Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Nachklausur
|
|
- Florian Linden
- vor 6 Jahren
- Abrufe
Transkript
1 Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz IKS Institut für Kryptographie und Sicherheit Stammvorlesung Sicherheit im Sommersemester 2013 Nachklausur Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen Ihnen 60 Minuten zur Verfügung. - Zum Bestehen der Klausur sind 20 der 60 möglichen Punkte hinreichend. - Es sind keine Hilfsmittel zugelassen. - Schreiben Sie Ihre Lösungen auf die Aufgabenblätter sowie auf deren Rückseiten. - Zusätzliches Papier erhalten Sie bei Bedarf von der Aufsicht. Aufgabe mögliche Punkte erreichte Punkte a b c d Σ a b c d Σ x1 10 Σ 60
2 Aufgabe 1. ( Punkte) Betrachten Sie das einfache RSA-Verschlüsselungsverfahren (ohne Padding) aus der Vorlesung. (a) Seien die Primzahlen P = 11 und Q = 13 gegeben. Berechnen Sie den geheimen Exponenten d zum öffentlichen Exponenten e = 7 und geben Sie den öffentlichen Schlüssel an. (b) Verschlüsseln Sie die Nachricht M = 119 mit dem öffentlichen Schlüssel aus (a). (c) Seien die RSA-Chiffrate C 1 = M e1 mod N und C 2 = M e2 mod N mit gcd(e 1, e 2 ) = 1 und öffentlichen Exponenten e 1, e 2 sowie öffentlichem RSA-Modulus N gegeben. Wie kann M effizient berechnet werden? (Dabei sei gcd der Größte-gemeinsame-Teiler-Algorithmus.) (d) Gegeben sei der öffentliche RSA-Modulus N = P Q, mit unbekannten Primzahlen P, Q, und der Wert der eulerschen Phi-Funktion ϕ(n) = (P 1)(Q 1). Geben Sie eine Formel zur effizienten Berechnung von P und Q an. Lösungsvorschlag zu Aufgabe 1. (a) Wir berechnen N := P Q = = 143 und ϕ(n) = (P 1)(Q 1) = = 120. Der erweiterte euklidische Algorithmus EE(7, 120) liefert ( 17, 1), da 120 = = 1 gilt. Der geheime Exponent lautet d := 17 mod 120 = 103. (d = 17 ist ebenso eine gültige Lösung.) Der öffentliche Schlüssel ergibt sich zu (N, e) = (143, 7). (b) Wir berechnen C := M e mod N = mod 143 = ( 12 2) 7 mod 143 = mod 143 = mod 143 = 180 mod 143 = 37. (Dabei ist ( 12) 2 mod 143 = 1.) (c) Da gcd(e 1, e 2 ) = 1 gilt, erhalten wir mittels des erweitertem euklidischem Algorithmus EE(e 1, e 2 ) = (α, β) (Z) 2 mit α e 1 + β e 2 = 1. M erhalten wir durch die Berechnung C α 1 C β 2 mod N = M e1α M e2β mod N = M α e1+β e2 mod N = M. (d) Es gilt ϕ(n) = (P 1)(Q 1) = P Q P Q + 1 = N P N/P = P 2 + (ϕ(n) N 1)P + N. Nach Umformung nach P erhalten wir (ϕ(n) N 1) P 1,2 := ± 2 ( ( ϕ(n) N 1) 2 ) 2 N. Ohne Beschränkung der Allgemeinheit setzen wir P := P 1 Lösungen, da die Diskriminante positiv ist. und Q := P 2. Es existieren beide 1
3 Aufgabe 2. (6+2+3 Punkte) (a) Betrachten Sie das einfache ElGamal-Signaturverfahren (ohne Hashfunktion) aus der Vorlesung. Für zwei Primzahlen p und q sei hierfür die zyklische Gruppe G Z p der Ordnung q mit Erzeuger g gegeben. (i) Schlüsselerzeugung: Wie berechnet sich der zu einem geheimen Signaturschlüssel sk := (G, g, x) passende Verifikationsschlüssel? (ii) Signatur: Wie wird die ElGamal-Signatur zu einer Nachricht m mit Signaturschlüssel (G, g, x) erzeugt? (iii) Verifikation: Gegeben sei die Signatur σ := (a, b). Wie können Sie mit dem Verifikationsschlüssel pk := (G, g, y) verifizieren, ob σ eine gültige Signatur zur Nachricht m ist? (b) Beschreiben Sie einen effizienten Angreifer A, der die EUF-CMA-Eigenschaft des oben betrachteten ElGamal-Signaturverfahrens bricht. (c) Das oben betrachtete ElGamal-Signaturverfahren verwendet bei der Erstellung einer Signatur einen Zufallswert e. Sei f eine öffentlich bekannte deterministische Einwegfunktion. Wir wandeln nun das ElGamal-Signaturverfahren leicht ab, indem wir zum Signieren einer Nachricht m statt dem Zufall e den Wert f(m) verwenden. Wie kann nun mit Kenntnis eines Signatur-Nachrichtenpaares (σ, m) der geheime Signaturschlüssel berechnet werden? Lösungsvorschlag zu Aufgabe 2. (a) (i) Der öffentliche Verifikationsschlüssel ist pk := (G, g, g x mod p). (ii) Wähle e Z q zufällig und gleichverteilt und setze a := g e mod p. Berechne außerdem ein b mit m ax + eb mod q. Damit ist σ := (a, b) eine gültige Signatur zur Nachricht m. (iii) Das Tupel (a, b) ist genau dann eine gültige Signatur der Nachricht m, wenn gilt y a a b mod p = g m mod p. (b) Variante 1: Nullsignatur: Der Angreifer A wählt (a, b) := (g x, g x ) = (y, y) (mit dem y aus dem öffentlichen Schlüssel), welches eine gültige Signatur für m = 0 ist. Variante 2: Signatur einer Unsinnsnachricht: Der Angreifer A wählt z zufällig und berechnet a := g z g x = g z+x. Damit ist (a, a) eine gültige Signatur für die Nachricht m = az. In beiden Varianten schafft es A, rein mit Kenntnis des öffentlichen Verifikationsschlüssels (G, g, y) ohne vorherige Befragung des Signaturorakels, ein Nachrichten-Signatur-Paar zu erstellen, das gültig ist, für das im EUF-CMA-Experiment somit der Verifikationsalgorithmus eine 1 (bzw. valid) ausgibt. Damit gewinnt A das EUF-CMA-Spiel (immer, also mit mehr als vernachlässigbarer Wahrscheinlichkeit). (c) Wir wissen, dass ax + eb m mod q, wobei e = f(m). Diese Gleichung können wir nach dem Geheimnis x auflösen und erhalten den geheimen Schlüssel sk = (G, g, x) mit x = a 1 (m f(m)b) mod q. 2
4 Aufgabe 3. (4+3+4 Punkte) (a) Begründen Sie jeweils, ob eine Blockchiffre in den folgenden Modi IND-CPA-sicher sein kann. Geben Sie dazu entweder die entsprechende hinreichende Annahme aus der Vorlesung an oder einen erfolgreichen Angreifer und dessen Erfolgswahrscheinlichkeit. (i) ECB-Mode (ii) CBC-Mode (Initialisierungsvektor wird für jede Verschlüsselung gleichverteilt und neu gezogen) (b) Beschreiben Sie den One-Time-Pad und geben Sie genau einen Vor- und einen Nachteil an. (c) Wir betrachten eine symmetrische Chiffre Enc : {0, 1} n {0, 1} 2n 1 {0, 1} 2n 1, Enc(K, M) = C = C 1... C 2n 1, die es erlaubt, Nachrichten M = M 1... M 2n 1 {0, 1} 2n 1 mit einem n-bit-schlüssel K = K 1... K n folgendermaßen zu verschlüsseln: M 1 M 2... M n M n+1... M 2n 1... K 1 K 2... K n... K 1... K n 1 K n K 1 K 2... K n C 1 C 2... C n C n+1... C 2n 1 Desweiteren betrachten wir einen modifizierten IND-CPA-Sicherheitsbegriff, den wir mit IND-CPA* bezeichnen und der durch folgendes Sicherheitsspiel für einen effizienten Angreifer beschrieben wird: Der Angreifer wählt zwei Nachrichten M (1) M (2) der Länge 2n 1. Er erhält C = Enc(K, M (b) ) für ein gleichverteiltes b {1, 2}. Der Angreifer gewinnt, falls er b richtig rät. Falls Pr[Angreifer gewinnt] 1/2 für alle effizienten Angreifer vernachlässigbar ist, ist das Schema IND-CPA*-sicher. Beachten Sie: Der Angreifer erhält hier keinen Zugriff auf ein Verschlüsselungsorakel! Zeigen Sie, dass die oben definierte Chiffre diesen vereinfachten Sicherheitsbegriff nicht erfüllt, indem Sie einen erfolgreichen Angreifer und dessen Erfolgswahrscheinlichkeit angeben. Lösungsvorschlag zu Aufgabe 3. (a) (i) Keine Blockchiffre ist im ECB-Mode IND-CPA-sicher. Betrachte folgenden Angreifer: Angreifer wählt M (1) M (2) beliebig. Angreifer erhält C = E(K, M (b) ). Angreifer erfragt C (1) = E(K, M (1) ). Angreifer gibt 1 aus gdw. C = C (1). Pr[Angreifer gewinnt]=1. (ii) Im CBC-Mode ist eine Blockchiffre E(K, ) : {0, 1} l {0, 1} l IND-CPA-sicher, falls sie für zufälliges K ununterscheidbar zu einer Zufallsfunktion R : {0, 1} l {0, 1} l ist. 3
5 (b) OTP: C = M K, wobei M = K. Vorteil: C gibt keine Information über M (perfekte Sicherheit). Nachteil: unhandlich (langer Schlüssel) oder malleable (verwundbar). (c) 1. Möglichkeit: Angreifer wählt M (1) M (2), so dass M (1) 1 M n (1) M (1) n+1 M (2) 1 M n (2) M (2) n+1 (hier gibt es mehrere verschiedene Möglichkeiten, die man wählen kann). Angreifer erhält C und berechnet C1 Cn Cn+1 = M (b) 1 M n (b) M (b) n+1. Angreifer gibt 1 aus, falls M (b) 1 M n (b) M (b) n+1 = M (1) 1 M n (1) M (1) n+1. Pr[Angreifer gewinnt]=1. 2. Möglichkeit: Angreifer wählt M (1) i = M (2) i = 0 für i = 1... n und M (1) n+1 M (2) n+1. Rest beliebig. Angreifer erhält C und berechnet den Schlüssel rekursiv, da K 1 = C 1 M (b) 1 = C 1, K 2 = C 2 M (b) 2 K 1 = C 2 K 1 usw. bis K n. Angreifer überprüft nun mit berechnetem Schlüssel und C n+1, ob C n+1 K 2 K n = M (1) n+1. Falls ja, gibt er 1 aus, falls nein 2. Pr[Angreifer gewinnt]=1. 4
6 Aufgabe 4. (3+4+4 Punkte) (a) Sei N = P Q, für unbekannte Primzahlen P, Q, ein zufällig generierter RSA-Modulus. Ist die Kompressionsfunktion H 1 : Z 2 N Z N, definiert durch H 1 (x, y) = x 2 y mod N, kollisionsresistent? (Nehmen Sie an, dass es schwer ist, den Modulus N in seine Primfaktoren zu zerlegen.) Falls ja, skizzieren Sie, warum H 1 kollisionsresistent ist. Falls nein, geben Sie eine konkrete Kollision für H 1 an. (b) Sei G eine zyklische Gruppe von öffentlicher Primordnung p, in der Logarithmen nicht effizient gezogen werden können. Seien g, h G zufällig gewählt. Ist die Kompressionsfunktion H 2 : Z 2 q G definiert durch H 2 (x, y) = g x+y h x y kollisionsresistent? Falls ja, skizzieren Sie, warum H 2 kollisionsresistent ist. Falls nein, geben Sie eine konkrete Kollision für H 2 an. Begründen Sie Ihre Antwort. (c) Sei H : {0, 1} {0, 1} 2k eine kollisionsresistente Hashfunktion und f : {0, 1} 2k {0, 1} k eine beliebige surjektive Funktion. Ist die Funktion H : {0, 1} {0, 1} k, gegeben durch H (x) = f(h(x)), für jede solche surjektive Funktion f kollisionsresistent? Begründen Sie Ihre Antwort. Lösungsvorschlag zu Aufgabe 4. (a) H 1 ist nicht kollisionsresistent. Es genügt, eine Kollision anzugeben. Beispielsweise erzeugen die Eingaben (x, y) ( x, y), für alle (x, y) Z 2 N, Kollisionen für H 1: Wir erhalten H 1 (x, y) = x 2 y mod N = ( x) 2 y mod N = H 1 ( x, y). (b) Wir betrachten zwei Fälle. Dabei ist die Betrachtung eines Falles ausreichend, um die Aufgabe zu lösen. Fall p = q: Diese Kompressionsfunktion ist kollisionsresistent. Angenommen es existiere ein PPT- Algorithmus A, der für H 2, gegeben durch g, h, mit nicht vernachlässigbarer Wahrscheinlichkeit zwei Paare (x 1, y 1 ) (x 2, y 2 ) Z 2 p findet, sodass H 2 (x 1, y 1 ) = H 2 (x 2, y 2 ). Wir konstruieren dann einen Algorithmus A, der effizient Logarithmen in G mit derselben Wahrscheinlichkeit zieht. Erhält A als Eingabe zwei Gruppenelemente g und h, so lässt es A mit Eingabe (g, h) laufen. Gibt A zwei Paare (x 1, y 1 ) und (x 2, y 2 ) aus, so testet A zunächst, ob (x 1, y 1 ) (x 2, y 2 ) und H 2 (x 1, y 1 ) = H 2 (x 2, y 2 ) gilt. Falls ja, so gilt auch g x1 x2+y1 y2 = h x2 x1 y2+y1, und damit h = g x 1 x 2 +y 1 y 2 x 2 x 1 y 2 +y 1. A gibt dann die Lösung r = x1 x2+y1 y2 x 2 x 1 y 2+y 1 aus. Fall p q: Die Kompressionsfunktion ist nicht kollisionsresistent und wir geben eine Kollision an. Dabei führen die H 2 -Eingaben (x, y) (x + kp mod q, y), für alle (x, y) Z 2 q und k Z, zu einer Kollision, da stets H 2 (x, y) = g x+y h x y = g x+kp+y h x+kp y = H 2 (x + kp, y) gilt. (c) H ist nicht kollisionsresistent. Zu einem gegebenen H konstruieren wir eine Funktion f wie folgt: 0 k x = H(0 2k ) f(x) = 0 k x = H(1 2k ) x 1... x k sonst Diese Funktion ist offensichtlich surjektiv und es gilt H (0 2k ) = f(h(0 2k )) = 0 k = f(h(1 2k )) = H (1 2k ). Damit ist H nicht kollisionsresistent. 5
7 Aufgabe 5. (6 Punkte) Gegeben seien - die Menge C = {c 1, c 2, c 3 }, - die Menge S = {s 1 } und - die Menge O = {o 1, o 2, o 3 }, mit y(o i ) = c i, für i {1, 2, 3}, x(o 1 ) = {c 3 }, x(o 2 ) = und x(o 3 ) = {c 1, c 2 } im Chinese-Wall-Modell. Betrachten Sie die folgende Abfolge von Anfragen b (S O) ({read, write}) in Reihenfolge: 1. (s 1, o 1 ) (write) 4. (s 1, o 1 ) (read) 2. (s 1, o 3 ) (read) 5. (s 1, o 2 ) (write) 3. (s 1, o 2 ) (write) 6. (s 1, o 3 ) (write) Dabei ist der Initialzustand konfliktfrei. Beschreiben Sie, ob die einzelnen Anfragen gewährt werden. Falls die Anfrage nicht gewährt wurde, zeigen Sie auf, welche Eigenschaft(en) im Sinne der ss- oder -Eigenschaft verletzt wurde(n). Begründen Sie Ihre Entscheidung. Sie können die unten stehende Tabelle für Ihre Lösung verwenden. Anfrage ss Bemerkungen 1. (s 1, o 1 ) (write) 2. (s 1, o 3 ) (read) 3. (s 1, o 2 ) (write) 4. (s 1, o 1 ) (read) 5. (s 1, o 2 ) (write) 6. (s 1, o 3 ) (write) Lösungsvorschlag zu Aufgabe 5. Gewährt werden die einzelnen Anfragen b (SO)({read, write}), wenn die ss- und die -Eigenschaft erfüllt sind. Anfrage ss Bemerkungen 1. (s 1, o 1 ) (write) 2. (s 1, o 3 ) (read) s 1 hat schon Zugriff auf o 1 mit y(o 3 ) x(o 1 ) 3. (s 1, o 2 ) (write) 4. (s 1, o 1 ) (read) 5. (s 1, o 2 ) (write) s 1 liest schon o 1 mit y(o 2 ) y(o 1 ) und x(o 1 ) 6. (s 1, o 3 ) (write) s 1 hat schon Zugriff auf o 1 mit y(o 3 ) x(o 1 ), y(o 3 ) y(o 1 ) und x(o 1 ) 6
8 Aufgabe 6. (10 Punkte) Bei dieser Multiple-Choice-Aufgabe gibt jede richtige Antwort 1 Punkt, für jede falsche Antwort wird 1 Punkt abgezogen. Die Gesamtpunktzahl der Aufgabe kann jedoch nicht negativ werden. Für nicht beantwortete Aussagen, d. h. kein Kreuz bei wahr und falsch in derselben Zeile, werden keine Punkte abgezogen. wahr falsch Die ElGamal-Verschlüsselung aus der Vorlesung ist sicher gegen aktive Angreifer. (Einfache) RSA-Signaturen sind EUF-CMA-sicher. Eine Funktion f : N R ist genau dann vernachlässigbar in k, wenn c, k 0 k k 0 : f(k) 1/k c gilt. Im Cipher Feedback Mode (CFB) einer Blockchiffre werden gleiche Klartextblöcke einer Nachricht immer auf gleiche Chiffretextblöcke abgebildet. Für primes P und M {1,..., P 1} gilt M P 1 = 1 mod P. Im Bell-LaPadula-Modell ist es für einen Lesezugriff von Subjekt s auf Objekt o mit entspr. Sicherheitslevel f s (s) bzw. f o (o) notwendig, dass f s (s) f o (o) gilt. Ist bei einem erlaubten Zugriff die ds-eigenschaft im Bell-LaPadula-Modell erfüllt, so wird der aktuelle Sicherheitslevel des zugreifenden Subjekts immer angepasst. Im RSA-PSS-Verfahren gilt Sig(sk, M) = (pad(m)) 1/e mod N, für Nachricht M, Padding-Algorithmus pad, RSA-Modulus N und öffentlichen RSA-Exponenten e. PKE-basierte PK-ID-Protokolle besitzen die Zero-Knowledge-Eigenschaft. Jede kollisionsresistente Hashfunktion H : {0, 1} {0, 1} k ist eine Einwegfunktion bezüglich der Gleichverteilung auf {0, 1} 2k. Lösungsvorschlag zu Aufgabe 6. wahr falsch Die ElGamal-Verschlüsselung aus der Vorlesung ist sicher gegen aktive Angreifer. (Einfache) RSA-Signaturen sind EUF-CMA-sicher. Eine Funktion f : N R ist genau dann vernachlässigbar in k, wenn c, k 0 k k 0 : f(k) 1/k c gilt. Im Cipher Feedback Mode (CFB) einer Blockchiffre werden gleiche Klartextblöcke einer Nachricht immer auf gleiche Chiffretextblöcke abgebildet. Für primes P und M {1,..., P 1} gilt M P 1 = 1 mod P. Im Bell-LaPadula-Modell ist es notwendig für einen Lesezugriff von Subjekt s auf ein Objekt o mit entspr. Sicherheitslevel f s (s) bzw. f o (o), dass f s (s) f o (o) gilt. Ist bei einem erlaubten Zugriff die ds-eigenschaft im Bell-LaPadula-Modell erfüllt, so wird der aktuelle Sicherheitslevel des zugreifenden Subjekts immer angepasst. Im RSA-PSS-Verfahren gilt Sig(sk, M) = (pad(m)) 1/e mod N, für Nachricht M, Padding-Algorithmus pad, RSA-Modulus N und öffentlichen RSA-Exponenten e. PKE-basierte PK-ID-Protokolle besitzen die Zero-Knowledge-Eigenschaft. Jede kollisionsresistente Hashfunktion H : {0, 1} {0, 1} k ist eine Einwegfunktion bezüglich der Gleichverteilung auf {0, 1} 2k. 7
Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Klausur
Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz IKS Institut für Kryptographie und Sicherheit Stammvorlesung Sicherheit im Sommersemester 2013 Klausur 26.07.2013 Vorname: Nachname:
MehrVorlesung Sicherheit
Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 20.04.2014 1 / 28 Überblick 1 Blockchiffren Erinnerung Angriffe auf Blockchiffren 2 Formalisierung
MehrMusterlösung der Hauptklausur zur Vorlesung Sicherheit Sommersemester 2012
Institut für Kryptographie und Sicherheit Prof. Dr. Jörn Müller-Quade Musterlösung der Hauptklausur zur Vorlesung Sicherheit Sommersemester 2012 Vorname Nachname Matrikelnummer Ergebniscode Hinweise Für
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 06.05.2013 1 / 25 Überblick 1 Hashfunktionen Erinnerung Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel:
MehrInstitut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester 2013.
Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz IKS Institut für Kryptographie und Sicherheit Stammvorlesung Sicherheit im Sommersemester 2013 Übungsblatt 2 Aufgabe 1. Wir wissen,
MehrLösung zur Klausur zu Krypographie Sommersemester 2005
Lösung zur Klausur zu Krypographie Sommersemester 2005 1. Bestimmen Sie die zwei letzten Ziffern der Dezimaldarstellung von 12 34 Es gilt: 12 34 = 12 32+2 = 12 32 12 2 = 12 (25) 12 2 = ((((12 2 ) 2 ) 2
MehrKryptologie. K l a u s u r WS 2006/2007, Prof. Dr. Harald Baier
Kryptologie K l a u s u r WS 2006/2007, 2007-02-01 Prof. Dr. Harald Baier Name, Vorname: Matrikelnummer: Hinweise: (a) Als Hilfsmittel ist nur der Taschenrechner TI-30 zugelassen. Weitere Hilfsmittel sind
MehrRSA Verfahren. Kapitel 7 p. 103
RSA Verfahren RSA benannt nach den Erfindern Ron Rivest, Adi Shamir und Leonard Adleman war das erste Public-Key Verschlüsselungsverfahren. Sicherheit hängt eng mit der Schwierigkeit zusammen, große Zahlen
MehrVoll homomorpe Verschlüsselung
Voll homomorpe Verschlüsselung Definition Voll homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : R R für Ringe R, R. Π heißt voll homomorph, falls 1 Enc(m 1 ) + Enc(m 2 ) eine gültige
MehrName:... Vorname:... Matrikel-Nr.:... Studienfach:...
Stefan Lucks Medien Bauhaus-Univ. Weimar Probeklausur Name:.............................. Vorname:........................... Matrikel-Nr.:....................... Studienfach:........................ Wichtige
MehrSicherheit von hybrider Verschlüsselung
Sicherheit von hybrider Verschlüsselung Satz Sicherheit hybrider Verschlüsselung Sei Π ein CPA-sicheres PK-Verschlüsselungsverfahren und Π ein KPA-sicheres SK-Verschlüsselungsverfahren. Dann ist das hybride
MehrHomomorphe Verschlüsselung
Homomorphe Verschlüsselung Definition Homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : G G für Gruppen G, G. Π heißt homomorph, falls Enc(m 1 ) G Enc(m 2 ) eine gültige Verschlüsselung
MehrAuthentikation und digitale Signatur
TU Graz 23. Jänner 2009 Überblick: Begriffe Authentikation Digitale Signatur Überblick: Begriffe Authentikation Digitale Signatur Überblick: Begriffe Authentikation Digitale Signatur Begriffe Alice und
MehrKryptographie und Komplexität
Kryptographie und Komplexität Einheit 5.2 ElGamal Systeme 1. Verschlüsselungsverfahren 2. Korrektheit und Komplexität 3. Sicherheitsaspekte Das ElGamal Verschlüsselungsverfahren Public-Key Verfahren von
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 13.05.2013 1 / 16 Überblick 1 Asymmetrische Verschlüsselung Erinnerung Andere Verfahren Demonstration Zusammenfassung 2 Symmetrische Authentifikation von Nachrichten
MehrSicherheit von ElGamal
Sicherheit von ElGamal Satz CPA-Sicherheit ElGamal ElGamal Π ist CPA-sicher unter der DDH-Annahme. Beweis: Sei A ein Angreifer auf ElGamal Π mit Erfolgsws ɛ(n) := Ws[PubK cpa A,Π (n) = 1]. Wir konstruieren
MehrDigitale Unterschriften mit ElGamal
Digitale Unterschriften mit ElGamal Seminar Kryptographie und Datensicherheit Institut für Informatik Andreas Havenstein Inhalt Einführung RSA Angriffe auf Signaturen und Verschlüsselung ElGamal Ausblick
MehrEinführung in die Kryptographie - Multiple Choice Quiz
Technische Universität Darmstadt Einführung in die Kryptographie - Multiple Choice Quiz Oren Halvani. M.Sc. Inf ormatik. Matrikel N o. Disclaimer Um was für ein Dokument handelt es sich hier genau?. Im
MehrRSA Full Domain Hash (RSA-FDH) Signaturen
RSA Full Domain Hash (RSA-FDH) Signaturen Signatur RSA-FDH Sei H : {0, 1} Z N ein Random-Oracle. 1 Gen: (N, e, d) GenRSA(1 n ) mit pk = (N, e) und sk = (N, d). 2 Sign: Für eine Nachricht m {0, 1} berechne
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 26.05.2014 1 / 32 Überblick 1 Hinweis 2 Asymmetrische Authentifikation von Nachrichten Erinnerung RSA als Signaturschema ElGamal-Signaturen Hash-Then-Sign
MehrPrinzipien der modernen Kryptographie Sicherheit
Prinzipien der modernen Kryptographie Sicherheit Prinzip 1 Sicherheitsmodell Das Sicherheitsmodell (Berechnungsmodell, Angriffstypen, Sicherheitsziele) muss präzise definiert werden. Berechnungsmodell:
MehrÜbungen zu. Grundlagen der Kryptologie SS 2008. Hochschule Konstanz. Dr.-Ing. Harald Vater. Giesecke & Devrient GmbH Prinzregentenstraße 159
Übungen zu Grundlagen der Kryptologie SS 2008 Hochschule Konstanz Dr.-Ing. Harald Vater Giesecke & Devrient GmbH Prinzregentenstraße 159 D-81677 München Tel.: +49 89 4119-1989 E-Mail: hvater@htwg-konstanz.de
MehrÜbung GSS Blatt 6. SVS Sicherheit in Verteilten Systemen
Übung GSS Blatt 6 SVS Sicherheit in Verteilten Systemen 1 Einladung zum SVS-Sommerfest SVS-Sommerfest am 12.07.16 ab 17 Uhr Ihr seid eingeladen! :-) Es gibt Thüringer Bratwürste im Brötchen oder Grillkäse
MehrVorlesung Sicherheit
Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 02.05.2016 1 / 22 Überblick 1 Hashfunktionen Erinnerung Formalisierung Die Merkle-Damgård-Konstruktion
MehrWiederholung Symmetrische Verschlüsselung klassische Verfahren: Substitutionschiffren Transpositionschiffren Vigenère-Chiffre One-Time-Pad moderne
Wiederholung Symmetrische Verschlüsselung klassische Verfahren: Substitutionschiffren Transpositionschiffren Vigenère-Chiffre One-Time-Pad moderne Verfahren: DES (Feistel-Chiffre) mehrfache Wiederholung
MehrMusterlösung zur Hauptklausur Theoretische Grundlagen der Informatik Wintersemester 2013/14
Institut für Theoretische Informatik Prof. Dr. Jörn Müller-Quade Musterlösung zur Hauptklausur Theoretische Grundlagen der Informatik Wintersemester 23/4 Vorname Nachname Matrikelnummer Hinweise Für die
MehrRabin Verschlüsselung 1979
Rabin Verschlüsselung 1979 Idee: Rabin Verschlüsselung Beobachtung: Berechnen von Wurzeln in Z p ist effizient möglich. Ziehen von Quadratwurzeln in Z N ist äquivalent zum Faktorisieren. Vorteil: CPA-Sicherheit
MehrPublic-Key-Verschlüsselung und Diskrete Logarithmen
Public-Key-Verschlüsselung und Diskrete Logarithmen Carsten Baum Institut für Informatik Universität Potsdam 10. Juni 2009 1 / 30 Inhaltsverzeichnis 1 Mathematische Grundlagen Gruppen, Ordnung, Primitivwurzeln
MehrRSA Full Domain Hash (RSA-FDH) Signaturen
RSA Full Domain Hash (RSA-FDH) Signaturen Signatur RSA-FDH Sei H : {0, 1} Z N ein Random-Oracle. 1 Gen: (N, e, d) GenRSA(1 n ) mit pk = (N, e) und sk = (N, d). 2 Sign: Für eine Nachricht m {0, 1} berechne
MehrCPA-Sicherheit ist ungenügend
CPA-Sicherheit ist ungenügend Definition CCA CCA (=Chosen Ciphertext Attack) ist ein Angriff, bei dem der Angreifer sich Chiffretext seiner Wahl entschlüsseln lassen kann. Beispiele in denen CPA nicht
MehrElGamal Verschlüsselungsverfahren (1984)
ElGamal Verschlüsselungsverfahren (1984) Definition ElGamal Verschlüsselungsverfahren Sei n ein Sicherheitsparameter. 1 Gen : (q, g) G(1 n ), wobei g eine Gruppe G der Ordnung q generiert. Wähle x R Z
MehrEinführung in die Kryptographie
Ä Johannes Buchmann Einführung in die Kryptographie Dritte, erweiterte Auflage Inhaltsverzeichnis 1. Einleitung 1 2. Ganze Zahlen 3 2.1 Grundlagen 3 2.2 Teilbarkeit 4 2.3 Darstellung ganzer Zahlen 5 2.4
Mehr3: Zahlentheorie / Primzahlen
Stefan Lucks Diskrete Strukturen (WS 2009/10) 96 3: Zahlentheorie / Primzahlen 3: Zahlentheorie / Primzahlen Stefan Lucks Diskrete Strukturen (WS 2009/10) 97 Definition 37 (Teiler, Vielfache, Primzahlen,
MehrHardcore-Prädikat. Definition Hardcore-Prädikat. Ziel: Destilliere Komplexität des Invertierens auf ein Bit.
Hardcore-Prädikat Ziel: Destilliere Komplexität des Invertierens auf ein Bit. Definition Hardcore-Prädikat Sei Π f eine Einwegfunktion. Sei hc ein deterministischer pt Alg mit Ausgabe eines Bits hc(x)
MehrIn beiden Fällen auf Datenauthentizität und -integrität extra achten.
Stromchiffren Verschlüsseln eines Stroms von Daten m i (Bits/Bytes) mithilfe eines Schlüsselstroms k i in die Chiffretexte c i. Idee: Im One-Time Pad den zufälligen Schlüssel durch eine pseudo-zufällige
MehrPublic-Key Kryptographie mit dem RSA Schema. Torsten Büchner
Public-Key Kryptographie mit dem RSA Schema Torsten Büchner 7.12.2004 1.Einleitung 1. symmetrische-, asymmetrische Verschlüsselung 2. RSA als asymmetrisches Verfahren 2.Definition von Begriffen 1. Einwegfunktionen
MehrIT-Sicherheit: Kryptographie. Asymmetrische Kryptographie
IT-Sicherheit: Kryptographie Asymmetrische Kryptographie Fragen zur Übung 5 C oder Java? Ja (gerne auch Python); Tips waren allerdings nur für C Wie ist das mit der nonce? Genau! (Die Erkennung und geeignete
MehrKurze Einführung in kryptographische Grundlagen.
Kurze Einführung in kryptographische Grundlagen. Was ist eigentlich AES,RSA,DH,ELG,DSA,DSS,ECB,CBC Benjamin.Kellermann@gmx.de GPG-Fingerprint: D19E 04A8 8895 020A 8DF6 0092 3501 1A32 491A 3D9C git clone
MehrWiederholung: Informationssicherheit Ziele
Wiederholung: Informationssicherheit Ziele Vertraulichkeit : Schutz der Information vor unberechtigtem Zugriff bei Speicherung, Verarbeitung und Übertragung Methode: Verschüsselung symmetrische Verfahren
MehrWiederholung. Symmetrische Verfahren: klassische Verfahren / grundlegende Prinzipien: Substitution, Transposition, One-Time-Pad DES AES
Wiederholung Symmetrische Verfahren: klassische Verfahren / grundlegende Prinzipien: Substitution, Transposition, One-Time-Pad DES AES Mathematische Grundlagen: algebraische Strukturen: Halbgruppe, Monoid,
MehrDigitale Signaturen. Sven Tabbert
Digitale Signaturen Sven Tabbert Inhalt: Digitale Signaturen 1. Einleitung 2. Erzeugung Digitaler Signaturen 3. Signaturen und Einweg Hashfunktionen 4. Digital Signature Algorithmus 5. Zusammenfassung
MehrGrundlagen der Kryptographie
Grundlagen der Kryptographie Seminar zur Diskreten Mathematik SS2005 André Latour a.latour@fz-juelich.de 1 Inhalt Kryptographische Begriffe Primzahlen Sätze von Euler und Fermat RSA 2 Was ist Kryptographie?
MehrKap. 2: Fail-Stop Unterschriften
Stefan Lucks 2: Fail-Stop Unterschriften 17 Digital Unterschreiben und Bezahlen Kap. 2: Fail-Stop Unterschriften Digitale Unterschriften (Synomym: Digitale Signaturen ): Fälschen mutmaßlich hart (RSA-Wurzeln,
MehrKleiner Fermatscher Satz, Chinesischer Restsatz, Eulersche '-Funktion, RSA
Kleiner Fermatscher Satz, Chinesischer Restsatz, Eulersche '-Funktion, RSA Manfred Gruber http://www.lrz-muenchen.de/~gruber SS 2009, KW 15 Kleiner Fermatscher Satz Satz 1. Sei p prim und a 2 Z p. Dann
MehrDas RSA-Verfahren. Armin Litzel. Proseminar Kryptographische Protokolle SS 2009
Das RSA-Verfahren Armin Litzel Proseminar Kryptographische Protokolle SS 2009 1 Einleitung RSA steht für die drei Namen Ronald L. Rivest, Adi Shamir und Leonard Adleman und bezeichnet ein von diesen Personen
Mehr11. Das RSA Verfahren und andere Verfahren
Chr.Nelius: Kryptographie (SS 2011) 31 11. Das RSA Verfahren und andere Verfahren Eine konkrete Realisierung eines Public Key Kryptosystems ist das sog. RSA Verfahren, das im Jahre 1978 von den drei Wissenschaftlern
MehrGrundlagen der Verschlüsselung und Authentifizierung (1)
Grundlagen der Verschlüsselung und Authentifizierung (1) Proseminar im SS 2010 Friedrich-Alexander-Universität Erlangen-Nürnberg 18.05.2010 1 Motivation
MehrSCHRIFTLICHE ZUSAMMENFASSUNG ZUM VORTRAG DIE GRUNDLAGEN DER RSA-VERSCHLÜSSELUNG VON DANIEL METZSCH
SCHRIFTLICHE ZUSAMMENFASSUNG ZUM VORTRAG DIE GRUNDLAGEN DER RSA-VERSCHLÜSSELUNG VON DANIEL METZSCH Freie Universität Berlin Fachbereich für Mathematik & Informatik Institut für Mathematik II Seminar über
MehrMusterlösung der Hauptklausur zur Vorlesung Theoretische Grundlagen der Informatik Wintersemester 2012/13
Institut für Kryptographie und Sicherheit Prof. Dr. Jörn Müller-Quade Musterlösung der Hauptklausur zur Vorlesung Theoretische Grundlagen der Informatik Wintersemester 22/3 Vorname Nachname Matrikelnummer
MehrSicherer MAC für Nachrichten beliebiger Länge
Sicherer MAC für Nachrichten beliebiger Länge Korollar Sicherer MAC für Nachrichten beliebiger Länge Sei F eine Pseudozufallsfunktion. Dann ist Π MAC2 für Π = Π MAC sicher. Nachteile: Für m ({0, 1} n 4
MehrKryptograhie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik
Kryptograhie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik Übersicht Zwecke der Krytographie Techniken Symmetrische Verschlüsselung( One-time Pad,
Mehr8. Von den Grundbausteinen zu sicheren Systemen
Stefan Lucks 8. Grundb. sich. Syst. 211 orlesung Kryptographie (SS06) 8. Von den Grundbausteinen zu sicheren Systemen Vorlesung bisher: Bausteine für Kryptosysteme. Dieses Kapitel: Naiver Einsatz der Bausteine
MehrDigitale Signaturen. Kapitel 10 p. 178
Digitale Signaturen Realisierung der digitalen Signaturen ist eng verwandt mit der Public-Key-Verschlüsselung. Idee: Alice will Dokument m signieren. Sie berechnet mit dem privaten Schlüssel d die digitale
MehrMathematik und Logik
Mathematik und Logik 6. Übungsaufgaben 2006-01-24, Lösung 1. Berechnen Sie für das Konto 204938716 bei der Bank mit der Bankleitzahl 54000 den IBAN. Das Verfahren ist z.b. auf http:// de.wikipedia.org/wiki/international_bank_account_number
MehrEinführung in Computer Microsystems
Einführung in Computer Microsystems Kapitel 9 Entwurf eines eingebetteten Systems für Anwendungen in der IT-Sicherheit Prof. Dr.-Ing. Sorin A. Huss Fachbereich Informatik Integrierte Schaltungen und Systeme
MehrDie (Un-)Sicherheit von DES
Die (Un-)Sicherheit von DES Sicherheit von DES: Bester praktischer Angriff ist noch immer die Brute-Force Suche. Die folgende Tabelle gibt eine Übersicht über DES Kryptanalysen. Jahr Projekt Zeit 1997
MehrProseminar Datensicherheit & Versicherungsmathematik RSA-Verfahren
Proseminar Datensicherheit & Versicherungsmathematik RSA-Verfahren Herwig Stütz 2007-11-23 1 Inhaltsverzeichnis 1 Einführung 2 2 Das RSA-Verfahren 2 2.1 Schlüsselerzeugung.................................
Mehr3 Betriebsarten bei Blockverschlüsselung
3 Betriebsarten bei Blockverschlüsselung Die Anwendung einer Blockverschlüsselungsfunktion f : F n 2 Fn 2 auf längere (oder kürzere) Bitfolgen erfordert zwei Maßnahmen: 1 die Folge in n-bit-blöcke aufspalten,
Mehr$Id: ring.tex,v /05/03 15:13:26 hk Exp $
$Id: ring.tex,v 1.13 2012/05/03 15:13:26 hk Exp $ 3 Ringe 3.1 Der Ring Z m In der letzten Sitzung hatten wir die sogenannten Ringe eingeführt, dies waren Mengen A versehen mit einer Addition + und einer
MehrVortrag zum Proseminar: Kryptographie
Vortrag zum Proseminar: Kryptographie Thema: Oliver Czernik 6.12.2005 Historie Michael Rabin Professor für Computerwissenschaft Miller-Rabin-Primzahltest Januar 1979 April 1977: RSA Asymmetrisches Verschlüsselungssystem
MehrZwischenklausur zur Linearen Algebra I HS 2010, Universität Mannheim, Prof. Dr. C. Hertling, Ralf Kurbel
Zwischenklausur zur Linearen Algebra I HS 2010, 23.10.2010 Universität Mannheim, Prof. Dr. C. Hertling, Ralf Kurbel Name: Emil Mustermann Sitzplatznummer: 2 Die Bearbeitungszeit für diese Klausur beträgt
MehrEinführung in die Kryptographie
Johannes Buchmann Einführung in die Kryptographie Fünfte Auflage ~ Springer Inhaltsverzeichnis 1. Einleitung... 1 2. Ganze Zahlen............................................. 3 2.1 Grundlagen... 3 2.2
MehrNetzwerktechnologien 3 VO
Netzwerktechnologien 3 VO Univ.-Prof. Dr. Helmut Hlavacs helmut.hlavacs@univie.ac.at Dr. Ivan Gojmerac gojmerac@ftw.at Bachelorstudium Medieninformatik SS 2012 Kapitel 8 - Netzwerksicherheit 8.1 Was ist
MehrDiffie-Hellman, ElGamal und DSS. Vortrag von David Gümbel am 28.05.2002
Diffie-Hellman, ElGamal und DSS Vortrag von David Gümbel am 28.05.2002 Übersicht Prinzipielle Probleme der sicheren Nachrichtenübermittlung 'Diskreter Logarithmus'-Problem Diffie-Hellman ElGamal DSS /
MehrEinführung in die Kryptographie. 20.6.2011, www.privacyfoundation.ch
Einführung in die Kryptographie 20.6.2011, www.privacyfoundation.ch Kryptographie Name kryptós: verborgen, geheim gráphein: schreiben Verschlüsselung Text so umwandeln, dass man ihn nur noch entziffern/lesen
MehrKryptographie. ein erprobter Lehrgang. AG-Tagung Informatik, April 2011 Alfred Nussbaumer, LSR für NÖ. LSR für NÖ, 28. April 2011 Alfred Nussbaumer
Kryptographie ein erprobter Lehrgang AG-Tagung Informatik, April 2011 Alfred Nussbaumer, LSR für NÖ 1 Variante: Kryptographie in 5 Tagen Ein kleiner Ausflug in die Mathematik (Primzahlen, Restklassen,
MehrMitschrift Vorlesung Einführung in die Kryptographie vom 18. Januar 2011
Mitschrift Vorlesung Einführung in die Kryptographie vom 18. Januar 2011 Dominic Scheurer 6. Februar 2012 Inhaltsverzeichnis 30 Digitale Signaturen (cont'd) - One-Time-Signaturen (OTS) 1 31 Public-Key-Verschlüsselung
Mehrn ϕ n
1 3. Teiler und teilerfremde Zahlen Euler (1707-1783, Gymnasium und Universität in Basel, Professor für Physik und Mathematik in Petersburg und Berlin) war nicht nur einer der produktivsten Mathematiker
MehrVorlesung Datensicherheit. Sommersemester 2010
Vorlesung Datensicherheit Sommersemester 2010 Harald Baier Kapitel 3: Hashfunktionen und asymmetrische Verfahren Inhalt Hashfunktionen Asymmetrische kryptographische Verfahren Harald Baier Datensicherheit
Mehr4.4.1 Statisches perfektes Hashing. des Bildbereichs {0, 1,..., n 1} der Hashfunktionen und S U, S = m n, eine Menge von Schlüsseln.
4.4 Perfektes Hashing Das Ziel des perfekten Hashings ist es, für eine Schlüsselmenge eine Hashfunktion zu finden, so dass keine Kollisionen auftreten. Die Größe der Hashtabelle soll dabei natürlich möglichst
Mehr9.5 Blockverschlüsselung
9.5 Blockverschlüsselung Verschlüsselung im Rechner: Stromverschlüsselung (stream cipher): kleine Klartexteinheiten (Bytes, Bits) werden polyalphabetisch verschlüsselt Blockverschlüsselung (block cipher):
MehrKryptographische Verfahren auf Basis des Diskreten Logarithmus
Kryptographische Verfahren auf Basis des Diskreten Logarithmus -Vorlesung Public-Key-Kryptographie SS2010- Sascha Grau ITI, TU Ilmenau, Germany Seite 1 / 18 Unser Fahrplan heute 1 Der Diskrete Logarithmus
MehrAUFGABEN ZUR KRYPTOLOGIE
AUFGABEN ZUR KRYPTOLOGIE Aufgabe 1 Der folgende Geheimtext ging hervor aus der Verschlüsselung eines deutschen Klartexts mit einem monoalphabetischen Chiffrierungsverfahren. nyv syv svdvu yst vyuv sglmdv
MehrEffizienten MAC-Konstruktion aus der Praxis: NMAC Idee von NMAC:
Effizienten MAC-Konstruktion aus der Praxis: NMAC Idee von NMAC: Hashe m {0, 1} auf einen Hashwert in {0, 1} n. Verwende Π MAC3 für Nachrichten fixer Länge auf dem Hashwert. Wir konstruieren Π MAC3 mittels
MehrPublic-Key-Kryptosystem
Public-Key-Kryptosystem Zolbayasakh Tsoggerel 29. Dezember 2008 Inhaltsverzeichnis 1 Wiederholung einiger Begriffe 2 2 Einführung 2 3 Public-Key-Verfahren 3 4 Unterschiede zwischen symmetrischen und asymmetrischen
Mehr4: Algebraische Strukturen / Gruppen
Stefan Lucks Diskrete Strukturen (WS 2009/10) 120 4: Algebraische Strukturen / Gruppen Definition 46 Sei G eine nichtleere Menge. Eine Funktion : G G G bezeichnen wir als Verknüpfung auf G. Das Paar (G,
MehrVorlesung Diskrete Strukturen Gruppe und Ring
Vorlesung Diskrete Strukturen Gruppe und Ring Bernhard Ganter Institut für Algebra TU Dresden D-01062 Dresden bernhard.ganter@tu-dresden.de WS 2009/10 1 Bernhard Ganter, TU Dresden Modul Einführung in
MehrKryptologie. Bernd Borchert. Univ. Tübingen WS 15/16. Vorlesung. Teil 1a. Historische Verschlüsselungsverfahren
ryptologie Bernd Borchert Univ. Tübingen WS 15/16 Vorlesung Teil 1a Historische Verschlüsselungsverfahren ryptologie vom Umgang mit Geheimnissen Drei Zielrichtungen der ryptologie: Vertraulichkeit Verschlüsseln
MehrDigitale Unterschriften Grundlagen der digitalen Unterschriften Hash-Then-Sign Unterschriften Public-Key Infrastrukturen (PKI) Digitale Signaturen
Sommersemester 2008 Digitale Unterschriften Unterschrift von Hand : Physikalische Verbindung mit dem unterschriebenen Dokument (beides steht auf dem gleichen Blatt). Fälschen erfordert einiges Geschick
MehrDas RSA Kryptosystem
Kryptografie Grundlagen RSA Institut für Mathematik Technische Universität Berlin Kryptografie Grundlagen RSA mit geheimem mit öffentlichem Schlüssel Realisierung Kryptografie mit geheimem Schlüssel Alice
MehrKryptografische Protokolle
Kryptografische Protokolle Lerneinheit 6: Elektronisches Geld Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen Sommersemester 2016 14.6.2016 Anforderungen an elektronisches Geld Sicherheit:
Mehr8 Komplexitätstheorie und Kryptologie
8 Komplexitätstheorie und Kryptologie Verschlüsselung, Authentisierung,... müssen schnell berechenbar sein. Formal: polynomiell zeitbeschränkte Funktionen/Algorithmen Angreifer hat beschränkte Ressourcen.
MehrNetzsicherheit 9: Das Internet und Public-Key-Infrastrukturen
Netzsicherheit 9: Das Internet und Public-Key-Infrastrukturen Das TCP/IP-Schichtenmodell Session 2 / 1 Das TCP/IP-Schichtenmodell (2) Modem Payload Payload Payload Payload http http http http TCP TCP TCP
MehrBetriebsarten von Blockchiffren. ECB Electronic Code Book Mode. Padding. ECB Electronic Code Book Mode
Betriebsarten von Blockchiffren Blocklänge ist fest und klein. Wie große Mengen an Daten verschlüsseln? Blockchiffre geeignet verwenden: ECB Mode (Electronic Code Book) CBC Mode (Cipher Block Chaining)
MehrKryptographie und Komplexität
Kryptographie und Komplexität Einheit 4 Public Key Kryptographie mit RSA 1. Ver- und Entschlüsselung 2. Schlüsselerzeugung und Primzahltests 3. Angriffe auf das RSA Verfahren 4. Sicherheit von RSA Probleme
MehrTheoretische Informatik: Berechenbarkeit und Formale Sprachen
Prof. Dr. F. Otto 26.09.2011 Fachbereich Elektrotechnik/Informatik Universität Kassel Klausur zur Vorlesung Theoretische Informatik: Berechenbarkeit und Formale Sprachen SS 2011 Name:................................
MehrKryptographie und Komplexität
Kryptographie und Komplexität Einheit 6 Kryptographie und Sicherheit 1. Kryptographische Hashfunktionen 2. Passwörter und Identifikation 3. Digitale Signaturen 4. Secret Sharing 5. Anwendungen und Ausblick
MehrTechnikseminar SS2012
Technikseminar SS2012 ECC - Elliptic Curve Cryptography Kryptosysteme basierend auf elliptischen Kurven 11.06.2012 Gliederung Was ist ECC? ECC und andere Verfahren Diffie-Hellman-Schlüsselaustausch Funktionsweise
MehrHauptklausur zur Vorlesung Theoretische Grundlagen der Informatik Wintersemester 2011/2012
Institut für Theoretische Informatik Lehrstuhl Prof. Dr. D. Wagner Hauptklausur zur Vorlesung Theoretische Grundlagen der Informatik Wintersemester 2011/2012 Hier Aufkleber mit Name und Matrikelnr. anbringen
MehrSystemsicherheit 8: Das Internet und Public-Key-Infratrukturen
Systemsicherheit 8: Das Internet und Public-Key-Infratrukturen Das TCP/IP-Schichtenmodell Das TCP/IP-Schichtenmodell (2) Modem Payload Payload Payload Payload http http http http TCP TCP TCP IP IP IP PPP
MehrFH Schmalkalden Fachbereich Informatik. Kolloquium 21. März 2002
FH Schmalkalden Fachbereich Informatik http://www.informatik.fh-schmalkalden.de/ 1/17 Kolloquium 21. März 2002 Entwicklung eines JCA/JCE API konformen Kryptographischen Service Providers für HBCI unter
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 10.06.2013 1 / 26 Überblick 1 Schlüsselaustauschprotokolle Transport Layer Security (TLS) Weitere Schlüsselaustauschtypen Zusammenfassung 2 Identifikationsprotokolle
MehrKryptosystem von Paillier: Analyse und Verbesserungen
Kryptosystem von Paillier: Analyse und Verbesserungen Andreas Kumlehn 31. März 2006 Inhalt 1 Einleitung 3 2 Grundlagen 4 2.1 Laufzeiten........................................... 4 2.2 Sicherheit...........................................
MehrPseudozufallsgeneratoren
Pseudozufallsgeneratoren In welchen kryptographischen Verfahren werden keine Zufallszahlen benötigt? Wie generiert man Zufallszahlen in einer deterministischen Maschine wie dem Computer? Wenn man eine
MehrIch bedanke mich bei Florian Böhl, Benny Fuhry, Gunnar Hartung, Jan Holz, Björn Kaidel, Eike Kiltz, Evgheni Kirzner, Jessica Koch, Julia Rohlfing,
Digitale Signaturen Tibor Jager tibor.jager@rub.de Horst Görtz Institut für IT-Sicherheit Lehrstuhl für Netz- und Datensicherheit Ruhr-Universität Bochum Letzte Aktualisierung: 6. Oktober 2015 Ich bedanke
MehrKryptografische Protokolle
Kryptografische Protokolle Lerneinheit 5: Authentifizierung Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen Sommersemester 2015 19.6.2015 Einleitung Einleitung Diese Lerneinheit hat Protokolle
MehrVorkurs für. Studierende in Mathematik und Physik. Einführung in Kryptographie Kurzskript 2015
Vorkurs für Studierende in Mathematik und Physik Einführung in Kryptographie Kurzskript 2015 Felix Fontein Institut für Mathematik Universität Zürich Winterthurerstrasse 190 8057 Zürich 11. September 2015
MehrIT-Sicherheit Kapitel 3 Public Key Kryptographie
IT-Sicherheit Kapitel 3 Public Key Kryptographie Dr. Christian Rathgeb Sommersemester 2013 1 Einführung In der symmetrischen Kryptographie verwenden Sender und Empfänger den selben Schlüssel die Teilnehmer
Mehr6.3 Authentizität. Geheimhaltung: nur der Empfänger kann die Nachricht lesen. die Nachricht erreicht den Empfänger so, wie sie abgeschickt wurde
6.3 Authentizität Zur Erinnerung: Geheimhaltung: nur der Empfänger kann die Nachricht lesen Integrität: die Nachricht erreicht den Empfänger so, wie sie abgeschickt wurde Authentizität: es ist sichergestellt,
MehrÜber das Hüten von Geheimnissen
Über das Hüten von Geheimnissen Gabor Wiese Tag der Mathematik, 14. Juni 2008 Institut für Experimentelle Mathematik Universität Duisburg-Essen Über das Hüten von Geheimnissen p.1/14 Rechnen mit Rest Seien
Mehr