Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Nachklausur

Größe: px
Ab Seite anzeigen:

Download "Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Nachklausur"

Transkript

1 Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz IKS Institut für Kryptographie und Sicherheit Stammvorlesung Sicherheit im Sommersemester 2013 Nachklausur Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen Ihnen 60 Minuten zur Verfügung. - Zum Bestehen der Klausur sind 20 der 60 möglichen Punkte hinreichend. - Es sind keine Hilfsmittel zugelassen. - Schreiben Sie Ihre Lösungen auf die Aufgabenblätter sowie auf deren Rückseiten. - Zusätzliches Papier erhalten Sie bei Bedarf von der Aufsicht. Aufgabe mögliche Punkte erreichte Punkte a b c d Σ a b c d Σ x1 10 Σ 60

2 Aufgabe 1. ( Punkte) Betrachten Sie das einfache RSA-Verschlüsselungsverfahren (ohne Padding) aus der Vorlesung. (a) Seien die Primzahlen P = 11 und Q = 13 gegeben. Berechnen Sie den geheimen Exponenten d zum öffentlichen Exponenten e = 7 und geben Sie den öffentlichen Schlüssel an. (b) Verschlüsseln Sie die Nachricht M = 119 mit dem öffentlichen Schlüssel aus (a). (c) Seien die RSA-Chiffrate C 1 = M e1 mod N und C 2 = M e2 mod N mit gcd(e 1, e 2 ) = 1 und öffentlichen Exponenten e 1, e 2 sowie öffentlichem RSA-Modulus N gegeben. Wie kann M effizient berechnet werden? (Dabei sei gcd der Größte-gemeinsame-Teiler-Algorithmus.) (d) Gegeben sei der öffentliche RSA-Modulus N = P Q, mit unbekannten Primzahlen P, Q, und der Wert der eulerschen Phi-Funktion ϕ(n) = (P 1)(Q 1). Geben Sie eine Formel zur effizienten Berechnung von P und Q an. Lösungsvorschlag zu Aufgabe 1. (a) Wir berechnen N := P Q = = 143 und ϕ(n) = (P 1)(Q 1) = = 120. Der erweiterte euklidische Algorithmus EE(7, 120) liefert ( 17, 1), da 120 = = 1 gilt. Der geheime Exponent lautet d := 17 mod 120 = 103. (d = 17 ist ebenso eine gültige Lösung.) Der öffentliche Schlüssel ergibt sich zu (N, e) = (143, 7). (b) Wir berechnen C := M e mod N = mod 143 = ( 12 2) 7 mod 143 = mod 143 = mod 143 = 180 mod 143 = 37. (Dabei ist ( 12) 2 mod 143 = 1.) (c) Da gcd(e 1, e 2 ) = 1 gilt, erhalten wir mittels des erweitertem euklidischem Algorithmus EE(e 1, e 2 ) = (α, β) (Z) 2 mit α e 1 + β e 2 = 1. M erhalten wir durch die Berechnung C α 1 C β 2 mod N = M e1α M e2β mod N = M α e1+β e2 mod N = M. (d) Es gilt ϕ(n) = (P 1)(Q 1) = P Q P Q + 1 = N P N/P = P 2 + (ϕ(n) N 1)P + N. Nach Umformung nach P erhalten wir (ϕ(n) N 1) P 1,2 := ± 2 ( ( ϕ(n) N 1) 2 ) 2 N. Ohne Beschränkung der Allgemeinheit setzen wir P := P 1 Lösungen, da die Diskriminante positiv ist. und Q := P 2. Es existieren beide 1

3 Aufgabe 2. (6+2+3 Punkte) (a) Betrachten Sie das einfache ElGamal-Signaturverfahren (ohne Hashfunktion) aus der Vorlesung. Für zwei Primzahlen p und q sei hierfür die zyklische Gruppe G Z p der Ordnung q mit Erzeuger g gegeben. (i) Schlüsselerzeugung: Wie berechnet sich der zu einem geheimen Signaturschlüssel sk := (G, g, x) passende Verifikationsschlüssel? (ii) Signatur: Wie wird die ElGamal-Signatur zu einer Nachricht m mit Signaturschlüssel (G, g, x) erzeugt? (iii) Verifikation: Gegeben sei die Signatur σ := (a, b). Wie können Sie mit dem Verifikationsschlüssel pk := (G, g, y) verifizieren, ob σ eine gültige Signatur zur Nachricht m ist? (b) Beschreiben Sie einen effizienten Angreifer A, der die EUF-CMA-Eigenschaft des oben betrachteten ElGamal-Signaturverfahrens bricht. (c) Das oben betrachtete ElGamal-Signaturverfahren verwendet bei der Erstellung einer Signatur einen Zufallswert e. Sei f eine öffentlich bekannte deterministische Einwegfunktion. Wir wandeln nun das ElGamal-Signaturverfahren leicht ab, indem wir zum Signieren einer Nachricht m statt dem Zufall e den Wert f(m) verwenden. Wie kann nun mit Kenntnis eines Signatur-Nachrichtenpaares (σ, m) der geheime Signaturschlüssel berechnet werden? Lösungsvorschlag zu Aufgabe 2. (a) (i) Der öffentliche Verifikationsschlüssel ist pk := (G, g, g x mod p). (ii) Wähle e Z q zufällig und gleichverteilt und setze a := g e mod p. Berechne außerdem ein b mit m ax + eb mod q. Damit ist σ := (a, b) eine gültige Signatur zur Nachricht m. (iii) Das Tupel (a, b) ist genau dann eine gültige Signatur der Nachricht m, wenn gilt y a a b mod p = g m mod p. (b) Variante 1: Nullsignatur: Der Angreifer A wählt (a, b) := (g x, g x ) = (y, y) (mit dem y aus dem öffentlichen Schlüssel), welches eine gültige Signatur für m = 0 ist. Variante 2: Signatur einer Unsinnsnachricht: Der Angreifer A wählt z zufällig und berechnet a := g z g x = g z+x. Damit ist (a, a) eine gültige Signatur für die Nachricht m = az. In beiden Varianten schafft es A, rein mit Kenntnis des öffentlichen Verifikationsschlüssels (G, g, y) ohne vorherige Befragung des Signaturorakels, ein Nachrichten-Signatur-Paar zu erstellen, das gültig ist, für das im EUF-CMA-Experiment somit der Verifikationsalgorithmus eine 1 (bzw. valid) ausgibt. Damit gewinnt A das EUF-CMA-Spiel (immer, also mit mehr als vernachlässigbarer Wahrscheinlichkeit). (c) Wir wissen, dass ax + eb m mod q, wobei e = f(m). Diese Gleichung können wir nach dem Geheimnis x auflösen und erhalten den geheimen Schlüssel sk = (G, g, x) mit x = a 1 (m f(m)b) mod q. 2

4 Aufgabe 3. (4+3+4 Punkte) (a) Begründen Sie jeweils, ob eine Blockchiffre in den folgenden Modi IND-CPA-sicher sein kann. Geben Sie dazu entweder die entsprechende hinreichende Annahme aus der Vorlesung an oder einen erfolgreichen Angreifer und dessen Erfolgswahrscheinlichkeit. (i) ECB-Mode (ii) CBC-Mode (Initialisierungsvektor wird für jede Verschlüsselung gleichverteilt und neu gezogen) (b) Beschreiben Sie den One-Time-Pad und geben Sie genau einen Vor- und einen Nachteil an. (c) Wir betrachten eine symmetrische Chiffre Enc : {0, 1} n {0, 1} 2n 1 {0, 1} 2n 1, Enc(K, M) = C = C 1... C 2n 1, die es erlaubt, Nachrichten M = M 1... M 2n 1 {0, 1} 2n 1 mit einem n-bit-schlüssel K = K 1... K n folgendermaßen zu verschlüsseln: M 1 M 2... M n M n+1... M 2n 1... K 1 K 2... K n... K 1... K n 1 K n K 1 K 2... K n C 1 C 2... C n C n+1... C 2n 1 Desweiteren betrachten wir einen modifizierten IND-CPA-Sicherheitsbegriff, den wir mit IND-CPA* bezeichnen und der durch folgendes Sicherheitsspiel für einen effizienten Angreifer beschrieben wird: Der Angreifer wählt zwei Nachrichten M (1) M (2) der Länge 2n 1. Er erhält C = Enc(K, M (b) ) für ein gleichverteiltes b {1, 2}. Der Angreifer gewinnt, falls er b richtig rät. Falls Pr[Angreifer gewinnt] 1/2 für alle effizienten Angreifer vernachlässigbar ist, ist das Schema IND-CPA*-sicher. Beachten Sie: Der Angreifer erhält hier keinen Zugriff auf ein Verschlüsselungsorakel! Zeigen Sie, dass die oben definierte Chiffre diesen vereinfachten Sicherheitsbegriff nicht erfüllt, indem Sie einen erfolgreichen Angreifer und dessen Erfolgswahrscheinlichkeit angeben. Lösungsvorschlag zu Aufgabe 3. (a) (i) Keine Blockchiffre ist im ECB-Mode IND-CPA-sicher. Betrachte folgenden Angreifer: Angreifer wählt M (1) M (2) beliebig. Angreifer erhält C = E(K, M (b) ). Angreifer erfragt C (1) = E(K, M (1) ). Angreifer gibt 1 aus gdw. C = C (1). Pr[Angreifer gewinnt]=1. (ii) Im CBC-Mode ist eine Blockchiffre E(K, ) : {0, 1} l {0, 1} l IND-CPA-sicher, falls sie für zufälliges K ununterscheidbar zu einer Zufallsfunktion R : {0, 1} l {0, 1} l ist. 3

5 (b) OTP: C = M K, wobei M = K. Vorteil: C gibt keine Information über M (perfekte Sicherheit). Nachteil: unhandlich (langer Schlüssel) oder malleable (verwundbar). (c) 1. Möglichkeit: Angreifer wählt M (1) M (2), so dass M (1) 1 M n (1) M (1) n+1 M (2) 1 M n (2) M (2) n+1 (hier gibt es mehrere verschiedene Möglichkeiten, die man wählen kann). Angreifer erhält C und berechnet C1 Cn Cn+1 = M (b) 1 M n (b) M (b) n+1. Angreifer gibt 1 aus, falls M (b) 1 M n (b) M (b) n+1 = M (1) 1 M n (1) M (1) n+1. Pr[Angreifer gewinnt]=1. 2. Möglichkeit: Angreifer wählt M (1) i = M (2) i = 0 für i = 1... n und M (1) n+1 M (2) n+1. Rest beliebig. Angreifer erhält C und berechnet den Schlüssel rekursiv, da K 1 = C 1 M (b) 1 = C 1, K 2 = C 2 M (b) 2 K 1 = C 2 K 1 usw. bis K n. Angreifer überprüft nun mit berechnetem Schlüssel und C n+1, ob C n+1 K 2 K n = M (1) n+1. Falls ja, gibt er 1 aus, falls nein 2. Pr[Angreifer gewinnt]=1. 4

6 Aufgabe 4. (3+4+4 Punkte) (a) Sei N = P Q, für unbekannte Primzahlen P, Q, ein zufällig generierter RSA-Modulus. Ist die Kompressionsfunktion H 1 : Z 2 N Z N, definiert durch H 1 (x, y) = x 2 y mod N, kollisionsresistent? (Nehmen Sie an, dass es schwer ist, den Modulus N in seine Primfaktoren zu zerlegen.) Falls ja, skizzieren Sie, warum H 1 kollisionsresistent ist. Falls nein, geben Sie eine konkrete Kollision für H 1 an. (b) Sei G eine zyklische Gruppe von öffentlicher Primordnung p, in der Logarithmen nicht effizient gezogen werden können. Seien g, h G zufällig gewählt. Ist die Kompressionsfunktion H 2 : Z 2 q G definiert durch H 2 (x, y) = g x+y h x y kollisionsresistent? Falls ja, skizzieren Sie, warum H 2 kollisionsresistent ist. Falls nein, geben Sie eine konkrete Kollision für H 2 an. Begründen Sie Ihre Antwort. (c) Sei H : {0, 1} {0, 1} 2k eine kollisionsresistente Hashfunktion und f : {0, 1} 2k {0, 1} k eine beliebige surjektive Funktion. Ist die Funktion H : {0, 1} {0, 1} k, gegeben durch H (x) = f(h(x)), für jede solche surjektive Funktion f kollisionsresistent? Begründen Sie Ihre Antwort. Lösungsvorschlag zu Aufgabe 4. (a) H 1 ist nicht kollisionsresistent. Es genügt, eine Kollision anzugeben. Beispielsweise erzeugen die Eingaben (x, y) ( x, y), für alle (x, y) Z 2 N, Kollisionen für H 1: Wir erhalten H 1 (x, y) = x 2 y mod N = ( x) 2 y mod N = H 1 ( x, y). (b) Wir betrachten zwei Fälle. Dabei ist die Betrachtung eines Falles ausreichend, um die Aufgabe zu lösen. Fall p = q: Diese Kompressionsfunktion ist kollisionsresistent. Angenommen es existiere ein PPT- Algorithmus A, der für H 2, gegeben durch g, h, mit nicht vernachlässigbarer Wahrscheinlichkeit zwei Paare (x 1, y 1 ) (x 2, y 2 ) Z 2 p findet, sodass H 2 (x 1, y 1 ) = H 2 (x 2, y 2 ). Wir konstruieren dann einen Algorithmus A, der effizient Logarithmen in G mit derselben Wahrscheinlichkeit zieht. Erhält A als Eingabe zwei Gruppenelemente g und h, so lässt es A mit Eingabe (g, h) laufen. Gibt A zwei Paare (x 1, y 1 ) und (x 2, y 2 ) aus, so testet A zunächst, ob (x 1, y 1 ) (x 2, y 2 ) und H 2 (x 1, y 1 ) = H 2 (x 2, y 2 ) gilt. Falls ja, so gilt auch g x1 x2+y1 y2 = h x2 x1 y2+y1, und damit h = g x 1 x 2 +y 1 y 2 x 2 x 1 y 2 +y 1. A gibt dann die Lösung r = x1 x2+y1 y2 x 2 x 1 y 2+y 1 aus. Fall p q: Die Kompressionsfunktion ist nicht kollisionsresistent und wir geben eine Kollision an. Dabei führen die H 2 -Eingaben (x, y) (x + kp mod q, y), für alle (x, y) Z 2 q und k Z, zu einer Kollision, da stets H 2 (x, y) = g x+y h x y = g x+kp+y h x+kp y = H 2 (x + kp, y) gilt. (c) H ist nicht kollisionsresistent. Zu einem gegebenen H konstruieren wir eine Funktion f wie folgt: 0 k x = H(0 2k ) f(x) = 0 k x = H(1 2k ) x 1... x k sonst Diese Funktion ist offensichtlich surjektiv und es gilt H (0 2k ) = f(h(0 2k )) = 0 k = f(h(1 2k )) = H (1 2k ). Damit ist H nicht kollisionsresistent. 5

7 Aufgabe 5. (6 Punkte) Gegeben seien - die Menge C = {c 1, c 2, c 3 }, - die Menge S = {s 1 } und - die Menge O = {o 1, o 2, o 3 }, mit y(o i ) = c i, für i {1, 2, 3}, x(o 1 ) = {c 3 }, x(o 2 ) = und x(o 3 ) = {c 1, c 2 } im Chinese-Wall-Modell. Betrachten Sie die folgende Abfolge von Anfragen b (S O) ({read, write}) in Reihenfolge: 1. (s 1, o 1 ) (write) 4. (s 1, o 1 ) (read) 2. (s 1, o 3 ) (read) 5. (s 1, o 2 ) (write) 3. (s 1, o 2 ) (write) 6. (s 1, o 3 ) (write) Dabei ist der Initialzustand konfliktfrei. Beschreiben Sie, ob die einzelnen Anfragen gewährt werden. Falls die Anfrage nicht gewährt wurde, zeigen Sie auf, welche Eigenschaft(en) im Sinne der ss- oder -Eigenschaft verletzt wurde(n). Begründen Sie Ihre Entscheidung. Sie können die unten stehende Tabelle für Ihre Lösung verwenden. Anfrage ss Bemerkungen 1. (s 1, o 1 ) (write) 2. (s 1, o 3 ) (read) 3. (s 1, o 2 ) (write) 4. (s 1, o 1 ) (read) 5. (s 1, o 2 ) (write) 6. (s 1, o 3 ) (write) Lösungsvorschlag zu Aufgabe 5. Gewährt werden die einzelnen Anfragen b (SO)({read, write}), wenn die ss- und die -Eigenschaft erfüllt sind. Anfrage ss Bemerkungen 1. (s 1, o 1 ) (write) 2. (s 1, o 3 ) (read) s 1 hat schon Zugriff auf o 1 mit y(o 3 ) x(o 1 ) 3. (s 1, o 2 ) (write) 4. (s 1, o 1 ) (read) 5. (s 1, o 2 ) (write) s 1 liest schon o 1 mit y(o 2 ) y(o 1 ) und x(o 1 ) 6. (s 1, o 3 ) (write) s 1 hat schon Zugriff auf o 1 mit y(o 3 ) x(o 1 ), y(o 3 ) y(o 1 ) und x(o 1 ) 6

8 Aufgabe 6. (10 Punkte) Bei dieser Multiple-Choice-Aufgabe gibt jede richtige Antwort 1 Punkt, für jede falsche Antwort wird 1 Punkt abgezogen. Die Gesamtpunktzahl der Aufgabe kann jedoch nicht negativ werden. Für nicht beantwortete Aussagen, d. h. kein Kreuz bei wahr und falsch in derselben Zeile, werden keine Punkte abgezogen. wahr falsch Die ElGamal-Verschlüsselung aus der Vorlesung ist sicher gegen aktive Angreifer. (Einfache) RSA-Signaturen sind EUF-CMA-sicher. Eine Funktion f : N R ist genau dann vernachlässigbar in k, wenn c, k 0 k k 0 : f(k) 1/k c gilt. Im Cipher Feedback Mode (CFB) einer Blockchiffre werden gleiche Klartextblöcke einer Nachricht immer auf gleiche Chiffretextblöcke abgebildet. Für primes P und M {1,..., P 1} gilt M P 1 = 1 mod P. Im Bell-LaPadula-Modell ist es für einen Lesezugriff von Subjekt s auf Objekt o mit entspr. Sicherheitslevel f s (s) bzw. f o (o) notwendig, dass f s (s) f o (o) gilt. Ist bei einem erlaubten Zugriff die ds-eigenschaft im Bell-LaPadula-Modell erfüllt, so wird der aktuelle Sicherheitslevel des zugreifenden Subjekts immer angepasst. Im RSA-PSS-Verfahren gilt Sig(sk, M) = (pad(m)) 1/e mod N, für Nachricht M, Padding-Algorithmus pad, RSA-Modulus N und öffentlichen RSA-Exponenten e. PKE-basierte PK-ID-Protokolle besitzen die Zero-Knowledge-Eigenschaft. Jede kollisionsresistente Hashfunktion H : {0, 1} {0, 1} k ist eine Einwegfunktion bezüglich der Gleichverteilung auf {0, 1} 2k. Lösungsvorschlag zu Aufgabe 6. wahr falsch Die ElGamal-Verschlüsselung aus der Vorlesung ist sicher gegen aktive Angreifer. (Einfache) RSA-Signaturen sind EUF-CMA-sicher. Eine Funktion f : N R ist genau dann vernachlässigbar in k, wenn c, k 0 k k 0 : f(k) 1/k c gilt. Im Cipher Feedback Mode (CFB) einer Blockchiffre werden gleiche Klartextblöcke einer Nachricht immer auf gleiche Chiffretextblöcke abgebildet. Für primes P und M {1,..., P 1} gilt M P 1 = 1 mod P. Im Bell-LaPadula-Modell ist es notwendig für einen Lesezugriff von Subjekt s auf ein Objekt o mit entspr. Sicherheitslevel f s (s) bzw. f o (o), dass f s (s) f o (o) gilt. Ist bei einem erlaubten Zugriff die ds-eigenschaft im Bell-LaPadula-Modell erfüllt, so wird der aktuelle Sicherheitslevel des zugreifenden Subjekts immer angepasst. Im RSA-PSS-Verfahren gilt Sig(sk, M) = (pad(m)) 1/e mod N, für Nachricht M, Padding-Algorithmus pad, RSA-Modulus N und öffentlichen RSA-Exponenten e. PKE-basierte PK-ID-Protokolle besitzen die Zero-Knowledge-Eigenschaft. Jede kollisionsresistente Hashfunktion H : {0, 1} {0, 1} k ist eine Einwegfunktion bezüglich der Gleichverteilung auf {0, 1} 2k. 7

Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Klausur

Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Klausur Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz IKS Institut für Kryptographie und Sicherheit Stammvorlesung Sicherheit im Sommersemester 2013 Klausur 26.07.2013 Vorname: Nachname:

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 20.04.2014 1 / 28 Überblick 1 Blockchiffren Erinnerung Angriffe auf Blockchiffren 2 Formalisierung

Mehr

Musterlösung der Hauptklausur zur Vorlesung Sicherheit Sommersemester 2012

Musterlösung der Hauptklausur zur Vorlesung Sicherheit Sommersemester 2012 Institut für Kryptographie und Sicherheit Prof. Dr. Jörn Müller-Quade Musterlösung der Hauptklausur zur Vorlesung Sicherheit Sommersemester 2012 Vorname Nachname Matrikelnummer Ergebniscode Hinweise Für

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 06.05.2013 1 / 25 Überblick 1 Hashfunktionen Erinnerung Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel:

Mehr

Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester 2013.

Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester 2013. Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz IKS Institut für Kryptographie und Sicherheit Stammvorlesung Sicherheit im Sommersemester 2013 Übungsblatt 2 Aufgabe 1. Wir wissen,

Mehr

Lösung zur Klausur zu Krypographie Sommersemester 2005

Lösung zur Klausur zu Krypographie Sommersemester 2005 Lösung zur Klausur zu Krypographie Sommersemester 2005 1. Bestimmen Sie die zwei letzten Ziffern der Dezimaldarstellung von 12 34 Es gilt: 12 34 = 12 32+2 = 12 32 12 2 = 12 (25) 12 2 = ((((12 2 ) 2 ) 2

Mehr

Kryptologie. K l a u s u r WS 2006/2007, Prof. Dr. Harald Baier

Kryptologie. K l a u s u r WS 2006/2007, Prof. Dr. Harald Baier Kryptologie K l a u s u r WS 2006/2007, 2007-02-01 Prof. Dr. Harald Baier Name, Vorname: Matrikelnummer: Hinweise: (a) Als Hilfsmittel ist nur der Taschenrechner TI-30 zugelassen. Weitere Hilfsmittel sind

Mehr

RSA Verfahren. Kapitel 7 p. 103

RSA Verfahren. Kapitel 7 p. 103 RSA Verfahren RSA benannt nach den Erfindern Ron Rivest, Adi Shamir und Leonard Adleman war das erste Public-Key Verschlüsselungsverfahren. Sicherheit hängt eng mit der Schwierigkeit zusammen, große Zahlen

Mehr

Voll homomorpe Verschlüsselung

Voll homomorpe Verschlüsselung Voll homomorpe Verschlüsselung Definition Voll homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : R R für Ringe R, R. Π heißt voll homomorph, falls 1 Enc(m 1 ) + Enc(m 2 ) eine gültige

Mehr

Name:... Vorname:... Matrikel-Nr.:... Studienfach:...

Name:... Vorname:... Matrikel-Nr.:... Studienfach:... Stefan Lucks Medien Bauhaus-Univ. Weimar Probeklausur Name:.............................. Vorname:........................... Matrikel-Nr.:....................... Studienfach:........................ Wichtige

Mehr

Sicherheit von hybrider Verschlüsselung

Sicherheit von hybrider Verschlüsselung Sicherheit von hybrider Verschlüsselung Satz Sicherheit hybrider Verschlüsselung Sei Π ein CPA-sicheres PK-Verschlüsselungsverfahren und Π ein KPA-sicheres SK-Verschlüsselungsverfahren. Dann ist das hybride

Mehr

Homomorphe Verschlüsselung

Homomorphe Verschlüsselung Homomorphe Verschlüsselung Definition Homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : G G für Gruppen G, G. Π heißt homomorph, falls Enc(m 1 ) G Enc(m 2 ) eine gültige Verschlüsselung

Mehr

Authentikation und digitale Signatur

Authentikation und digitale Signatur TU Graz 23. Jänner 2009 Überblick: Begriffe Authentikation Digitale Signatur Überblick: Begriffe Authentikation Digitale Signatur Überblick: Begriffe Authentikation Digitale Signatur Begriffe Alice und

Mehr

Kryptographie und Komplexität

Kryptographie und Komplexität Kryptographie und Komplexität Einheit 5.2 ElGamal Systeme 1. Verschlüsselungsverfahren 2. Korrektheit und Komplexität 3. Sicherheitsaspekte Das ElGamal Verschlüsselungsverfahren Public-Key Verfahren von

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 13.05.2013 1 / 16 Überblick 1 Asymmetrische Verschlüsselung Erinnerung Andere Verfahren Demonstration Zusammenfassung 2 Symmetrische Authentifikation von Nachrichten

Mehr

Sicherheit von ElGamal

Sicherheit von ElGamal Sicherheit von ElGamal Satz CPA-Sicherheit ElGamal ElGamal Π ist CPA-sicher unter der DDH-Annahme. Beweis: Sei A ein Angreifer auf ElGamal Π mit Erfolgsws ɛ(n) := Ws[PubK cpa A,Π (n) = 1]. Wir konstruieren

Mehr

Digitale Unterschriften mit ElGamal

Digitale Unterschriften mit ElGamal Digitale Unterschriften mit ElGamal Seminar Kryptographie und Datensicherheit Institut für Informatik Andreas Havenstein Inhalt Einführung RSA Angriffe auf Signaturen und Verschlüsselung ElGamal Ausblick

Mehr

Einführung in die Kryptographie - Multiple Choice Quiz

Einführung in die Kryptographie - Multiple Choice Quiz Technische Universität Darmstadt Einführung in die Kryptographie - Multiple Choice Quiz Oren Halvani. M.Sc. Inf ormatik. Matrikel N o. Disclaimer Um was für ein Dokument handelt es sich hier genau?. Im

Mehr

RSA Full Domain Hash (RSA-FDH) Signaturen

RSA Full Domain Hash (RSA-FDH) Signaturen RSA Full Domain Hash (RSA-FDH) Signaturen Signatur RSA-FDH Sei H : {0, 1} Z N ein Random-Oracle. 1 Gen: (N, e, d) GenRSA(1 n ) mit pk = (N, e) und sk = (N, d). 2 Sign: Für eine Nachricht m {0, 1} berechne

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 26.05.2014 1 / 32 Überblick 1 Hinweis 2 Asymmetrische Authentifikation von Nachrichten Erinnerung RSA als Signaturschema ElGamal-Signaturen Hash-Then-Sign

Mehr

Prinzipien der modernen Kryptographie Sicherheit

Prinzipien der modernen Kryptographie Sicherheit Prinzipien der modernen Kryptographie Sicherheit Prinzip 1 Sicherheitsmodell Das Sicherheitsmodell (Berechnungsmodell, Angriffstypen, Sicherheitsziele) muss präzise definiert werden. Berechnungsmodell:

Mehr

Übungen zu. Grundlagen der Kryptologie SS 2008. Hochschule Konstanz. Dr.-Ing. Harald Vater. Giesecke & Devrient GmbH Prinzregentenstraße 159

Übungen zu. Grundlagen der Kryptologie SS 2008. Hochschule Konstanz. Dr.-Ing. Harald Vater. Giesecke & Devrient GmbH Prinzregentenstraße 159 Übungen zu Grundlagen der Kryptologie SS 2008 Hochschule Konstanz Dr.-Ing. Harald Vater Giesecke & Devrient GmbH Prinzregentenstraße 159 D-81677 München Tel.: +49 89 4119-1989 E-Mail: hvater@htwg-konstanz.de

Mehr

Übung GSS Blatt 6. SVS Sicherheit in Verteilten Systemen

Übung GSS Blatt 6. SVS Sicherheit in Verteilten Systemen Übung GSS Blatt 6 SVS Sicherheit in Verteilten Systemen 1 Einladung zum SVS-Sommerfest SVS-Sommerfest am 12.07.16 ab 17 Uhr Ihr seid eingeladen! :-) Es gibt Thüringer Bratwürste im Brötchen oder Grillkäse

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 02.05.2016 1 / 22 Überblick 1 Hashfunktionen Erinnerung Formalisierung Die Merkle-Damgård-Konstruktion

Mehr

Wiederholung Symmetrische Verschlüsselung klassische Verfahren: Substitutionschiffren Transpositionschiffren Vigenère-Chiffre One-Time-Pad moderne

Wiederholung Symmetrische Verschlüsselung klassische Verfahren: Substitutionschiffren Transpositionschiffren Vigenère-Chiffre One-Time-Pad moderne Wiederholung Symmetrische Verschlüsselung klassische Verfahren: Substitutionschiffren Transpositionschiffren Vigenère-Chiffre One-Time-Pad moderne Verfahren: DES (Feistel-Chiffre) mehrfache Wiederholung

Mehr

Musterlösung zur Hauptklausur Theoretische Grundlagen der Informatik Wintersemester 2013/14

Musterlösung zur Hauptklausur Theoretische Grundlagen der Informatik Wintersemester 2013/14 Institut für Theoretische Informatik Prof. Dr. Jörn Müller-Quade Musterlösung zur Hauptklausur Theoretische Grundlagen der Informatik Wintersemester 23/4 Vorname Nachname Matrikelnummer Hinweise Für die

Mehr

Rabin Verschlüsselung 1979

Rabin Verschlüsselung 1979 Rabin Verschlüsselung 1979 Idee: Rabin Verschlüsselung Beobachtung: Berechnen von Wurzeln in Z p ist effizient möglich. Ziehen von Quadratwurzeln in Z N ist äquivalent zum Faktorisieren. Vorteil: CPA-Sicherheit

Mehr

Public-Key-Verschlüsselung und Diskrete Logarithmen

Public-Key-Verschlüsselung und Diskrete Logarithmen Public-Key-Verschlüsselung und Diskrete Logarithmen Carsten Baum Institut für Informatik Universität Potsdam 10. Juni 2009 1 / 30 Inhaltsverzeichnis 1 Mathematische Grundlagen Gruppen, Ordnung, Primitivwurzeln

Mehr

RSA Full Domain Hash (RSA-FDH) Signaturen

RSA Full Domain Hash (RSA-FDH) Signaturen RSA Full Domain Hash (RSA-FDH) Signaturen Signatur RSA-FDH Sei H : {0, 1} Z N ein Random-Oracle. 1 Gen: (N, e, d) GenRSA(1 n ) mit pk = (N, e) und sk = (N, d). 2 Sign: Für eine Nachricht m {0, 1} berechne

Mehr

CPA-Sicherheit ist ungenügend

CPA-Sicherheit ist ungenügend CPA-Sicherheit ist ungenügend Definition CCA CCA (=Chosen Ciphertext Attack) ist ein Angriff, bei dem der Angreifer sich Chiffretext seiner Wahl entschlüsseln lassen kann. Beispiele in denen CPA nicht

Mehr

ElGamal Verschlüsselungsverfahren (1984)

ElGamal Verschlüsselungsverfahren (1984) ElGamal Verschlüsselungsverfahren (1984) Definition ElGamal Verschlüsselungsverfahren Sei n ein Sicherheitsparameter. 1 Gen : (q, g) G(1 n ), wobei g eine Gruppe G der Ordnung q generiert. Wähle x R Z

Mehr

Einführung in die Kryptographie

Einführung in die Kryptographie Ä Johannes Buchmann Einführung in die Kryptographie Dritte, erweiterte Auflage Inhaltsverzeichnis 1. Einleitung 1 2. Ganze Zahlen 3 2.1 Grundlagen 3 2.2 Teilbarkeit 4 2.3 Darstellung ganzer Zahlen 5 2.4

Mehr

3: Zahlentheorie / Primzahlen

3: Zahlentheorie / Primzahlen Stefan Lucks Diskrete Strukturen (WS 2009/10) 96 3: Zahlentheorie / Primzahlen 3: Zahlentheorie / Primzahlen Stefan Lucks Diskrete Strukturen (WS 2009/10) 97 Definition 37 (Teiler, Vielfache, Primzahlen,

Mehr

Hardcore-Prädikat. Definition Hardcore-Prädikat. Ziel: Destilliere Komplexität des Invertierens auf ein Bit.

Hardcore-Prädikat. Definition Hardcore-Prädikat. Ziel: Destilliere Komplexität des Invertierens auf ein Bit. Hardcore-Prädikat Ziel: Destilliere Komplexität des Invertierens auf ein Bit. Definition Hardcore-Prädikat Sei Π f eine Einwegfunktion. Sei hc ein deterministischer pt Alg mit Ausgabe eines Bits hc(x)

Mehr

In beiden Fällen auf Datenauthentizität und -integrität extra achten.

In beiden Fällen auf Datenauthentizität und -integrität extra achten. Stromchiffren Verschlüsseln eines Stroms von Daten m i (Bits/Bytes) mithilfe eines Schlüsselstroms k i in die Chiffretexte c i. Idee: Im One-Time Pad den zufälligen Schlüssel durch eine pseudo-zufällige

Mehr

Public-Key Kryptographie mit dem RSA Schema. Torsten Büchner

Public-Key Kryptographie mit dem RSA Schema. Torsten Büchner Public-Key Kryptographie mit dem RSA Schema Torsten Büchner 7.12.2004 1.Einleitung 1. symmetrische-, asymmetrische Verschlüsselung 2. RSA als asymmetrisches Verfahren 2.Definition von Begriffen 1. Einwegfunktionen

Mehr

IT-Sicherheit: Kryptographie. Asymmetrische Kryptographie

IT-Sicherheit: Kryptographie. Asymmetrische Kryptographie IT-Sicherheit: Kryptographie Asymmetrische Kryptographie Fragen zur Übung 5 C oder Java? Ja (gerne auch Python); Tips waren allerdings nur für C Wie ist das mit der nonce? Genau! (Die Erkennung und geeignete

Mehr

Kurze Einführung in kryptographische Grundlagen.

Kurze Einführung in kryptographische Grundlagen. Kurze Einführung in kryptographische Grundlagen. Was ist eigentlich AES,RSA,DH,ELG,DSA,DSS,ECB,CBC Benjamin.Kellermann@gmx.de GPG-Fingerprint: D19E 04A8 8895 020A 8DF6 0092 3501 1A32 491A 3D9C git clone

Mehr

Wiederholung: Informationssicherheit Ziele

Wiederholung: Informationssicherheit Ziele Wiederholung: Informationssicherheit Ziele Vertraulichkeit : Schutz der Information vor unberechtigtem Zugriff bei Speicherung, Verarbeitung und Übertragung Methode: Verschüsselung symmetrische Verfahren

Mehr

Wiederholung. Symmetrische Verfahren: klassische Verfahren / grundlegende Prinzipien: Substitution, Transposition, One-Time-Pad DES AES

Wiederholung. Symmetrische Verfahren: klassische Verfahren / grundlegende Prinzipien: Substitution, Transposition, One-Time-Pad DES AES Wiederholung Symmetrische Verfahren: klassische Verfahren / grundlegende Prinzipien: Substitution, Transposition, One-Time-Pad DES AES Mathematische Grundlagen: algebraische Strukturen: Halbgruppe, Monoid,

Mehr

Digitale Signaturen. Sven Tabbert

Digitale Signaturen. Sven Tabbert Digitale Signaturen Sven Tabbert Inhalt: Digitale Signaturen 1. Einleitung 2. Erzeugung Digitaler Signaturen 3. Signaturen und Einweg Hashfunktionen 4. Digital Signature Algorithmus 5. Zusammenfassung

Mehr

Grundlagen der Kryptographie

Grundlagen der Kryptographie Grundlagen der Kryptographie Seminar zur Diskreten Mathematik SS2005 André Latour a.latour@fz-juelich.de 1 Inhalt Kryptographische Begriffe Primzahlen Sätze von Euler und Fermat RSA 2 Was ist Kryptographie?

Mehr

Kap. 2: Fail-Stop Unterschriften

Kap. 2: Fail-Stop Unterschriften Stefan Lucks 2: Fail-Stop Unterschriften 17 Digital Unterschreiben und Bezahlen Kap. 2: Fail-Stop Unterschriften Digitale Unterschriften (Synomym: Digitale Signaturen ): Fälschen mutmaßlich hart (RSA-Wurzeln,

Mehr

Kleiner Fermatscher Satz, Chinesischer Restsatz, Eulersche '-Funktion, RSA

Kleiner Fermatscher Satz, Chinesischer Restsatz, Eulersche '-Funktion, RSA Kleiner Fermatscher Satz, Chinesischer Restsatz, Eulersche '-Funktion, RSA Manfred Gruber http://www.lrz-muenchen.de/~gruber SS 2009, KW 15 Kleiner Fermatscher Satz Satz 1. Sei p prim und a 2 Z p. Dann

Mehr

Das RSA-Verfahren. Armin Litzel. Proseminar Kryptographische Protokolle SS 2009

Das RSA-Verfahren. Armin Litzel. Proseminar Kryptographische Protokolle SS 2009 Das RSA-Verfahren Armin Litzel Proseminar Kryptographische Protokolle SS 2009 1 Einleitung RSA steht für die drei Namen Ronald L. Rivest, Adi Shamir und Leonard Adleman und bezeichnet ein von diesen Personen

Mehr

11. Das RSA Verfahren und andere Verfahren

11. Das RSA Verfahren und andere Verfahren Chr.Nelius: Kryptographie (SS 2011) 31 11. Das RSA Verfahren und andere Verfahren Eine konkrete Realisierung eines Public Key Kryptosystems ist das sog. RSA Verfahren, das im Jahre 1978 von den drei Wissenschaftlern

Mehr

Grundlagen der Verschlüsselung und Authentifizierung (1)

Grundlagen der Verschlüsselung und Authentifizierung (1) Grundlagen der Verschlüsselung und Authentifizierung (1) Proseminar im SS 2010 Friedrich-Alexander-Universität Erlangen-Nürnberg 18.05.2010 1 Motivation

Mehr

SCHRIFTLICHE ZUSAMMENFASSUNG ZUM VORTRAG DIE GRUNDLAGEN DER RSA-VERSCHLÜSSELUNG VON DANIEL METZSCH

SCHRIFTLICHE ZUSAMMENFASSUNG ZUM VORTRAG DIE GRUNDLAGEN DER RSA-VERSCHLÜSSELUNG VON DANIEL METZSCH SCHRIFTLICHE ZUSAMMENFASSUNG ZUM VORTRAG DIE GRUNDLAGEN DER RSA-VERSCHLÜSSELUNG VON DANIEL METZSCH Freie Universität Berlin Fachbereich für Mathematik & Informatik Institut für Mathematik II Seminar über

Mehr

Musterlösung der Hauptklausur zur Vorlesung Theoretische Grundlagen der Informatik Wintersemester 2012/13

Musterlösung der Hauptklausur zur Vorlesung Theoretische Grundlagen der Informatik Wintersemester 2012/13 Institut für Kryptographie und Sicherheit Prof. Dr. Jörn Müller-Quade Musterlösung der Hauptklausur zur Vorlesung Theoretische Grundlagen der Informatik Wintersemester 22/3 Vorname Nachname Matrikelnummer

Mehr

Sicherer MAC für Nachrichten beliebiger Länge

Sicherer MAC für Nachrichten beliebiger Länge Sicherer MAC für Nachrichten beliebiger Länge Korollar Sicherer MAC für Nachrichten beliebiger Länge Sei F eine Pseudozufallsfunktion. Dann ist Π MAC2 für Π = Π MAC sicher. Nachteile: Für m ({0, 1} n 4

Mehr

Kryptograhie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik

Kryptograhie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik Kryptograhie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik Übersicht Zwecke der Krytographie Techniken Symmetrische Verschlüsselung( One-time Pad,

Mehr

8. Von den Grundbausteinen zu sicheren Systemen

8. Von den Grundbausteinen zu sicheren Systemen Stefan Lucks 8. Grundb. sich. Syst. 211 orlesung Kryptographie (SS06) 8. Von den Grundbausteinen zu sicheren Systemen Vorlesung bisher: Bausteine für Kryptosysteme. Dieses Kapitel: Naiver Einsatz der Bausteine

Mehr

Digitale Signaturen. Kapitel 10 p. 178

Digitale Signaturen. Kapitel 10 p. 178 Digitale Signaturen Realisierung der digitalen Signaturen ist eng verwandt mit der Public-Key-Verschlüsselung. Idee: Alice will Dokument m signieren. Sie berechnet mit dem privaten Schlüssel d die digitale

Mehr

Mathematik und Logik

Mathematik und Logik Mathematik und Logik 6. Übungsaufgaben 2006-01-24, Lösung 1. Berechnen Sie für das Konto 204938716 bei der Bank mit der Bankleitzahl 54000 den IBAN. Das Verfahren ist z.b. auf http:// de.wikipedia.org/wiki/international_bank_account_number

Mehr

Einführung in Computer Microsystems

Einführung in Computer Microsystems Einführung in Computer Microsystems Kapitel 9 Entwurf eines eingebetteten Systems für Anwendungen in der IT-Sicherheit Prof. Dr.-Ing. Sorin A. Huss Fachbereich Informatik Integrierte Schaltungen und Systeme

Mehr

Die (Un-)Sicherheit von DES

Die (Un-)Sicherheit von DES Die (Un-)Sicherheit von DES Sicherheit von DES: Bester praktischer Angriff ist noch immer die Brute-Force Suche. Die folgende Tabelle gibt eine Übersicht über DES Kryptanalysen. Jahr Projekt Zeit 1997

Mehr

Proseminar Datensicherheit & Versicherungsmathematik RSA-Verfahren

Proseminar Datensicherheit & Versicherungsmathematik RSA-Verfahren Proseminar Datensicherheit & Versicherungsmathematik RSA-Verfahren Herwig Stütz 2007-11-23 1 Inhaltsverzeichnis 1 Einführung 2 2 Das RSA-Verfahren 2 2.1 Schlüsselerzeugung.................................

Mehr

3 Betriebsarten bei Blockverschlüsselung

3 Betriebsarten bei Blockverschlüsselung 3 Betriebsarten bei Blockverschlüsselung Die Anwendung einer Blockverschlüsselungsfunktion f : F n 2 Fn 2 auf längere (oder kürzere) Bitfolgen erfordert zwei Maßnahmen: 1 die Folge in n-bit-blöcke aufspalten,

Mehr

$Id: ring.tex,v /05/03 15:13:26 hk Exp $

$Id: ring.tex,v /05/03 15:13:26 hk Exp $ $Id: ring.tex,v 1.13 2012/05/03 15:13:26 hk Exp $ 3 Ringe 3.1 Der Ring Z m In der letzten Sitzung hatten wir die sogenannten Ringe eingeführt, dies waren Mengen A versehen mit einer Addition + und einer

Mehr

Vortrag zum Proseminar: Kryptographie

Vortrag zum Proseminar: Kryptographie Vortrag zum Proseminar: Kryptographie Thema: Oliver Czernik 6.12.2005 Historie Michael Rabin Professor für Computerwissenschaft Miller-Rabin-Primzahltest Januar 1979 April 1977: RSA Asymmetrisches Verschlüsselungssystem

Mehr

Zwischenklausur zur Linearen Algebra I HS 2010, Universität Mannheim, Prof. Dr. C. Hertling, Ralf Kurbel

Zwischenklausur zur Linearen Algebra I HS 2010, Universität Mannheim, Prof. Dr. C. Hertling, Ralf Kurbel Zwischenklausur zur Linearen Algebra I HS 2010, 23.10.2010 Universität Mannheim, Prof. Dr. C. Hertling, Ralf Kurbel Name: Emil Mustermann Sitzplatznummer: 2 Die Bearbeitungszeit für diese Klausur beträgt

Mehr

Einführung in die Kryptographie

Einführung in die Kryptographie Johannes Buchmann Einführung in die Kryptographie Fünfte Auflage ~ Springer Inhaltsverzeichnis 1. Einleitung... 1 2. Ganze Zahlen............................................. 3 2.1 Grundlagen... 3 2.2

Mehr

Netzwerktechnologien 3 VO

Netzwerktechnologien 3 VO Netzwerktechnologien 3 VO Univ.-Prof. Dr. Helmut Hlavacs helmut.hlavacs@univie.ac.at Dr. Ivan Gojmerac gojmerac@ftw.at Bachelorstudium Medieninformatik SS 2012 Kapitel 8 - Netzwerksicherheit 8.1 Was ist

Mehr

Diffie-Hellman, ElGamal und DSS. Vortrag von David Gümbel am 28.05.2002

Diffie-Hellman, ElGamal und DSS. Vortrag von David Gümbel am 28.05.2002 Diffie-Hellman, ElGamal und DSS Vortrag von David Gümbel am 28.05.2002 Übersicht Prinzipielle Probleme der sicheren Nachrichtenübermittlung 'Diskreter Logarithmus'-Problem Diffie-Hellman ElGamal DSS /

Mehr

Einführung in die Kryptographie. 20.6.2011, www.privacyfoundation.ch

Einführung in die Kryptographie. 20.6.2011, www.privacyfoundation.ch Einführung in die Kryptographie 20.6.2011, www.privacyfoundation.ch Kryptographie Name kryptós: verborgen, geheim gráphein: schreiben Verschlüsselung Text so umwandeln, dass man ihn nur noch entziffern/lesen

Mehr

Kryptographie. ein erprobter Lehrgang. AG-Tagung Informatik, April 2011 Alfred Nussbaumer, LSR für NÖ. LSR für NÖ, 28. April 2011 Alfred Nussbaumer

Kryptographie. ein erprobter Lehrgang. AG-Tagung Informatik, April 2011 Alfred Nussbaumer, LSR für NÖ. LSR für NÖ, 28. April 2011 Alfred Nussbaumer Kryptographie ein erprobter Lehrgang AG-Tagung Informatik, April 2011 Alfred Nussbaumer, LSR für NÖ 1 Variante: Kryptographie in 5 Tagen Ein kleiner Ausflug in die Mathematik (Primzahlen, Restklassen,

Mehr

Mitschrift Vorlesung Einführung in die Kryptographie vom 18. Januar 2011

Mitschrift Vorlesung Einführung in die Kryptographie vom 18. Januar 2011 Mitschrift Vorlesung Einführung in die Kryptographie vom 18. Januar 2011 Dominic Scheurer 6. Februar 2012 Inhaltsverzeichnis 30 Digitale Signaturen (cont'd) - One-Time-Signaturen (OTS) 1 31 Public-Key-Verschlüsselung

Mehr

n ϕ n

n ϕ n 1 3. Teiler und teilerfremde Zahlen Euler (1707-1783, Gymnasium und Universität in Basel, Professor für Physik und Mathematik in Petersburg und Berlin) war nicht nur einer der produktivsten Mathematiker

Mehr

Vorlesung Datensicherheit. Sommersemester 2010

Vorlesung Datensicherheit. Sommersemester 2010 Vorlesung Datensicherheit Sommersemester 2010 Harald Baier Kapitel 3: Hashfunktionen und asymmetrische Verfahren Inhalt Hashfunktionen Asymmetrische kryptographische Verfahren Harald Baier Datensicherheit

Mehr

4.4.1 Statisches perfektes Hashing. des Bildbereichs {0, 1,..., n 1} der Hashfunktionen und S U, S = m n, eine Menge von Schlüsseln.

4.4.1 Statisches perfektes Hashing. des Bildbereichs {0, 1,..., n 1} der Hashfunktionen und S U, S = m n, eine Menge von Schlüsseln. 4.4 Perfektes Hashing Das Ziel des perfekten Hashings ist es, für eine Schlüsselmenge eine Hashfunktion zu finden, so dass keine Kollisionen auftreten. Die Größe der Hashtabelle soll dabei natürlich möglichst

Mehr

9.5 Blockverschlüsselung

9.5 Blockverschlüsselung 9.5 Blockverschlüsselung Verschlüsselung im Rechner: Stromverschlüsselung (stream cipher): kleine Klartexteinheiten (Bytes, Bits) werden polyalphabetisch verschlüsselt Blockverschlüsselung (block cipher):

Mehr

Kryptographische Verfahren auf Basis des Diskreten Logarithmus

Kryptographische Verfahren auf Basis des Diskreten Logarithmus Kryptographische Verfahren auf Basis des Diskreten Logarithmus -Vorlesung Public-Key-Kryptographie SS2010- Sascha Grau ITI, TU Ilmenau, Germany Seite 1 / 18 Unser Fahrplan heute 1 Der Diskrete Logarithmus

Mehr

AUFGABEN ZUR KRYPTOLOGIE

AUFGABEN ZUR KRYPTOLOGIE AUFGABEN ZUR KRYPTOLOGIE Aufgabe 1 Der folgende Geheimtext ging hervor aus der Verschlüsselung eines deutschen Klartexts mit einem monoalphabetischen Chiffrierungsverfahren. nyv syv svdvu yst vyuv sglmdv

Mehr

Effizienten MAC-Konstruktion aus der Praxis: NMAC Idee von NMAC:

Effizienten MAC-Konstruktion aus der Praxis: NMAC Idee von NMAC: Effizienten MAC-Konstruktion aus der Praxis: NMAC Idee von NMAC: Hashe m {0, 1} auf einen Hashwert in {0, 1} n. Verwende Π MAC3 für Nachrichten fixer Länge auf dem Hashwert. Wir konstruieren Π MAC3 mittels

Mehr

Public-Key-Kryptosystem

Public-Key-Kryptosystem Public-Key-Kryptosystem Zolbayasakh Tsoggerel 29. Dezember 2008 Inhaltsverzeichnis 1 Wiederholung einiger Begriffe 2 2 Einführung 2 3 Public-Key-Verfahren 3 4 Unterschiede zwischen symmetrischen und asymmetrischen

Mehr

4: Algebraische Strukturen / Gruppen

4: Algebraische Strukturen / Gruppen Stefan Lucks Diskrete Strukturen (WS 2009/10) 120 4: Algebraische Strukturen / Gruppen Definition 46 Sei G eine nichtleere Menge. Eine Funktion : G G G bezeichnen wir als Verknüpfung auf G. Das Paar (G,

Mehr

Vorlesung Diskrete Strukturen Gruppe und Ring

Vorlesung Diskrete Strukturen Gruppe und Ring Vorlesung Diskrete Strukturen Gruppe und Ring Bernhard Ganter Institut für Algebra TU Dresden D-01062 Dresden bernhard.ganter@tu-dresden.de WS 2009/10 1 Bernhard Ganter, TU Dresden Modul Einführung in

Mehr

Kryptologie. Bernd Borchert. Univ. Tübingen WS 15/16. Vorlesung. Teil 1a. Historische Verschlüsselungsverfahren

Kryptologie. Bernd Borchert. Univ. Tübingen WS 15/16. Vorlesung. Teil 1a. Historische Verschlüsselungsverfahren ryptologie Bernd Borchert Univ. Tübingen WS 15/16 Vorlesung Teil 1a Historische Verschlüsselungsverfahren ryptologie vom Umgang mit Geheimnissen Drei Zielrichtungen der ryptologie: Vertraulichkeit Verschlüsseln

Mehr

Digitale Unterschriften Grundlagen der digitalen Unterschriften Hash-Then-Sign Unterschriften Public-Key Infrastrukturen (PKI) Digitale Signaturen

Digitale Unterschriften Grundlagen der digitalen Unterschriften Hash-Then-Sign Unterschriften Public-Key Infrastrukturen (PKI) Digitale Signaturen Sommersemester 2008 Digitale Unterschriften Unterschrift von Hand : Physikalische Verbindung mit dem unterschriebenen Dokument (beides steht auf dem gleichen Blatt). Fälschen erfordert einiges Geschick

Mehr

Das RSA Kryptosystem

Das RSA Kryptosystem Kryptografie Grundlagen RSA Institut für Mathematik Technische Universität Berlin Kryptografie Grundlagen RSA mit geheimem mit öffentlichem Schlüssel Realisierung Kryptografie mit geheimem Schlüssel Alice

Mehr

Kryptografische Protokolle

Kryptografische Protokolle Kryptografische Protokolle Lerneinheit 6: Elektronisches Geld Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen Sommersemester 2016 14.6.2016 Anforderungen an elektronisches Geld Sicherheit:

Mehr

8 Komplexitätstheorie und Kryptologie

8 Komplexitätstheorie und Kryptologie 8 Komplexitätstheorie und Kryptologie Verschlüsselung, Authentisierung,... müssen schnell berechenbar sein. Formal: polynomiell zeitbeschränkte Funktionen/Algorithmen Angreifer hat beschränkte Ressourcen.

Mehr

Netzsicherheit 9: Das Internet und Public-Key-Infrastrukturen

Netzsicherheit 9: Das Internet und Public-Key-Infrastrukturen Netzsicherheit 9: Das Internet und Public-Key-Infrastrukturen Das TCP/IP-Schichtenmodell Session 2 / 1 Das TCP/IP-Schichtenmodell (2) Modem Payload Payload Payload Payload http http http http TCP TCP TCP

Mehr

Betriebsarten von Blockchiffren. ECB Electronic Code Book Mode. Padding. ECB Electronic Code Book Mode

Betriebsarten von Blockchiffren. ECB Electronic Code Book Mode. Padding. ECB Electronic Code Book Mode Betriebsarten von Blockchiffren Blocklänge ist fest und klein. Wie große Mengen an Daten verschlüsseln? Blockchiffre geeignet verwenden: ECB Mode (Electronic Code Book) CBC Mode (Cipher Block Chaining)

Mehr

Kryptographie und Komplexität

Kryptographie und Komplexität Kryptographie und Komplexität Einheit 4 Public Key Kryptographie mit RSA 1. Ver- und Entschlüsselung 2. Schlüsselerzeugung und Primzahltests 3. Angriffe auf das RSA Verfahren 4. Sicherheit von RSA Probleme

Mehr

Theoretische Informatik: Berechenbarkeit und Formale Sprachen

Theoretische Informatik: Berechenbarkeit und Formale Sprachen Prof. Dr. F. Otto 26.09.2011 Fachbereich Elektrotechnik/Informatik Universität Kassel Klausur zur Vorlesung Theoretische Informatik: Berechenbarkeit und Formale Sprachen SS 2011 Name:................................

Mehr

Kryptographie und Komplexität

Kryptographie und Komplexität Kryptographie und Komplexität Einheit 6 Kryptographie und Sicherheit 1. Kryptographische Hashfunktionen 2. Passwörter und Identifikation 3. Digitale Signaturen 4. Secret Sharing 5. Anwendungen und Ausblick

Mehr

Technikseminar SS2012

Technikseminar SS2012 Technikseminar SS2012 ECC - Elliptic Curve Cryptography Kryptosysteme basierend auf elliptischen Kurven 11.06.2012 Gliederung Was ist ECC? ECC und andere Verfahren Diffie-Hellman-Schlüsselaustausch Funktionsweise

Mehr

Hauptklausur zur Vorlesung Theoretische Grundlagen der Informatik Wintersemester 2011/2012

Hauptklausur zur Vorlesung Theoretische Grundlagen der Informatik Wintersemester 2011/2012 Institut für Theoretische Informatik Lehrstuhl Prof. Dr. D. Wagner Hauptklausur zur Vorlesung Theoretische Grundlagen der Informatik Wintersemester 2011/2012 Hier Aufkleber mit Name und Matrikelnr. anbringen

Mehr

Systemsicherheit 8: Das Internet und Public-Key-Infratrukturen

Systemsicherheit 8: Das Internet und Public-Key-Infratrukturen Systemsicherheit 8: Das Internet und Public-Key-Infratrukturen Das TCP/IP-Schichtenmodell Das TCP/IP-Schichtenmodell (2) Modem Payload Payload Payload Payload http http http http TCP TCP TCP IP IP IP PPP

Mehr

FH Schmalkalden Fachbereich Informatik. Kolloquium 21. März 2002

FH Schmalkalden Fachbereich Informatik. Kolloquium 21. März 2002 FH Schmalkalden Fachbereich Informatik http://www.informatik.fh-schmalkalden.de/ 1/17 Kolloquium 21. März 2002 Entwicklung eines JCA/JCE API konformen Kryptographischen Service Providers für HBCI unter

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 10.06.2013 1 / 26 Überblick 1 Schlüsselaustauschprotokolle Transport Layer Security (TLS) Weitere Schlüsselaustauschtypen Zusammenfassung 2 Identifikationsprotokolle

Mehr

Kryptosystem von Paillier: Analyse und Verbesserungen

Kryptosystem von Paillier: Analyse und Verbesserungen Kryptosystem von Paillier: Analyse und Verbesserungen Andreas Kumlehn 31. März 2006 Inhalt 1 Einleitung 3 2 Grundlagen 4 2.1 Laufzeiten........................................... 4 2.2 Sicherheit...........................................

Mehr

Pseudozufallsgeneratoren

Pseudozufallsgeneratoren Pseudozufallsgeneratoren In welchen kryptographischen Verfahren werden keine Zufallszahlen benötigt? Wie generiert man Zufallszahlen in einer deterministischen Maschine wie dem Computer? Wenn man eine

Mehr

Ich bedanke mich bei Florian Böhl, Benny Fuhry, Gunnar Hartung, Jan Holz, Björn Kaidel, Eike Kiltz, Evgheni Kirzner, Jessica Koch, Julia Rohlfing,

Ich bedanke mich bei Florian Böhl, Benny Fuhry, Gunnar Hartung, Jan Holz, Björn Kaidel, Eike Kiltz, Evgheni Kirzner, Jessica Koch, Julia Rohlfing, Digitale Signaturen Tibor Jager tibor.jager@rub.de Horst Görtz Institut für IT-Sicherheit Lehrstuhl für Netz- und Datensicherheit Ruhr-Universität Bochum Letzte Aktualisierung: 6. Oktober 2015 Ich bedanke

Mehr

Kryptografische Protokolle

Kryptografische Protokolle Kryptografische Protokolle Lerneinheit 5: Authentifizierung Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen Sommersemester 2015 19.6.2015 Einleitung Einleitung Diese Lerneinheit hat Protokolle

Mehr

Vorkurs für. Studierende in Mathematik und Physik. Einführung in Kryptographie Kurzskript 2015

Vorkurs für. Studierende in Mathematik und Physik. Einführung in Kryptographie Kurzskript 2015 Vorkurs für Studierende in Mathematik und Physik Einführung in Kryptographie Kurzskript 2015 Felix Fontein Institut für Mathematik Universität Zürich Winterthurerstrasse 190 8057 Zürich 11. September 2015

Mehr

IT-Sicherheit Kapitel 3 Public Key Kryptographie

IT-Sicherheit Kapitel 3 Public Key Kryptographie IT-Sicherheit Kapitel 3 Public Key Kryptographie Dr. Christian Rathgeb Sommersemester 2013 1 Einführung In der symmetrischen Kryptographie verwenden Sender und Empfänger den selben Schlüssel die Teilnehmer

Mehr

6.3 Authentizität. Geheimhaltung: nur der Empfänger kann die Nachricht lesen. die Nachricht erreicht den Empfänger so, wie sie abgeschickt wurde

6.3 Authentizität. Geheimhaltung: nur der Empfänger kann die Nachricht lesen. die Nachricht erreicht den Empfänger so, wie sie abgeschickt wurde 6.3 Authentizität Zur Erinnerung: Geheimhaltung: nur der Empfänger kann die Nachricht lesen Integrität: die Nachricht erreicht den Empfänger so, wie sie abgeschickt wurde Authentizität: es ist sichergestellt,

Mehr

Über das Hüten von Geheimnissen

Über das Hüten von Geheimnissen Über das Hüten von Geheimnissen Gabor Wiese Tag der Mathematik, 14. Juni 2008 Institut für Experimentelle Mathematik Universität Duisburg-Essen Über das Hüten von Geheimnissen p.1/14 Rechnen mit Rest Seien

Mehr