Asymmetrische Verschlüsselungsverfahren
|
|
- Jonas Böhm
- vor 6 Jahren
- Abrufe
Transkript
1 Asymmetrische Verschlüsselungsverfahren Vorlesung 4 Alexander Koch (Vertretung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 KIT Universität desalexander Landes Baden-Württemberg Koch Asymmetrische und Verschlüsselungsverfahren nationales Forschungszentrum in der Helmholtz-Gemeinschaft
2 Szenario mit symmetrischer Verschlüsselung Alice möchte Bob eine private Nachricht schicken Alice Bob Eve Alexander Koch Asymmetrische Verschlüsselungsverfahren
3 Szenario mit symmetrischer Verschlüsselung Alice möchte Bob eine private Nachricht schicken 1. gemeinsamen Schlüssel k austauschen Alice Bob Eve Alexander Koch Asymmetrische Verschlüsselungsverfahren
4 Szenario mit symmetrischer Verschlüsselung Alice möchte Bob eine private Nachricht schicken 2. Alice verschlüsselt m: c := Enc k (m) 1. gemeinsamen Schlüssel k austauschen Alice Bob Eve Alexander Koch Asymmetrische Verschlüsselungsverfahren
5 Szenario mit symmetrischer Verschlüsselung Alice möchte Bob eine private Nachricht schicken 2. Alice verschlüsselt m: c := Enc k (m) Alice 1. gemeinsamen Schlüssel k austauschen 3. Versenden von c über unsicheren Kanal Eve lauscht Bob Eve Alexander Koch Asymmetrische Verschlüsselungsverfahren
6 Szenario mit symmetrischer Verschlüsselung Alice möchte Bob eine private Nachricht schicken 1. gemeinsamen Schlüssel k austauschen 2. Alice verschlüsselt m: c := Enc k (m) Alice 3. Versenden von c über unsicheren Kanal Eve lauscht Bob 4. Bob entschlüsselt c: m := Dec k (c) Eve Eve kann aus c nichts lernen Alexander Koch Asymmetrische Verschlüsselungsverfahren
7 Szenario mit symmetrischer Verschlüsselung Alice möchte Bob eine private Nachricht schicken 1. gemeinsamen Schlüssel k austauschen 2. Alice verschlüsselt m: c := Enc k (m) Alice 3. Versenden von c über unsicheren Kanal Eve lauscht Bob 4. Bob entschlüsselt c: m := Dec k (c) Eve Eve kann aus c nichts lernen Frage: Geht das vollständig über unsicheren Kanal? Alexander Koch Asymmetrische Verschlüsselungsverfahren
8 Lernziele heute Ziel ist es, dass Sie nach dieser Lehrveranstaltung... 1 den konzeptionellen Unterschied zwischen symmetrischen und asymmetrischen Verschlüsselungsverfahren (PKE) verstehen und diese an Hand von Vor- und Nachteilen vergleichen können, 2 die formale Definition eines PKE kennen und damit umgehen können, 3 den gängigen Begriff von Sicherheit gegenüber (passiven) Lauschern verstehen und die Wahl dieses Begriffes motivieren können, 4 verstehen, wieso PKE nicht perfekt sicher sein können, 5 verstehen, wieso sichere PKE nicht deterministisch verschlüsseln, 6 Varianten des Sicherheitsbegriffs vergleichen können Alexander Koch Asymmetrische Verschlüsselungsverfahren
9 Lernziele heute Ziel ist es, dass Sie nach dieser Lehrveranstaltung... 1 den konzeptionellen Unterschied zwischen symmetrischen und asymmetrischen Verschlüsselungsverfahren (PKE) verstehen und diese an Hand von Vor- und Nachteilen vergleichen können, 2 die formale Definition eines PKE kennen und damit umgehen können, 3 den gängigen Begriff von Sicherheit gegenüber (passiven) Lauschern verstehen und die Wahl dieses Begriffes motivieren können, 4 verstehen, wieso PKE nicht perfekt sicher sein können, 5 verstehen, wieso sichere PKE nicht deterministisch verschlüsseln, 6 Varianten des Sicherheitsbegriffs vergleichen können Alexander Koch Asymmetrische Verschlüsselungsverfahren
10 Lernziele heute Ziel ist es, dass Sie nach dieser Lehrveranstaltung... 1 den konzeptionellen Unterschied zwischen symmetrischen und asymmetrischen Verschlüsselungsverfahren (PKE) verstehen und diese an Hand von Vor- und Nachteilen vergleichen können, 2 die formale Definition eines PKE kennen und damit umgehen können, 3 den gängigen Begriff von Sicherheit gegenüber (passiven) Lauschern verstehen und die Wahl dieses Begriffes motivieren können, 4 verstehen, wieso PKE nicht perfekt sicher sein können, 5 verstehen, wieso sichere PKE nicht deterministisch verschlüsseln, 6 Varianten des Sicherheitsbegriffs vergleichen können Alexander Koch Asymmetrische Verschlüsselungsverfahren
11 Lernziele heute Ziel ist es, dass Sie nach dieser Lehrveranstaltung... 1 den konzeptionellen Unterschied zwischen symmetrischen und asymmetrischen Verschlüsselungsverfahren (PKE) verstehen und diese an Hand von Vor- und Nachteilen vergleichen können, 2 die formale Definition eines PKE kennen und damit umgehen können, 3 den gängigen Begriff von Sicherheit gegenüber (passiven) Lauschern verstehen und die Wahl dieses Begriffes motivieren können, 4 verstehen, wieso PKE nicht perfekt sicher sein können, 5 verstehen, wieso sichere PKE nicht deterministisch verschlüsseln, 6 Varianten des Sicherheitsbegriffs vergleichen können Alexander Koch Asymmetrische Verschlüsselungsverfahren
12 Lernziele heute Ziel ist es, dass Sie nach dieser Lehrveranstaltung... 1 den konzeptionellen Unterschied zwischen symmetrischen und asymmetrischen Verschlüsselungsverfahren (PKE) verstehen und diese an Hand von Vor- und Nachteilen vergleichen können, 2 die formale Definition eines PKE kennen und damit umgehen können, 3 den gängigen Begriff von Sicherheit gegenüber (passiven) Lauschern verstehen und die Wahl dieses Begriffes motivieren können, 4 verstehen, wieso PKE nicht perfekt sicher sein können, 5 verstehen, wieso sichere PKE nicht deterministisch verschlüsseln, 6 Varianten des Sicherheitsbegriffs vergleichen können Alexander Koch Asymmetrische Verschlüsselungsverfahren
13 Lernziele heute Ziel ist es, dass Sie nach dieser Lehrveranstaltung... 1 den konzeptionellen Unterschied zwischen symmetrischen und asymmetrischen Verschlüsselungsverfahren (PKE) verstehen und diese an Hand von Vor- und Nachteilen vergleichen können, 2 die formale Definition eines PKE kennen und damit umgehen können, 3 den gängigen Begriff von Sicherheit gegenüber (passiven) Lauschern verstehen und die Wahl dieses Begriffes motivieren können, 4 verstehen, wieso PKE nicht perfekt sicher sein können, 5 verstehen, wieso sichere PKE nicht deterministisch verschlüsseln, 6 Varianten des Sicherheitsbegriffs vergleichen können Alexander Koch Asymmetrische Verschlüsselungsverfahren
14 Szenario mit PKE Alice möchte Bob eine private Nachricht schicken 1. Bob erzeugt Schlüsselpaar Alice Bob Eve Alexander Koch Asymmetrische Verschlüsselungsverfahren
15 Szenario mit PKE Alice möchte Bob eine private Nachricht schicken 2. Bob veröffentlicht 1. Bob erzeugt Schlüsselpaar Alice Bob Eve Alexander Koch Asymmetrische Verschlüsselungsverfahren
16 Szenario mit PKE Alice möchte Bob eine private Nachricht schicken 3. Alice verschlüsselt m: c Enc (m) Alice 2. Bob veröffentlicht Bob 1. Bob erzeugt Schlüsselpaar Eve Alexander Koch Asymmetrische Verschlüsselungsverfahren
17 Szenario mit PKE Alice möchte Bob eine private Nachricht schicken 2. Bob veröffentlicht 3. Alice verschlüsselt m: c Enc (m) 4. Versenden von c über unsicheren Kanal 1. Bob erzeugt Schlüsselpaar Alice Eve lauscht Bob Eve Alexander Koch Asymmetrische Verschlüsselungsverfahren
18 Szenario mit PKE Alice möchte Bob eine private Nachricht schicken 2. Bob veröffentlicht 3. Alice verschlüsselt m: c Enc (m) 4. Versenden von c über unsicheren Kanal 1. Bob erzeugt Schlüsselpaar 5. Bob entschlüsselt c: m := Dec (c) Alice Eve lauscht Bob Eve Eve kann aus, c nichts lernen Alexander Koch Asymmetrische Verschlüsselungsverfahren
19 Szenario mit PKE Alice möchte Bob eine private Nachricht schicken 2. Bob veröffentlicht 3. Alice verschlüsselt m: c Enc (m) 4. Versenden von c über unsicheren Kanal 1. Bob erzeugt Schlüsselpaar 5. Bob entschlüsselt c: m := Dec (c) Alice Eve lauscht Bob Eve Eve kann aus, c nichts lernen Frage: Welcher Schlüssel wird wo verwendet? Alexander Koch Asymmetrische Verschlüsselungsverfahren
20 Szenario mit PKE Alice möchte Bob eine private Nachricht schicken 3. Alice verschlüsselt m: c Enc pk (m) Alice 2. Bob veröffentlicht pk 4. Versenden von c über unsicheren Kanal Eve lauscht Bob 1. Bob erzeugt Schlüsselpaar 5. Bob entschlüsselt c: m := Dec sk (c) Eve Frage: Welcher Schlüssel wird wo verwendet? Eve kann aus pk, c nichts lernen Alexander Koch Asymmetrische Verschlüsselungsverfahren
21 Szenario mit PKE Alice möchte Bob eine private Nachricht schicken Alexander Koch Asymmetrische Verschlüsselungsverfahren
22 Szenario mit PKE Alice möchte Bob eine private Nachricht schicken 3. Alice verschlüsselt m: c Enc pk (m) Alice 2. Bob veröffentlicht pk 4. Versenden von c über unsicheren Kanal Eve lauscht Bob 1. Bob erzeugt Schlüsselpaar 5. Bob entschlüsselt c: m := Dec sk (c) Eve Eve kann aus pk, c nichts lernen Beachte: Für jeden Empfänger benötigen wir ein Schlüsselpaar. Symmetrisch: Je zwei Personen benötigen einen gem. Schlüssel Alexander Koch Asymmetrische Verschlüsselungsverfahren
23 Syntax eines PKE-Schemas Ein PKE-Schema besteht aus drei PPT 1 -Algorithmen: Schlüssel erzeugen. Gen(1 n ) erhält Sicherheitsparameter 1 n und gibt Schlüsselpaar (pk, sk) aus. Verschlüsseln. Enc pk (m) erhält öffentlichen Schlüssel pk und Nachricht m und gibt ein Chiffrat aus. Entschlüsseln. Dec sk (c) erhält geheimen Schlüssel sk und Chiffrat c und gibt die entschlüsselte Nachricht aus, oder falls nicht entschlüsselt werden konnte. 1 probabilistisch und polynomialzeitbeschränkt ˆ= effizient Alexander Koch Asymmetrische Verschlüsselungsverfahren
24 Korrektheit Das PKE-Schema entschlüsselt regulär erstellte Chiffrate korrekt, d.h. für alle (sk, pk) im Bild von Gen gilt Dec sk (Enc pk (m)) = m. Allgemeiner: Pr[Dec sk (Enc pk (m)) = m] ist vernachlässigbar (mit Wahrscheinlichkeit über Zufall von Gen und Enc). Wiederholung vernachlässigbar Eine Funktion f ist vernachlässigbar, wenn es für jedes Polynom p( ) ein N gibt, sodass für alle n > N gilt: f (n) < 1 p(n). f fällt asymptotisch schneller als der Kehrwert jedes Polynoms. Nett: f vernachlässigbar, p Polynom = f p vernachlässigbar Alexander Koch Asymmetrische Verschlüsselungsverfahren
25 Korrektheit Das PKE-Schema entschlüsselt regulär erstellte Chiffrate korrekt, d.h. für alle (sk, pk) im Bild von Gen gilt Dec sk (Enc pk (m)) = m. Allgemeiner: Pr[Dec sk (Enc pk (m)) = m] ist vernachlässigbar (mit Wahrscheinlichkeit über Zufall von Gen und Enc). Wiederholung vernachlässigbar Eine Funktion f ist vernachlässigbar, wenn es für jedes Polynom p( ) ein N gibt, sodass für alle n > N gilt: f (n) < 1 p(n). f fällt asymptotisch schneller als der Kehrwert jedes Polynoms. Nett: f vernachlässigbar, p Polynom = f p vernachlässigbar Alexander Koch Asymmetrische Verschlüsselungsverfahren
26 Korrektheit Das PKE-Schema entschlüsselt regulär erstellte Chiffrate korrekt, d.h. für alle (sk, pk) im Bild von Gen gilt Dec sk (Enc pk (m)) = m. Allgemeiner: Pr[Dec sk (Enc pk (m)) = m] ist vernachlässigbar (mit Wahrscheinlichkeit über Zufall von Gen und Enc). Wiederholung vernachlässigbar Eine Funktion f ist vernachlässigbar, wenn es für jedes Polynom p( ) ein N gibt, sodass für alle n > N gilt: f (n) < 1 p(n). f fällt asymptotisch schneller als der Kehrwert jedes Polynoms. Nett: f vernachlässigbar, p Polynom = f p vernachlässigbar Alexander Koch Asymmetrische Verschlüsselungsverfahren
27 Sicherheit gegen passive Lauscher Das IND-CPA-Sicherheitsspiel Herausforderer Angreifer pk Mit dem pk kann ich mir jetzt beliebige Chiffrate selbst erzeugen ich brauche also ein mögliches Verschlüsselungsorakel gar nicht... Angreifer gewinnt, wenn er errät, welche Nachricht in einem Chiffrat einer von zwei selbstgewählten Nachrichten steckt Alexander Koch Asymmetrische Verschlüsselungsverfahren
28 Sicherheit gegen passive Lauscher Das IND-CPA-Sicherheitsspiel Herausforderer Angreifer pk Welche beiden Nachrichten m 0, m 1 machen mir das Gewinnen am leichtesten? Angreifer gewinnt, wenn er errät, welche Nachricht in einem Chiffrat einer von zwei selbstgewählten Nachrichten steckt Alexander Koch Asymmetrische Verschlüsselungsverfahren
29 Sicherheit gegen passive Lauscher Das IND-CPA-Sicherheitsspiel Herausforderer Angreifer pk m 0, m 1, mit m 0 = m 1, m 0 = m 1 Welche beiden Nachrichten m 0, m 1 machen mir das Gewinnen am leichtesten? Angreifer gewinnt, wenn er errät, welche Nachricht in einem Chiffrat einer von zwei selbstgewählten Nachrichten steckt Alexander Koch Asymmetrische Verschlüsselungsverfahren
30 Sicherheit gegen passive Lauscher Das IND-CPA-Sicherheitsspiel Herausforderer Angreifer pk b {0, 1} c Enc pk (m b ) m 0, m 1, mit m 0 = m 1, m 0 = m 1 Angreifer gewinnt, wenn er errät, welche Nachricht in einem Chiffrat einer von zwei selbstgewählten Nachrichten steckt Alexander Koch Asymmetrische Verschlüsselungsverfahren
31 Sicherheit gegen passive Lauscher Das IND-CPA-Sicherheitsspiel Herausforderer Angreifer pk b {0, 1} c Enc pk (m b ) m 0, m 1, mit m 0 = m 1, m 0 = m 1 c Welche der beiden Nachrichten steckt wohl in c? Angreifer gewinnt, wenn er errät, welche Nachricht in einem Chiffrat einer von zwei selbstgewählten Nachrichten steckt Alexander Koch Asymmetrische Verschlüsselungsverfahren
32 Sicherheit gegen passive Lauscher Das IND-CPA-Sicherheitsspiel Herausforderer Angreifer pk b {0, 1} c Enc pk (m b ) m 0, m 1, mit m 0 = m 1, m 0 = m 1 c Welche der beiden Nachrichten steckt wohl in c? Ich vermute Nachricht m b... b Angreifer gewinnt, wenn er errät, welche Nachricht in einem Chiffrat einer von zwei selbstgewählten Nachrichten steckt Alexander Koch Asymmetrische Verschlüsselungsverfahren
33 Sicherheit gegen passive Lauscher Das IND-CPA-Sicherheitsspiel Herausforderer Angreifer pk b {0, 1} c Enc pk (m b ) m 0, m 1, mit m 0 = m 1, m 0 = m 1 c b b = b? Angreifer gewinnt, wenn er errät, welche Nachricht in einem Chiffrat einer von zwei selbstgewählten Nachrichten steckt. Also, wenn b = b Alexander Koch Asymmetrische Verschlüsselungsverfahren
34 Sicherheit gegen passive Lauscher Indistinguishability under Chosen-Plaintext Attacks Ein PKE-Schema ist sicher gegen Lauscher, bzw. IND-CPA-sicher, wenn für jeden effizienten Angreifer A der Gewinnvorteil gegenüber Raten (mit Fifty-fifty-Chance ) vernachlässigbar im Sicherheitsparameter n ist, d.h. Pr[A gewinnt] 1 2 f (n), für eine vernachlässigbare Funktion f Alexander Koch Asymmetrische Verschlüsselungsverfahren
35 Es gibt keine perfekte Sicherheit Im Gegensatz zur symmetrischen Verschlüsselung kann hier ein unbeschränkter Angreifer das System immer brechen. Wie? Alexander Koch Asymmetrische Verschlüsselungsverfahren
36 Es gibt keine perfekte Sicherheit Angriff durch unbeschränkten Angreifer Herausforderer Angreifer pk Alexander Koch Asymmetrische Verschlüsselungsverfahren
37 Es gibt keine perfekte Sicherheit Angriff durch unbeschränkten Angreifer Herausforderer Angreifer pk m 0, m 1, mit m 0 = m 1, m 0 = m 1 ruft Gen(1 n ) auf, bis (pk, sk) ausgegeben wird, wählt m 0, m 1 beliebig Alexander Koch Asymmetrische Verschlüsselungsverfahren
38 Es gibt keine perfekte Sicherheit Angriff durch unbeschränkten Angreifer Herausforderer Angreifer b {0, 1} c Enc pk (m b ) pk m 0, m 1, mit m 0 = m 1, m 0 = m 1 c ruft Gen(1 n ) auf, bis (pk, sk) ausgegeben wird, wählt m 0, m 1 beliebig Alexander Koch Asymmetrische Verschlüsselungsverfahren
39 Es gibt keine perfekte Sicherheit Angriff durch unbeschränkten Angreifer Herausforderer Angreifer b {0, 1} c Enc pk (m b ) pk m 0, m 1, mit m 0 = m 1, m 0 = m 1 c b ruft Gen(1 n ) auf, bis (pk, sk) ausgegeben wird, wählt m 0, m 1 beliebig m := Dec sk (c ), Ist m = m 0? ja: b := 0, nein: b := 1 b = b? Alexander Koch Asymmetrische Verschlüsselungsverfahren
40 Es gibt keine perfekte Sicherheit Angriff durch unbeschränkten Angreifer Herausforderer Angreifer b {0, 1} c Enc pk (m b ) pk m 0, m 1, mit m 0 = m 1, m 0 = m 1 c b ruft Gen(1 n ) auf, bis (pk, sk) ausgegeben wird, wählt m 0, m 1 beliebig m := Dec sk (c ), Ist m = m 0? ja: b := 0, nein: b := 1 b = b? Angreifer gewinnt immer, aber läuft vermutlich sehr lange Alexander Koch Asymmetrische Verschlüsselungsverfahren
41 Deterministische PKE sind unsicher Wenn der Enc-Algorithmus deterministisch ist, ist das Verfahren unsicher. Wieso? Alexander Koch Asymmetrische Verschlüsselungsverfahren
42 Deterministische PKE sind unsicher Herausforderer Angreifer pk Idee: Angreifer verschlüsselt einfach selbst die Nachrichten und vergleicht mit c Alexander Koch Asymmetrische Verschlüsselungsverfahren
43 Deterministische PKE sind unsicher Herausforderer Angreifer b {0, 1} c := Enc pk (m b ) pk m 0, m 1, mit m 0 = m 1, m 0 = m 1 c wählt m 0, m 1 beliebig Idee: Angreifer verschlüsselt einfach selbst die Nachrichten und vergleicht mit c Alexander Koch Asymmetrische Verschlüsselungsverfahren
44 Deterministische PKE sind unsicher Herausforderer Angreifer b {0, 1} c := Enc pk (m b ) pk m 0, m 1, mit m 0 = m 1, m 0 = m 1 c b wählt m 0, m 1 beliebig Ist c = Enc pk (m 0 )? ja: b := 0, nein: b := 1 b = b? Idee: Angreifer verschlüsselt einfach selbst die Nachrichten und vergleicht mit c Alexander Koch Asymmetrische Verschlüsselungsverfahren
45 Deterministische PKE sind unsicher Herausforderer Angreifer b {0, 1} c := Enc pk (m b ) pk m 0, m 1, mit m 0 = m 1, m 0 = m 1 c b wählt m 0, m 1 beliebig Ist c = Enc pk (m 0 )? ja: b := 0, nein: b := 1 b = b? Insbesondere: Das Lehrbuch-RSA-Schema ist nicht sicher! Alexander Koch Asymmetrische Verschlüsselungsverfahren
46 Sicherheit bei mehreren Chiffraten Was ist, wenn mehr als eine Nachricht verschlüsselt wird? Herausforderer Angreifer pk (m 1 0,..., mt 0 ), (m1 1,..., mt 1 ) Alexander Koch Asymmetrische Verschlüsselungsverfahren
47 Sicherheit bei mehreren Chiffraten Was ist, wenn mehr als eine Nachricht verschlüsselt wird? Herausforderer Angreifer pk b {0, 1} i : c i Enc pk (m i b ) (m 1 0,..., mt 0 ), (m1 1,..., mt 1 ) Alexander Koch Asymmetrische Verschlüsselungsverfahren
48 Sicherheit bei mehreren Chiffraten Was ist, wenn mehr als eine Nachricht verschlüsselt wird? Herausforderer Angreifer pk b {0, 1} i : c i Enc pk (m i b ) (m 1 0,..., mt 0 ), (m1 1,..., mt 1 ) C = (c 1,..., c t ) Alexander Koch Asymmetrische Verschlüsselungsverfahren
49 Sicherheit bei mehreren Chiffraten Was ist, wenn mehr als eine Nachricht verschlüsselt wird? Herausforderer Angreifer pk b {0, 1} i : c i Enc pk (m i b ) (m 1 0,..., mt 0 ), (m1 1,..., mt 1 ) C = (c 1,..., c t ) b b = b? Alexander Koch Asymmetrische Verschlüsselungsverfahren
50 Sicherheit bei mehreren Chiffraten Was ist, wenn mehr als eine Nachricht verschlüsselt wird? Herausforderer Angreifer pk b {0, 1} i : c i Enc pk (m i b ) (m 1 0,..., mt 0 ), (m1 1,..., mt 1 ) C = (c 1,..., c t ) b b = b? IND-CPA-sicher für mehrere Chiffrate: Für jeden effizienten Angreifer A ist Pr[A gewinnt] 2 1 vernachlässigbar in n Alexander Koch Asymmetrische Verschlüsselungsverfahren
51 Sicherheit für mehrere Chiffrate nicht stärker Proposition Ein IND-CPA-sicheres PKE-Schema ist auch IND-CPA-sicher für mehrere Chiffrate. Beweis. Per Reduktion: Aus einem beliebigen PPT-Angreifer A auf das IND-CPA-Sicherheitsexperiment für mehrere Chiffrate konstruieren wir einen PPT-Angreifer B auf die IND-CPA-Sicherheit (für einzelne Chiffrate). Reduktion auf nächster Folie und Tafel, bzw. Katz Lindell, Alexander Koch Asymmetrische Verschlüsselungsverfahren
52 Reduktion mit Hybridargument Herausforderer B pk pk A m i 0, mi 1, mit i {1,..., t} (m1 0,..., mt 0 ), (m1 1,..., mt 1 ) Alexander Koch Asymmetrische Verschlüsselungsverfahren
53 Reduktion mit Hybridargument Herausforderer B pk pk A b {0, 1} c i Enc pk (m i b ) m i 0, mi 1, mit i {1,..., t} (m1 0,..., mt 0 ), (m1 1,..., mt 1 ) Alexander Koch Asymmetrische Verschlüsselungsverfahren
54 Reduktion mit Hybridargument Herausforderer B pk pk A b {0, 1} c i Enc pk (m i b ) m i 0, mi 1, mit i {1,..., t} (m1 0,..., mt 0 ), (m1 1,..., mt 1 ) c i Alexander Koch Asymmetrische Verschlüsselungsverfahren
55 Reduktion mit Hybridargument Herausforderer B pk pk A b {0, 1} c i Enc pk (m i b ) m i 0, mi 1, mit i {1,..., t} (m1 0,..., mt 0 ), (m1 1,..., mt 1 ) c i Erzeuge fehlende c j 2(c 1,..., c t ) 2 für j < i, berechne c j Enc pk (m j 0 ); für j > i berechne c j Enc pk (m j 1 ) Alexander Koch Asymmetrische Verschlüsselungsverfahren
56 Reduktion mit Hybridargument Herausforderer B pk pk A b {0, 1} c i Enc pk (m i b ) m i 0, mi 1, mit i {1,..., t} (m1 0,..., mt 0 ), (m1 1,..., mt 1 ) c i Erzeuge fehlende c j 2(c 1,..., c t ) b b b = b? 2 für j < i, berechne c j Enc pk (m j 0 ); für j > i berechne c j Enc pk (m j 1 ) Alexander Koch Asymmetrische Verschlüsselungsverfahren
57 Bitverschlüsselung reicht aus Gegeben ein PKE-Schema Π = (Gen, Enc, Dec), dass Bits IND-CPA-sicher verschlüsselt, können wir daraus ein PKE-Schema Π = (Gen, Enc, Dec ) konstruieren, dass beliebige Nachrichten aus {0, 1} IND-CPA-sicher verschlüsseln kann: Enc pk (m) = Enc pk (m 1 ),..., Enc pk (m t ) Alexander Koch Asymmetrische Verschlüsselungsverfahren
58 Zusammenfassung 1 PKE-Schema: PPT-Algorithmen (Gen(1 n ), Enc pk (m), Dec sk (c)) 2 IND-CPA-Sicherheit: Kein effizienter Angreifer kann mit mehr als vernachlässigbarer Wahrscheinlichkeit Chiffrate zweier selbstgewählter, gleichlanger Nachrichten unterscheiden 3 Bei unbeschränktem Angreifer unsicher 4 Verschlüsseln zwingend probabilistisch 5 Sicherheit automatisch für viele Chiffrate Alexander Koch Asymmetrische Verschlüsselungsverfahren Quelle Bilder: XKCD
59 Zusammenfassung 1 PKE-Schema: PPT-Algorithmen (Gen(1 n ), Enc pk (m), Dec sk (c)) 2 IND-CPA-Sicherheit: Kein effizienter Angreifer kann mit mehr als vernachlässigbarer Wahrscheinlichkeit Chiffrate zweier selbstgewählter, gleichlanger Nachrichten unterscheiden 3 Bei unbeschränktem Angreifer unsicher 4 Verschlüsseln zwingend probabilistisch 5 Sicherheit automatisch für viele Chiffrate Vielen Dank für Ihre Aufmerksamkeit. Quelle: Katz Lindell exkl Alexander Koch Asymmetrische Verschlüsselungsverfahren Quelle Bilder: XKCD
Asymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Vorlesung 4 Alexander Koch (Vertretung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-11-10 Alexander Koch Asymmetrische Verschlüsselungsverfahren
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Björn Kaidel - Vertretung für Prof. J. Müller-Quade (Folien von A. Koch) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 17.11.2016 Björn Kaidel
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 15.05.2017 1 / 25 Überblick 1 Hashfunktionen Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel: RSA
MehrSocrative-Fragen aus der Übung vom
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Übungsleiter: Björn Kaidel, Alexander Koch Stammvorlesung Sicherheit im Sommersemester 2016 Socrative-Fragen aus der Übung vom 28.04.2016
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 12.05.2014 1 / 26 Überblick 1 Hashfunktionen Erinnerung Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel:
MehrHybride Verschlüsselungsverfahren
Hybride Verschlüsselungsverfahren Ziel: Flexibilität von asym. Verfahren und Effizienz von sym. Verfahren. Szenario: Sei Π = (Gen, Enc, Dec) ein PK-Verschlüsselungsverfahren und Π = (Gen, Enc, Dec ) ein
MehrUnunterscheidbarkeit von Chiffretexten
Ununterscheidbarkeit von Chiffretexten Spiel Ununterscheidbarkeit von Chiffretexten PrivK eav A,Π (n) Sei Π ein Verschlüsselungsverfahren und A ein Angreifer. 1 (m 0, m 1 ) A. 2 k Gen(1 n ). 3 Wähle b
MehrVorlesung Sicherheit
Vorlesung Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 23.05.2016 1 / 32 Überblick 1 Symmetrische Authentifikation von Nachrichten Ziel Konstruktionen MACs
MehrCPA-Sicherheit ist ungenügend
CPA-Sicherheit ist ungenügend Definition CCA CCA (=Chosen Ciphertext Attack) ist ein Angriff, bei dem der Angreifer sich Chiffretext seiner Wahl entschlüsseln lassen kann. Beispiele in denen CPA nicht
MehrKryptographie I Symmetrische Kryptographie
Kryptographie I Symmetrische Kryptographie Eike Kiltz 1 Fakultät für Mathematik Ruhr-Universität Bochum Wintersemester 2011/12 1 Basierend auf Folien von Alexander May. Krypto I - Vorlesung 01-10.10.2011
MehrInstitut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Klausur Hinweise
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Klausur 21.07.2015 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen
MehrDigitale Signaturen. Einführung Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Einführung Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-10-21 G. Hartung, B. Kaidel Digitale Signaturen: Einführung KIT Die Forschungsuniversität
MehrSicherheit von ElGamal
Sicherheit von ElGamal Satz CPA-Sicherheit ElGamal ElGamal Π ist CPA-sicher unter der DDH-Annahme. Beweis: Sei A ein Angreifer auf ElGamal Π mit Erfolgsws ɛ(n) := Ws[PubK cpa A,Π (n) = 1]. Wir konstruieren
MehrKryptographie I Symmetrische Kryptographie
Kryptographie I Symmetrische Kryptographie Alexander May Fakultät für Mathematik Ruhr-Universität Bochum Wintersemester 2012/13 Krypto I - Vorlesung 01-08.10.2012 Verschlüsselung, Kerckhoffs, Angreifer,
MehrPrinzipien der modernen Kryptographie Sicherheit
Prinzipien der modernen Kryptographie Sicherheit Prinzip 1 Sicherheitsziel Die Sicherheitsziele müssen präzise definiert werden. Beispiele für ungenügende Definitionen von Sicherheit Kein Angreifer kann
MehrKryptographie I Symmetrische Kryptographie
Kryptographie I Symmetrische Kryptographie Alexander May Fakultät für Mathematik Ruhr-Universität Bochum Wintersemester 2009/10 Krypto I - Vorlesung 01-12.10.2009 Verschlüsselung, Kerckhoffs, Angreifer,
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 06.05.2013 1 / 25 Überblick 1 Hashfunktionen Erinnerung Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel:
MehrDigitale Signaturen. Einführung Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Einführung Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-10-20 B. Kaidel Digitale Signaturen: Einführung KIT Die Forschungsuniversität in der Helmholtz-Gemeinschaft
MehrSicherheit von hybrider Verschlüsselung
Sicherheit von hybrider Verschlüsselung Satz Sicherheit hybrider Verschlüsselung Sei Π ein CPA-sicheres PK-Verschlüsselungsverfahren und Π ein KPA-sicheres SK-Verschlüsselungsverfahren. Dann ist das hybride
MehrPrinzipien der modernen Kryptographie Sicherheit
Prinzipien der modernen Kryptographie Sicherheit Prinzip 1 Sicherheitsmodell Das Sicherheitsmodell (Berechnungsmodell, Angriffstypen, Sicherheitsziele) muss präzise definiert werden. Berechnungsmodell:
MehrInstitut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Klausur Hinweise
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Klausur 22.07.2014 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen
MehrStromchiffre. Algorithmus Stromchiffre
Stromchiffre Algorithmus Stromchiffre Sei G ein Pseudozufallsgenerator mit Expansionsfaktor l(n). Wir definieren Π s = (Gen, Enc, Dec) mit Sicherheitsparameter n für Nachrichten der Länge l(n). 1 Gen:
MehrÜbung zur Vorlesung. Sicherheit Übungsblatt 5 Björn Kaidel
Übung zur Vorlesung Sicherheit 30.06.2016 Übungsblatt 5 Björn Kaidel bjoern.kaidel@kit.edu https://b.socrative.com/login/student/ Room: SICHERHEIT Bitte gleich einloggen! 1 / 55 Evaluation (siehe Evaluations-PDF)
MehrDigitale Signaturen. Sicherheitsdefinitionen Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Sicherheitsdefinitionen Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-10-27 B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen KIT Die Forschungsuniversität
MehrKryptographie I Symmetrische Kryptographie
Kryptographie I Symmetrische Kryptographie Eike Kiltz 1 Fakultät für Mathematik Ruhr-Universität Bochum Wintersemester 2014/15 1 Basierend auf Folien von Alexander May. Krypto - Vorlesung 01-6.10.2014
MehrStromchiffre. Algorithmus Stromchiffre
Stromchiffre Algorithmus Stromchiffre Sei G ein Pseudozufallsgenerator mit Expansionsfaktor l(n). Wir definieren Π s = (Gen, Enc, Dec) mit Sicherheitsparameter n für Nachrichten der Länge l(n). 1 Gen:
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 08.05.2017 1 / 32 Überblick 1 Blockchiffren Erinnerung Varianten von DES Beispiel: AES Angriffe auf Blockchiffren 2 Formalisierung von Sicherheit (symmetrischer
MehrDigitale Signaturen. Einmalsignaturen Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Einmalsignaturen Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-11-04 B. Kaidel Digitale Signaturen: Einmalsignaturen KIT Die Forschungsuniversität
MehrDigitale Signaturen. GHR-und Chamäleon-Signaturen Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen GHR-und Chamäleon-Signaturen Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-01-12 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen KIT
MehrInstitut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Nachklausur
Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz IKS Institut für Kryptographie und Sicherheit Stammvorlesung Sicherheit im Sommersemester 2013 Nachklausur 07.10.2013 Vorname: Nachname:
MehrKryptographie I Symmetrische Kryptographie
Kryptographie I Symmetrische Kryptographie Alexander May Fakultät für Mathematik Ruhr-Universität Bochum Wintersemester 2010/11 Krypto I - Vorlesung 01-11.10.2010 Verschlüsselung, Kerckhoffs, Angreifer,
MehrHomomorphe Verschlüsselung
Homomorphe Verschlüsselung Definition Homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : G G für Gruppen G, G. Π heißt homomorph, falls Enc(m 1 ) G Enc(m 2 ) eine gültige Verschlüsselung
MehrElGamal Verschlüsselungsverfahren (1984)
ElGamal Verschlüsselungsverfahren (1984) Definition ElGamal Verschlüsselungsverfahren Sei n ein Sicherheitsparameter. 1 Gen : (q, g) G(1 n ), wobei g eine Gruppe G der Ordnung q generiert. Wähle x R Z
MehrDefinition Message Authentication Code (MAC) Ein Message Authentication Code (MAC) bzgl. des Nachrichtenraumen M besteht aus den ppt Alg.
Message Authentication Code (MAC) Szenario: Integrität und Authentizität mittels MACs. Alice und Bob besitzen gemeinsamen Schlüssel k. Alice berechnet für m einen MAC-Tag t als Funktion von m und k. Alice
MehrHardcore-Prädikat. Definition Hardcore-Prädikat. Ziel: Destilliere Komplexität des Invertierens auf ein Bit.
Hardcore-Prädikat Ziel: Destilliere Komplexität des Invertierens auf ein Bit. Definition Hardcore-Prädikat Sei Π f eine Einwegfunktion. Sei hc ein deterministischer pt Alg mit Ausgabe eines Bits hc(x)
MehrKryptographie. Nachricht
Kryptographie Kryptographie Sender Nachricht Angreifer Empfänger Ziele: Vertraulichkeit Angreifer kann die Nachricht nicht lesen (Flüstern). Integrität Angreifer kann die Nachricht nicht ändern ohne dass
MehrWS 2009/10. Diskrete Strukturen
WS 2009/10 Diskrete Strukturen Prof. Dr. J. Esparza Lehrstuhl für Grundlagen der Softwarezuverlässigkeit und theoretische Informatik Fakultät für Informatik Technische Universität München http://www7.in.tum.de/um/courses/ds/ws0910
MehrVorlesung Digitale Signaturen im Wintersemester 2017/-18. Socrative-Fragen aus der Vorlesung vom
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Dozenten: Björn Kaidel Vorlesung Digitale Signaturen im Wintersemester 2017/-18 Socrative-Fragen aus der Vorlesung vom 17.11.2017 1 Quiz 1:
MehrÜbung GSS Blatt 6. SVS Sicherheit in Verteilten Systemen
Übung GSS Blatt 6 SVS Sicherheit in Verteilten Systemen 1 Einladung zum SVS-Sommerfest SVS-Sommerfest am 12.07.16 ab 17 Uhr Ihr seid eingeladen! :-) Es gibt Thüringer Bratwürste im Brötchen oder Grillkäse
MehrAufgabe der Kryptografie
Aufgabe der Kryptografie Eve möchte die Unterhaltung mithören und/oder ausgetauschte Informationen ändern. Alice & Bob kommunzieren über einen unsicheren Kanal. Alice & Bob nutzen Verschlüsselung und digitale
MehrBlinde Signaturen, geheime Abstimmungen und digitale Münzen
Blinde Signaturen, geheime Abstimmungen und digitale Münzen Claus Diem Im Wintersemester 2017 / 18 Crypto 1982 Geheime Abstimmungen Eine geheime Abstimmung Problem. Eine Gruppe von Personen will per Brief
MehrDigitale Signaturen. RSA-FDH & das Random Oracle Model Björn Kaidel (mit Folien von Gunnar Hartung)
Digitale Signaturen RSA-FDH & das Random Oracle Model Björn Kaidel (mit Folien von Gunnar Hartung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-12-01 B. Kaidel Digitale Signaturen:
MehrDigitale Signaturen. seuf-cma & Pairings Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen seuf-cma & Pairings Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-01-20 B. Kaidel Digitale Signaturen: seuf-cma & Pairings KIT Die
MehrExistenz von Einwegfunktionen
Existenz von Einwegfunktionen Satz Einweg-Eigenschaft von f FO Unter der Faktorisierungsannahme ist f FO eine Einwegfunktion. Beweis: f FO ist mittels FACTOR-ONEWAY effizient berechenbar. z.z.: Invertierer
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 02.06.2014 1 / 34 Überblick 1 Einschub: Seitenkanalangriffe Demonstration Simple Power Attacks (SPAs) (Weitere) Beispiele für Seitenkanäle Gegenmaßnahmen gegen
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 23.05.2013 1 / 26 Überblick 1 Einschub: Seitenkanalangriffe Demonstration Simple Power Attacks (SPAs) (Weitere) Beispiele für Seitenkanäle Gegenmaßnahmen gegen
MehrVoll homomorpe Verschlüsselung
Voll homomorpe Verschlüsselung Definition Voll homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : R R für Ringe R, R. Π heißt voll homomorph, falls 1 Enc(m 1 ) + Enc(m 2 ) eine gültige
MehrÜbung zur Vorlesung Sicherheit Übungsblatt 3. Björn Kaidel 1 / 52
Übung zur Vorlesung Sicherheit 21.05.2014 Übungsblatt 3 Björn Kaidel bjoern.kaidel@kit.edu 1 / 52 Kummerkasten Bitte helleren Laserpointer verwenden. Sind die Skriptlinks vertauscht? Nein! Wegen allgemeiner
MehrKryptologie. Bernd Borchert. Univ. Tübingen SS Vorlesung. Teil 10. Signaturen, Diffie-Hellman
Kryptologie Bernd Borchert Univ. Tübingen SS 2017 Vorlesung Teil 10 Signaturen, Diffie-Hellman Signatur Signatur s(m) einer Nachricht m Alice m, s(m) Bob K priv K pub K pub Signatur Signatur (Thema Integrity
MehrVorlesung Sicherheit
Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 20.04.2014 1 / 28 Überblick 1 Blockchiffren Erinnerung Angriffe auf Blockchiffren 2 Formalisierung
MehrVIII. Digitale Signaturen
VIII. Digitale Signaturen Bob Eve Eve möchte - lauschen - ändern - personifizieren Alice 1 Aufgaben - Vertraulichkeit - Lauschen - Authentizität - Tauschen des Datenursprungs - Integrität - Änderung der
MehrKryptographie und Komplexität
Kryptographie und Komplexität Einheit 4.4 Semantische Sicherheit 1. Sicherheit partieller Informationen 2. Das Verfahren von Rabin 3. Sicherheit durch Randomisierung Semantische Sicherheit Mehr als nur
MehrAnwendungen der Linearen Algebra: Kryptologie
Anwendungen der Linearen Algebra: Kryptologie Philip Herrmann Universität Hamburg 5.12.2012 Philip Herrmann (Universität Hamburg) AnwLA: Kryptologie 1 / 28 No one has yet discovered any warlike purpose
MehrRabin Verschlüsselung 1979
Rabin Verschlüsselung 1979 Idee: Rabin Verschlüsselung Beobachtung: Berechnen von Wurzeln in Z p ist effizient möglich. Ziehen von Quadratwurzeln in Z N ist äquivalent zum Faktorisieren. Vorteil: CPA-Sicherheit
MehrKrypto-Begriffe U23 Krypto-Mission
Krypto-Begriffe -Mission florob Simon e.v. http://koeln.ccc.de 4. Oktober 2015 Was ist Kryptographie? Griechisch: κρυπτος (verborgen) + γραϕειν (schreiben) Mittel und Wege: Verschlüsseln einer Nachricht
Mehr3 Public-Key-Kryptosysteme
Stand: 05.11.2013 Vorlesung Grundlagen und Methoden der Kryptographie Dietzfelbinger 3 Public-Key-Kryptosysteme 3.1 Verschlüsselung von Nachrichten Wir betrachten ganz einfache Kommunikationsszenarien.
Mehr3: Zahlentheorie / Primzahlen
Stefan Lucks Diskrete Strukturen (WS 2009/10) 96 3: Zahlentheorie / Primzahlen 3: Zahlentheorie / Primzahlen Stefan Lucks Diskrete Strukturen (WS 2009/10) 97 Definition 37 (Teiler, Vielfache, Primzahlen,
MehrInstitut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Klausur Hinweise
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Klausur 22.07.2014 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen
MehrVerschlüsselung. Chiffrat. Eve
Das RSA Verfahren Verschlüsselung m Chiffrat m k k Eve? Verschlüsselung m Chiffrat m k k Eve? Aber wie verteilt man die Schlüssel? Die Mafia-Methode Sender Empfänger Der Sender verwendet keine Verschlüsselung
MehrEINIGE GRUNDLAGEN DER KRYPTOGRAPHIE
EINIGE GRUNDLAGEN DER KRYPTOGRAPHIE Steffen Reith reith@thi.uni-hannover.de 22. April 2005 Download: http://www.thi.uni-hannover.de/lehre/ss05/kry/folien/einleitung.pdf WAS IST KRYPTOGRAPHIE? Kryptographie
MehrKryptographie und Komplexität
Kryptographie und Komplexität Einheit 5 Kryptosysteme auf der Basis diskreter Logarithmen 1. Diffie Hellman Schlüsselaustausch 2. El Gamal Systeme 3. Angriffe auf Diskrete Logarithmen 4. Elliptische Kurven
MehrIdeen und Konzepte der Informatik Kryptographie
Ideen und Konzepte der Informatik Kryptographie und elektronisches Banking Antonios Antoniadis (basiert auf Folien von Kurt Mehlhorn) 4. Dec. 2017 4. Dec. 2017 1/30 Übersicht Zwecke der Kryptographie Techniken
MehrBeweisbar sichere Verschlüsselung
Beweisbar sichere Verschlüsselung ITS-Wahlpflichtvorlesung Dr. Bodo Möller Ruhr-Universität Bochum Horst-Görtz-Institut für IT-Sicherheit Lehrstuhl für Kommunikationssicherheit bmoeller@crypto.rub.de 11
MehrInstitut für Theoretische Informatik Prof. Dr. Dennis Hofheinz Übungsleiter: Thomas Agrikola. Stammvorlesung Sicherheit im Sommersemester 2017
Institut für Theoretische Informatik Prof. Dr. Dennis Hofheinz Übungsleiter: Thomas Agrikola Stammvorlesung Sicherheit im Sommersemester 2017 Übungsblatt 5 Aufgabe 1. (1.) In der Vorlesung wurde gezeigt,
MehrPublic Key Kryptographie
3. Juni 2006 1 Algorithmen für Langzahlen 1 RSA 1 Das Rabin-Kryptosystem 1 Diskrete Logarithmen Grundlagen der PK Kryptographie Bisher: Ein Schlüssel für Sender und Empfänger ( Secret-Key oder symmetrische
MehrAusgewählte Themen der IT-Sicherheit. Wintersemester 2009/2010
Ausgewählte Themen der IT-Sicherheit Wintersemester 2009/2010 Harald Baier Kapitel 4: Anonymisierung im Internet Inhalt Begriffe und Sicherheitsziele Chaums MIXe und Kaskaden Harald Baier Ausgewählte Themen
MehrKryptographie und Komplexität
Kryptographie und Komplexität Einheit 5.2 ElGamal Systeme 1. Verschlüsselungsverfahren 2. Korrektheit und Komplexität 3. Sicherheitsaspekte Das ElGamal Verschlüsselungsverfahren Public-Key Verfahren von
MehrDigitale Unterschriften Grundlagen der digitalen Unterschriften Hash-Then-Sign Unterschriften Public-Key Infrastrukturen (PKI) Digitale Signaturen
Sommersemester 2008 Digitale Unterschriften Unterschrift von Hand : Physikalische Verbindung mit dem unterschriebenen Dokument (beides steht auf dem gleichen Blatt). Fälschen erfordert einiges Geschick
MehrKryptographische Grundbegriffe. Technisches Seminar SS 2012 Nam Nguyen
Kryptographische Grundbegriffe Technisches Seminar SS 2012 Nam Nguyen Agenda Einleitung Terminologie Ziele Kryptographie Kryptoanalyse Kryptologie Kryptographischer Algorithmus Kryptographische Verfahren
MehrKryptograhie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik
Kryptograhie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik Übersicht Zwecke der Krytographie Techniken Symmetrische Verschlüsselung( One-time Pad,
MehrInstitut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Übungsblatt 5
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Übungsblatt 5 Aufgabe 1. (1.) In der Vorlesung wurde gezeigt, dass Lehrbuch-RSA-Signaturen
MehrDie Logik der Sicherheit
Die Logik der Sicherheit Seminar im Sommersemester 2016 Vorbesprechung, 20.04.2016 FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 20.04.2016 Gunnar Hartung, Julia Hesse, Alexander Koch
MehrHashfunktionen und Kollisionen
Hashfunktionen und Kollisionen Definition Hashfunktion Eine Hashfunktion ist ein Paar (Gen, H) von pt Algorithmen mit 1 Gen: s Gen(1 n ). Gen ist probabilistisch. 2 H: H s berechnet Funktion {0, 1} {0,
MehrBjörn Kaidel Alexander Koch
Übung zur Vorlesung Sicherheit Übung 1 Björn Kaidel Bjoern.Kaidel@kit.edu Alexander Koch Alexander.Koch@kit.edu 23.04.2015 1 / 31 Sicherheit Literatur zur Vorlesung Jonathan Katz, Yehuda Lindell. Introduction
MehrMathematisches Kaleidoskop 2014 Materialien Teil 2. Dr. Hermann Dürkop
Mathematisches Kaleidoskop 2014 Materialien Teil 2 Dr. Hermann Dürkop 1 1.6 Quadratische Reste und das Legendre-Symbol Im folgenden seien die Moduln p immer Primzahlen. Wir haben bisher gesehen, ob und
MehrPublic-Key-Kryptographie
Kapitel 2 Public-Key-Kryptographie In diesem Kapitel soll eine kurze Einführung in die Kryptographie des 20. Jahrhunderts und die damit verbundene Entstehung von Public-Key Verfahren gegeben werden. Es
MehrElliptic Curve Cryptography
Elliptic Curve Cryptography Institut für Informatik Humboldt-Universität zu Berlin 10. November 2013 ECC 1 Aufbau 1 Asymmetrische Verschlüsselung im Allgemeinen 2 Elliptische Kurven über den reellen Zahlen
MehrGrundbegriffe der Kryptographie II Technisches Seminar SS 2012 Deniz Bilen
Grundbegriffe der Kryptographie II Technisches Seminar SS 2012 Deniz Bilen Agenda 1. Kerckhoff sches Prinzip 2. Kommunikationsszenario 3. Wichtige Begriffe 4. Sicherheitsmechanismen 1. Symmetrische Verschlüsselung
MehrDiffie-Hellman, ElGamal und DSS. Vortrag von David Gümbel am 28.05.2002
Diffie-Hellman, ElGamal und DSS Vortrag von David Gümbel am 28.05.2002 Übersicht Prinzipielle Probleme der sicheren Nachrichtenübermittlung 'Diskreter Logarithmus'-Problem Diffie-Hellman ElGamal DSS /
MehrMitschrift Vorlesung Einführung in die Kryptographie vom 18. Januar 2011
Mitschrift Vorlesung Einführung in die Kryptographie vom 18. Januar 2011 Dominic Scheurer 6. Februar 2012 Inhaltsverzeichnis 30 Digitale Signaturen (cont'd) - One-Time-Signaturen (OTS) 1 31 Public-Key-Verschlüsselung
MehrRegine Schreier
Regine Schreier 20.04.2016 Kryptographie Verschlüsselungsverfahren Private-Key-Verfahren und Public-Key-Verfahren RSA-Verfahren Schlüsselerzeugung Verschlüsselung Entschlüsselung Digitale Signatur mit
MehrPublic Key Kryptographie
4. Dezember 2007 Outline 1 Einführung 2 3 4 Einführung 1976 Whitefield Diffie und Martin Hellman 2 Schlüsselprinzip Asymmetrische Verschlüsselungsverfahren public Key private Key Anwendung E-Mail PGP openpgp
MehrWiederholung. Symmetrische Verfahren: klassische Verfahren / grundlegende Prinzipien: Substitution, Transposition, One-Time-Pad DES AES
Wiederholung Symmetrische Verfahren: klassische Verfahren / grundlegende Prinzipien: Substitution, Transposition, One-Time-Pad DES AES Mathematische Grundlagen: algebraische Strukturen: Halbgruppe, Monoid,
MehrKryptographie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik
Kryptographie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik Übersicht Zwecke der Kryptographie Techniken Symmetrische Verschlüsselung (One-time Pad,
Mehr2.4 Hash-Prüfsummen Hash-Funktion message digest Fingerprint kollisionsfrei Einweg-Funktion
2.4 Hash-Prüfsummen Mit einer Hash-Funktion wird von einer Nachricht eine Prüfsumme (Hash-Wert oder message digest) erstellt. Diese Prüfsumme besitzt immer die gleiche Länge unabhängig von der Länge der
MehrKryptographische Protokolle
Kryptographische Protokolle Lerneinheit 4: Schlüsselvereinbarung Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen Sommersemester 2017 8.5.2017 Einleitung Einleitung In dieser Lerneinheit
MehrHintergründe zur Kryptographie
3. Januar 2009 Creative Commons by 3.0 http://creativecommons.org/licenses/by/3.0/ CAESAR-Chiffre Vigenère CAESAR-Chiffre Vigenère Einfache Verschiebung des Alphabets Schlüsselraum: 26 Schlüssel Einfaches
MehrKryptographie - eine mathematische Einführung
Kryptographie - eine mathematische Einführung Rosa Freund 28. Dezember 2004 Überblick Grundlegende Fragestellungen Symmetrische Verschlüsselung: Blockchiffren, Hashfunktionen
MehrInstitut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Nachklausur Hinweise
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Nachklausur 29.09.2014 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung
Mehr10. Public-Key Kryptographie
Stefan Lucks 10. PK-Krypto 274 orlesung Kryptographie (SS06) 10. Public-Key Kryptographie Analyse der Sicherheit von PK Kryptosystemen: Angreifer kennt öffentlichen Schlüssel Chosen Plaintext Angriffe
MehrDigitale Unterschriften mit ElGamal
Digitale Unterschriften mit ElGamal Seminar Kryptographie und Datensicherheit Institut für Informatik Andreas Havenstein Inhalt Einführung RSA Angriffe auf Signaturen und Verschlüsselung ElGamal Ausblick
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 13.05.2013 1 / 16 Überblick 1 Asymmetrische Verschlüsselung Erinnerung Andere Verfahren Demonstration Zusammenfassung 2 Symmetrische Authentifikation von Nachrichten
MehrKryptographie II. Introduction to Modern Cryptography. Jonathan Katz & Yehuda Lindell
Kryptographie II Introduction to Modern Cryptography Jonathan Katz & Yehuda Lindell Universität zu Köln, WS 13/14 Medienkulturwissenschaft / Medieninformatik AM2: Humanities Computer Science Aktuelle Probleme
Mehr4 Kryptologie. Übersicht
4 Kryptologie Übersicht 4.1 Der erweiterte euklidische Algorithmus................................ 38 4.2 Rechnen mit Restklassen modulo p................................... 39 4.3 Der kleine Satz von
MehrÜbungsblatt 3. Stammvorlesung Sicherheit im Sommersemester Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Übungsblatt 3 Aufgabe 1. Beurteilen Sie für die folgenden Konstruktionen jeweils, ob es sich
MehrPublic-Key-Verschlüsselung und Diskrete Logarithmen
Public-Key-Verschlüsselung und Diskrete Logarithmen Carsten Baum Institut für Informatik Universität Potsdam 10. Juni 2009 1 / 30 Inhaltsverzeichnis 1 Mathematische Grundlagen Gruppen, Ordnung, Primitivwurzeln
MehrKryptographie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik
Kryptographie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik Übersicht Zwecke der Kryptographie Techniken Symmetrische Verschlüsselung (One-time Pad,
Mehr6.2 Asymmetrische Verschlüsselung
6.2 Asymmetrische Verschlüsselung (asymmetric encryption, public-key encryption) Prinzip (Diffie, Hellman, Merkle 1976-78): Statt eines Schlüssels K gibt es ein Schlüsselpaar K E, K D zum Verschlüsseln
Mehr2.7 Digitale Signatur (3) 2.7 Digitale Signatur (4) Bedeutung der digitalen Signatur. Bedeutung der digitalen Signatur (fortges.)
2.7 Digitale Signatur (3) Bedeutung der digitalen Signatur wie Unterschrift Subjekt verknüpft Objekt mit einer höchst individuellen Marke (Unterschrift) Unterschrift darf nicht vom Dokument loslösbar sein
Mehr