick 1 Prinzip digitaler Signatursysteme 2 Vergleich symmetrische / asymmetrische Authentikation
Lösungen zu. Grundlagen der Kryptologie SS Hochschule Konstanz. Dr.-Ing. Harald Vater. Giesecke & Devrient GmbH Prinzregentenstraße 159
Lösungen zu Grundlagen der Kryptologie SS 008 Hochschule Konstanz Dr.-Ing. Harald Vater Giesecke & Devrient GmbH Prinzregentenstraße 159 D-81677 München Tel.: +49 89 4119-1989 E-Mail: hvater@htwg-konstanz.de
Vorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 06.05.2013 1 / 25 Überblick 1 Hashfunktionen Erinnerung Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel:
1 Das RSA-Verfahren und seine algorithmischen Grundlagen
1 Das RSA-Verfahren und seine algorithmischen Grundlagen Das wichtigste d. h., am weitesten verbreitete und am meisten analysierte asymmetrische Verfahren ist das RSA-Verfahren, benannt nach seinen Erfindern
Vorlesung Datensicherheit. Sommersemester 2010
Vorlesung Datensicherheit Sommersemester 2010 Harald Baier Kapitel 3: Hashfunktionen und asymmetrische Verfahren Inhalt Hashfunktionen Asymmetrische kryptographische Verfahren Harald Baier Datensicherheit
Wiederholung. Symmetrische Verfahren: klassische Verfahren / grundlegende Prinzipien: Substitution, Transposition, One-Time-Pad DES AES
Wiederholung Symmetrische Verfahren: klassische Verfahren / grundlegende Prinzipien: Substitution, Transposition, One-Time-Pad DES AES Mathematische Grundlagen: algebraische Strukturen: Halbgruppe, Monoid,
Zusammenfassung der Vorlesung vom 15.4.2015
Zusammenfassung der Vorlesung vom 15.4.2015 Für welche Schutzziele ist Kryptographie der geeignete Schutzmechanismus? Was genau kann erreicht werden (verhindern / entdecken)? Was besagt das Prinzip von
$Id: ring.tex,v /05/03 15:13:26 hk Exp $
$Id: ring.tex,v 1.13 2012/05/03 15:13:26 hk Exp $ 3 Ringe 3.1 Der Ring Z m In der letzten Sitzung hatten wir die sogenannten Ringe eingeführt, dies waren Mengen A versehen mit einer Addition + und einer
Großer Beleg. Arithmetische Optimierung eines kryptographischen Algorithmus für moderne FPGA-Architekturen. Peter Heinzig. 17.
Großer Beleg Arithmetische Optimierung eines kryptographischen Algorithmus für moderne FPGA-Architekturen Peter Heinzig 17. Januar 2011 1/23 Peter Heinzig Großer Beleg Überblick Einleitung 1 Einleitung
Das RSA Kryptosystem
Kryptografie Grundlagen RSA Institut für Mathematik Technische Universität Berlin Kryptografie Grundlagen RSA mit geheimem mit öffentlichem Schlüssel Realisierung Kryptografie mit geheimem Schlüssel Alice
Public Key Kryptographie mit dem RSA Schema. Karsten Fischer, Sven Kauer
Public Key Kryptographie mit dem RSA Schema Karsten Fischer, Sven Kauer Gliederung I. Historischer Hintergrund II. Public Key Kryptographie III. Beispielszenario IV. Einweg-Funktion V. RSA Verfahren VI.
RSA Äquivalenz der Parameter
RSA Kryptosystem Wurde 1977 von Rivest, Shamir und Adleman erfunden. Genaue Beschreibung im PKCS #1. De-facto Standard für asymmetrische Kryptosysteme. Schlüsselerzeugung: Seien p, q zwei verschiedene,
Regine Schreier
Regine Schreier 20.04.2016 Kryptographie Verschlüsselungsverfahren Private-Key-Verfahren und Public-Key-Verfahren RSA-Verfahren Schlüsselerzeugung Verschlüsselung Entschlüsselung Digitale Signatur mit
EINIGE GRUNDLAGEN DER KRYPTOGRAPHIE
EINIGE GRUNDLAGEN DER KRYPTOGRAPHIE Steffen Reith reith@thi.uni-hannover.de 22. April 2005 Download: http://www.thi.uni-hannover.de/lehre/ss05/kry/folien/einleitung.pdf WAS IST KRYPTOGRAPHIE? Kryptographie
Zahlentheorieseminar: Einführung in die Public-Key-Kryptographie
Dozent: Dr. Ralf Gerkmann Referenten: Jonathan Paulsteiner (10939570) und Roman Lämmel ( ) Zahlentheorieseminar: Einführung in die Public-Key-Kryptographie 0. Inhalt 1. Einführung in die Kryptographie
Zufallsprimzahlen und eine Revolution in der Kryptographie Stefan Edelkamp
Zufallsprimzahlen und eine Revolution in der Kryptographie Stefan Edelkamp Fakultät für Mathematik und Informatik Universität of Bremen Übersicht des Vortrags 1 Einfache Kryptosysteme 2 Einmalschlüssel
Pseudo-Zufallsgeneratoren basierend auf dem DLP
Seminar Codes und Kryptografie SS 2004 Struktur des Vortrags Struktur des Vortrags Ziel Motivation 1 Einleitung Ziel Motivation 2 Grundlegende Definitionen Zufallsgeneratoren 3 Generator Sicherheit 4 Generator
WS 2009/10. Diskrete Strukturen
WS 2009/10 Diskrete Strukturen Prof. Dr. J. Esparza Lehrstuhl für Grundlagen der Softwarezuverlässigkeit und theoretische Informatik Fakultät für Informatik Technische Universität München http://www7.in.tum.de/um/courses/ds/ws0910
4: Algebraische Strukturen / Gruppen
Stefan Lucks Diskrete Strukturen (WS 2009/10) 120 4: Algebraische Strukturen / Gruppen Definition 46 Sei G eine nichtleere Menge. Eine Funktion : G G G bezeichnen wir als Verknüpfung auf G. Das Paar (G,
Rabin Verschlüsselung 1979
Rabin Verschlüsselung 1979 Idee: Rabin Verschlüsselung Beobachtung: Berechnen von Wurzeln in Z p ist effizient möglich. Ziehen von Quadratwurzeln in Z N ist äquivalent zum Faktorisieren. Vorteil: CPA-Sicherheit
Workshop Experimente zur Kryptographie
Fakultät Informatik, Institut Systemarchitektur, Professur Datenschutz und Datensicherheit Workshop Experimente zur Kryptographie Sebastian Clauß Dresden, 23.03.2011 Alltägliche Anwendungen von Kryptographie
Kryptographische Verfahren. zur Datenübertragung im Internet. Patrick Schmid, Martin Sommer, Elvis Corbo
Kryptographische Verfahren zur Datenübertragung im Internet Patrick Schmid, Martin Sommer, Elvis Corbo 1. Einführung Übersicht Grundlagen Verschlüsselungsarten Symmetrisch DES, AES Asymmetrisch RSA Hybrid
Kurze Einführung in kryptographische Grundlagen.
Kurze Einführung in kryptographische Grundlagen. Was ist eigentlich AES,RSA,DH,ELG,DSA,DSS,ECB,CBC Benjamin.Kellermann@gmx.de GPG-Fingerprint: D19E 04A8 8895 020A 8DF6 0092 3501 1A32 491A 3D9C git clone
Homomorphe Verschlüsselung
Homomorphe Verschlüsselung Definition Homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : G G für Gruppen G, G. Π heißt homomorph, falls Enc(m 1 ) G Enc(m 2 ) eine gültige Verschlüsselung
Bemerkungen. Orientierung. Digitale Unterschriften. Angriffe und Sicherheitsmodelle
Orientierung Haben bisher im Public-Key Bereich nur Verschlüsselung betrachtet. Haben dafür geeignete mathematische Strukturen und ihre Eigenschaften diskutiert. RSA, Rabin: Restklassenringe modulo n,
Gruppenbasierte Kryptographie. ElGamal Sicherheit. Drei Probleme. ElGamal Verschlüsselung. Benutzt zyklische Gruppen von (fast) Primzahlordnung:
Gruppenbasierte Kryptographie Benutzt zyklische Gruppen von (fast) Primzahlordnung: G = g und #G = l = cl 0 mit c klein und l 0 prim. b G : x Z : b = g x. Das Element x heißt diskreter Logarithmus von
El Gamal Verschlüsselung und seine Anwendungen
El Gamal Verschlüsselung und seine Anwendungen Andrés Guevara July 11, 2005 1 Kurze Einführung in die Kryptographie Situation: Absender will Empfänger eine Nachricht schicken. Einige Ziele der Kryptographie
Der kleine Satz von Fermat
Der kleine Satz von Fermat Luisa-Marie Hartmann 5. Mai 2017 Inhaltsverzeichnis 1 Einleitung 3 2 Hauptteil 4 2.1 Prime Restklassengruppen............................ 4 2.2 Ordnung von Gruppenelementen........................
Kommunikationsalgorithmus RSA
Kommunikationsalgorithmus RSA Herr Maue Ergänzungsfach Informatik Neue Kantonsschule Aarau Früjahrsemester 2015 24.04.2015 EFI (Hr. Maue) Kryptographie 24.04.2015 1 / 26 Programm heute 1. Verschlüsselungsverfahren
Klassische Verschlüsselungsverfahren
Klassische Verschlüsselungsverfahren Matthias Morak 10. Dezember 2008 Inhaltsverzeichnis 1 Einleitung 2 1.1 Definitionen........................................ 2 1.2 Geschichte.........................................
Kryptographie. Nachricht
Kryptographie Kryptographie Sender Nachricht Angreifer Empfänger Ziele: Vertraulichkeit Angreifer kann die Nachricht nicht lesen (Flüstern). Integrität Angreifer kann die Nachricht nicht ändern ohne dass
Wiederholung Symmetrische Verschlüsselung klassische Verfahren: Substitutionschiffren Transpositionschiffren Vigenère-Chiffre One-Time-Pad moderne
Wiederholung Symmetrische Verschlüsselung klassische Verfahren: Substitutionschiffren Transpositionschiffren Vigenère-Chiffre One-Time-Pad moderne Verfahren: DES (Feistel-Chiffre) mehrfache Wiederholung
Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Nachklausur
Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz IKS Institut für Kryptographie und Sicherheit Stammvorlesung Sicherheit im Sommersemester 2013 Nachklausur 07.10.2013 Vorname: Nachname:
IT-Sicherheit Kapitel 3 Public Key Kryptographie
IT-Sicherheit Kapitel 3 Public Key Kryptographie Dr. Christian Rathgeb Sommersemester 2013 1 Einführung In der symmetrischen Kryptographie verwenden Sender und Empfänger den selben Schlüssel die Teilnehmer
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Klausur Hinweise
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Klausur 21.07.2015 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen
Einführung in die Kryptographie
Einführung in die Kryptographie Stefan Katzenbeisser Institut für Informatik Technische Universität München skatzenbeisser@acm.org Kryptographie p.1/54 Vom Zeichen zum Code Älteste Form: Codes repräsentieren
Einführung in Computer Microsystems
Einführung in Computer Microsystems Kapitel 9 Entwurf eines eingebetteten Systems für Anwendungen in der IT-Sicherheit Prof. Dr.-Ing. Sorin A. Huss Fachbereich Informatik Integrierte Schaltungen und Systeme
IT-Sicherheit: Kryptographie. Asymmetrische Kryptographie
IT-Sicherheit: Kryptographie Asymmetrische Kryptographie Fragen zur Übung 5 C oder Java? Ja (gerne auch Python); Tips waren allerdings nur für C Wie ist das mit der nonce? Genau! (Die Erkennung und geeignete
Konzepte von Betriebssystemkomponenten: Schwerpunkt Sicherheit. Asymmetrische Verschlüsselung, Digitale Signatur
Konzepte von Betriebssystemkomponenten: Schwerpunkt Sicherheit Thema: Asymmetrische Verschlüsselung, Digitale Signatur Vortragender: Rudi Pfister Überblick: Asymmetrische Verschlüsselungsverfahren - Prinzip
Digitale Unterschriften mit ElGamal
Digitale Unterschriften mit ElGamal Seminar Kryptographie und Datensicherheit Institut für Informatik Andreas Havenstein Inhalt Einführung RSA Angriffe auf Signaturen und Verschlüsselung ElGamal Ausblick
Grundlagen der Verschlüsselung und Authentifizierung (1)
Grundlagen der Verschlüsselung und Authentifizierung (1) Proseminar im SS 2010 Friedrich-Alexander-Universität Erlangen-Nürnberg 18.05.2010 1 Motivation
4 Diskrete Logarithmen und Anwendungen
Stand: 19.1.2015 Vorlesung Grundlagen und Methoden der Kryptographie Dietzfelbinger 4 Diskrete Logarithmen und Anwendungen 4.1 Diskrete Logarithmen Wir betrachten eine endliche zyklische Gruppe (G,, e)
4 Diskrete Logarithmen und Anwendungen
Stand: 05.11.2013 Vorlesung Grundlagen und Methoden der Kryptographie Dietzfelbinger 4 Diskrete Logarithmen und Anwendungen 4.1 Diskrete Logarithmen Wir betrachten eine endliche zyklische Gruppe (G,, e)
11. Das RSA Verfahren
Chr.Nelius: Zahlentheorie (SoSe 2017) 53 11. Das RSA Verfahren Bei einer asymmetrischen Verschlüsselung lässt sich der Schlüssel zum Entschlüsseln nicht aus dem Schlüssel zum Verschlüsseln bestimmen und
7.3 Unizitätslänge. 8 Schlüsselaustausch und öffentliche Schlüssel
7.3 Unizitätslänge ein Chiffrierverfahren sei über Z verschiedene Schlüssel parametrierbar also könnte ein Geheimtext zu (höchstens) Z verschiedenen Klartexten entschlüsselt werden wie viele davon sind
Diffie-Hellman, ElGamal und DSS. Vortrag von David Gümbel am 28.05.2002
Diffie-Hellman, ElGamal und DSS Vortrag von David Gümbel am 28.05.2002 Übersicht Prinzipielle Probleme der sicheren Nachrichtenübermittlung 'Diskreter Logarithmus'-Problem Diffie-Hellman ElGamal DSS /
7 Asymmetrische Kryptosysteme
10 7 Asymmetrische Kryptosysteme 7 Asymmetrische Kryptosysteme Diffie und Hellman kamen 1976 auf die Idee, dass die Geheimhaltung des Chiffrierschlüssels keine notwendige Voraussetzung für die Sicherheit
Kryptographie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik
Kryptographie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik Übersicht Zwecke der Kryptographie Techniken Symmetrische Verschlüsselung( One-time Pad,
Lösung zur Klausur zu Krypographie Sommersemester 2005
Lösung zur Klausur zu Krypographie Sommersemester 2005 1. Bestimmen Sie die zwei letzten Ziffern der Dezimaldarstellung von 12 34 Es gilt: 12 34 = 12 32+2 = 12 32 12 2 = 12 (25) 12 2 = ((((12 2 ) 2 ) 2
Kryptographische Algorithmen
Kryptographische Algorithmen Lerneinheit 6: Public Key Kryptosysteme Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen Wintersemester 2016/2017 19.9.2016 Public Key Kryptosysteme Einleitung
Einführung in die Kryptographie
Einführung in die Kryptographie Stefan Katzenbeisser Institut für Informatik Technische Universität München skatzenbeisser@acm.org Kryptographie p.1/54 Vom Zeichen zum Code Älteste Form: Codes repräsentieren
Zahlentheorie, Arithmetik und Algebra
Zahlentheorie, Arithmetik und Algebra Seminar Hallo Welt für Fortgeschrittene 2008 Matthias Niessner June 20, 2008 Erlangen 1 von 29 Matthias Niessner Zahlentheorie, Arithmetik und Algebra Übersicht 1
Anwendungen der Linearen Algebra: Kryptologie
Anwendungen der Linearen Algebra: Kryptologie Philip Herrmann Universität Hamburg 5.12.2012 Philip Herrmann (Universität Hamburg) AnwLA: Kryptologie 1 / 28 No one has yet discovered any warlike purpose
Algorithmentheorie Randomisierung. Robert Elsässer
Algorithmentheorie 03 - Randomisierung Robert Elsässer Randomisierung Klassen von randomisierten Algorithmen Randomisierter Quicksort Randomisierter Primzahltest Kryptographie 2 1. Klassen von randomisierten
AES und Public-Key-Kryptographie
Jens Kubieziel jens@kubieziel.de Friedrich-Schiller-Universität Jena Fakultät für Mathem atik und Informatik 22. Juni 2009 Beschreibung des Algorithmus Angriffe gegen AES Wichtige Algorithmen im 20. Jahrhundert
Seminar zum Thema Kryptographie
Seminar zum Thema Kryptographie Michael Hampton 11. Mai 2017 Inhaltsverzeichnis 1 Einleitung 3 1.1 Konventionen.................................. 3 1.2 Wiederholung.................................. 3
RSA (Rivest, Shamir, Adleman)
Juli 2012 LB 3 Kryptographie F. Kaden 1/11 1977 von Rivest, Shamir, Adleman am MIT (Massachusetts Institut of Technology) entwickelt asymmetrisches Verschlüsselungsverfahren Ziel: email-verschlüsselung,