Definition Message Authentication Code (MAC) Ein Message Authentication Code (MAC) bzgl. des Nachrichtenraumen M besteht aus den ppt Alg.

Größe: px
Ab Seite anzeigen:

Download "Definition Message Authentication Code (MAC) Ein Message Authentication Code (MAC) bzgl. des Nachrichtenraumen M besteht aus den ppt Alg."

Transkript

1 Message Authentication Code (MAC) Szenario: Integrität und Authentizität mittels MACs. Alice und Bob besitzen gemeinsamen Schlüssel k. Alice berechnet für m einen MAC-Tag t als Funktion von m und k. Alice sendet das Tupel (m, t) an Bob. Bob verifiziert, dass t ein gültiger Tag für m ist. Definition Message Authentication Code (MAC) Ein Message Authentication Code (MAC) bzgl. des Nachrichtenraumen M besteht aus den ppt Alg. 1 Gen: k Gen(1 n ) 2 Mac: Bei Eingabe von k und m M berechne t Mac k (m). 3 Vrfy: Bei Eingabe (m, t) und Schlüssel k berechne { 1 falls t ein gültiger MAC für m ist Vrfy k (m, t) :=. 0 sonst Korrektheit: Es gilt Vrfy k (m, Mac k (m)) = 1 für alle m und k. Krypto I - Vorlesung () MAC, Fälschen eines MACs, Sicherer MAC fester und variabler Länge 112 / 126

2 Sicherheitsspiel Mac-forge Spiel Sicherheit von MACs Mac-forge Sei Π ein MAC mit Sicherheitsparameter n und Angreifer A. 1 k Gen(1 n ) 2 (m, t) A Mac k ( ) (1 n ). Sei Q die Menge aller Mac k ( )-Anfragen { von A an sein Orakel. 1 falls Vrfy 3 k (m, t) = 1 und m / Q Mac-forge A,Π (n) =. 0 sonst Definition Sicherheit eines MACs Ein MAC Π heißt existentiell unfälschbar gegenüber adaptiv gewählten Angriffen bzw. kurz sicher falls für alle ppt Angreifer A gilt Ws[Mac-forge A,Π (n) = 1] negl(n). Krypto I - Vorlesung () MAC, Fälschen eines MACs, Sicherer MAC fester und variabler Länge 113 / 126

3 Sicherheitsspiel Mac-forge Mac forge A,Π (n) k Gen(1 n ) t i = Mac k (m i ) i Ausgabe: { 1 if Vrfy pk (m, t) = 1 0 else 1 n m i t i (m, t) A m i M i = 1,..., q Berechne: (m, t) m M\{m i } i Krypto I - Vorlesung () MAC, Fälschen eines MACs, Sicherer MAC fester und variabler Länge 114 / 126

4 Replay Angriffe Szenario: Replay Angriff Alice schickt an ihre Bank eine authentisierte Zahlungsanweisung (m, t) über 100 Euro zugunsten Bob s Konto. Aufgrund der MAC-Sicherheit kann Bob den Betrag nicht ändern. Die MAC-Sicherheit verhindert nicht, dass Bob (m, t) abfängt und dieselbe Nachricht (m, t) weitere Male an die Bank versenden. Abhilfe: Verwenden Nummerierung oder Zeitstempel. Seriennummer: Berechnen MAC von i m für eindeutige i. MAC-Sicherheit: A kann nicht MAC für i m berechnen. Zeitstempel: Sender berechnet MAC von Systemzeit m. Empfänger verifiziert, dass die Systemzeit aktuell ist. Krypto I - Vorlesung () MAC, Fälschen eines MACs, Sicherer MAC fester und variabler Länge 115 / 126

5 Konstruktion eines sicheren MACs fester Länge Algorithmus MAC Π MAC fester Länge Sei F eine Pseudozufallsfunktion mit Blocklänge n. Wir konstruieren einen MAC für Nachrichten m {0, 1} n. 1 Gen: Wähle k R {0, 1} n. 2 Mac: Für m, k {0, 1} n berechne t := F k (m). 3 Vrfy: Für (m, t) {0, 1} n {0, 1} n und k {0, 1} n { 1 falls t = F k (m) Ausgabe =. 0 sonst Krypto I - Vorlesung () MAC, Fälschen eines MACs, Sicherer MAC fester und variabler Länge 116 / 126

6 Sicherheit von Π MAC Satz Sicherheit von Π MAC Sei F eine Pseudozufallsfunktion. Dann ist Π MAC sicher. Beweis: Sei A ein Angreifer für Π MAC mit Erfolgsws ɛ(n). Wir konstruieren Unterscheider D für Pseudozufallsfunktionen. Algorithmus Unterscheider D EINGABE: 1 n, O : {0, 1} n {0, 1} n mit O = F k ( ) oder O = f ( ). 1 (m, t) A Mac k ( ), beantworte Mac k (m )-Anfragen mit t := O(m ). 2 Sei Q die Menge aller von A gestellten Mac k ( )-Anfragen. { 1 falls t = O(m ) m / Q, (Interpretation: O = F k ( )) AUSGABE = 0 sonst (Interpretation: O = f ( )) Krypto I - Vorlesung () MAC, Fälschen eines MACs, Sicherer MAC fester und variabler Länge 117 / 126

7 Sicherheit von Π MAC O {F k, f} Ausgabe Unterscheider D t i = O(m i ) Ausgabe: { O = F k if O(m) = t O = f else 1 n m i t i (m, t) A i q, m i M Q = {m 1, m q } Berechne: (m, t) m M\Q Krypto I - Vorlesung () MAC, Fälschen eines MACs, Sicherer MAC fester und variabler Länge 118 / 126

8 Sicherheit von Π MAC Fall 1: O = F k ( ), d.h. das Orakel ist eine Pseudozufallsfunktion. Dann ist die Verteilung für A identisch zum Protokoll Π MAC. Damit gilt Ws[D F k ( ) (n) = 1] = Ws[Mac-forge A,ΠMAC (n) = 1] = ɛ(n). Fall 2: O = f ( ), d.h. das Orakel ist eine echte Zufallsfunktion. Sei Π das Protokoll Π MAC mit f ( ) statt F k ( ). Für alle m / Q ist t = f (m) uniform verteilt in {0, 1} n. Damit gilt Ws[D f ( ) (n) = 1] = Ws[Mac-forge A,Π (n) = 1] = 1 2 n. Aus der Pseudozufälligkeit von F k folgt für alle ppt D negl(n) Ws[D F k ( ) (n) = 1] Ws[D f ( ) (n) = 1] = ɛ 1 2 n. Damit folgt ɛ negl(n) n = negl(n) für alle ppt Angreifer A. Krypto I - Vorlesung () MAC, Fälschen eines MACs, Sicherer MAC fester und variabler Länge 119 / 126

9 Von fester zu variabler Länge Ziel: Konstruiere MAC für m = m 1... m l für variable Blockzahl l. Überlegungen zu einer sicheren MAC-Konstruktion: MAC des XOR der Blocks, d.h. t := Mac k ( l i=1 m i). Problem: Tag t ist z.b. gültig für m 1 m 2 m 3... m l. MAC jeden Blocks, d.h. t = t 1... t l für t i := Mac k (m i ). Problem: t = t 2 t 1 t 3... t l ist gültig für m = m 2 m 1 m 3... m l. MAC mit Block-Seriennummer, d.h. t i := Mac k (i m i ). Problem: t = t 1... t l 1 ist gültig für m = m 1... m l 1. MAC mit Nachrichtenlänge, d.h. t i := Mac k (l i m i ). Problem: Seien t = t 1... t l, t = t 1... t l gültig für m, m. Dann ist t 1 t 2... t l gültig für m 1 m 2... m l, d.h. wir können Tags kombinieren. MAC mit Nachrichten-Seriennummer: t i := Mac k (r l i m i ). Wir benötigen pro Nachricht m einen eindeutigen Identifikator r. Krypto I - Vorlesung () MAC, Fälschen eines MACs, Sicherer MAC fester und variabler Länge 120 / 126

10 Sicherer MAC für Nachrichten variabler Länge Algorithmus MAC Π MAC2 variabler Länge Sei Π = (Gen, Mac, Vrfy ) ein MAC für Nachrichten der Länge n. 1 Gen: k Gen(1 n ) 2 Mac: Sei k {0, 1} n und m = m 1... m l ({0, 1} n 4 ) l. Wähle r R {0, 1} n 4 und berechne t i Mac k (r l i m i) für i = 1,..., l, mit Kodierungen l, i {0, 1} n 4. Ausgabe des Tags t = (r, t 1... t l ). 3 Vrfy: Für (m, t) = (m 1... m l, r, t 1,..., t l ) { 1 falls Vrfy k Ausgabe = (r l i m i, t i ) = 1 für i = 1,..., l. 0 sonst Anmerkung: Benötigen l < 2 n 4, sonst kann l nicht mit n 4 Bits kodiert werden. Krypto I - Vorlesung () MAC, Fälschen eines MACs, Sicherer MAC fester und variabler Länge 121 / 126

11 Sicherheit von Π MAC2 Satz Sicherheit von Π MAC2 Sei Π sicher. Dann ist Π MAC2 ebenfalls sicher. Beweis: Sei A ein Angreifer für Π MAC2 mit Erfolgsws ɛ(n). Wir konstruieren einen Angreifer A für Π. Algorithmus Angreifer A EINGABE: 1 n, Orakel Mac k ( ). 1 Beantworte Mac k (mj 1... mj l )-Anfragen von A wie folgt: Wähle r j R {0, 1} n 4 und berechne t j i = Mac k (r j l i mj i ) für i = 1,..., l. 2 (m, t) = (m 1... m l, r, t 1... t l ) A Mac k ( ) (1 n ). AUSGABE: Nicht-angefragtes m i = r l i m i mit gültigem Tag t i, falls ein solches in ( m i, t i ) existiert. Krypto I - Vorlesung () MAC, Fälschen eines MACs, Sicherer MAC fester und variabler Länge 122 / 126

12 Sicherheit von Π MAC2 Mac forge A,Π (n) k Gen (1 n ) 1 n A r j R {0, 1} n/4 1 n m j A Wähle Q M mit Q = {m 1,..., m q}, m j = m 1 j,..., m l j und m i j {0, 1} n 4. ( ) t i j = Mac k m i j Q = i,j mi j m i j t i j m i j = r j l i m i j für i = 1,..., l t j = (r j, t 1 j,..., t l j) Suche ein nicht angefragtes t j (m, t) Berechne t = (r, t 1,..., t l ) für ein m / Q m i := r l i m i Ausgabe: 1, falls Vrfy k( m i, t i ) = 1 und m i / Q ( m i, t i ) mit gültigem Tag t i in (m, t). Krypto I - Vorlesung () MAC, Fälschen eines MACs, Sicherer MAC fester und variabler Länge 123 / 126

13 Sicherheit von Π MAC2 Wir definieren die folgenden Ereignisse Forge: Ein Block m i = r l i m i in (m, t) wurde nicht an Mac k ( ) angefragt, aber Vrfy k ( mi, t i ) = 1. Repeat: Bei 2 MAC-Anfragen wird dasselbe r i = r j verwendet. Aufgrund der Sicherheit von Π gilt negl(n) Ws[Mac-forge A,Π (n) = 1] = Ws[Mac-forge A,ΠMAC2 (n) = 1 Forge] = ɛ(n) Ws[Mac-forge A,ΠMAC2 (n) = 1 Forge] = ɛ(n) Ws[Mac-forge A,ΠMAC2 (n) = 1 Forge Repeat] }{{} ɛ 1 Ws[Mac-forge A,ΠMAC2 (n) = 1 Forge Repeat] }{{} Ws[Repeat] Zeigen nun ɛ 1 = 0 und Ws[Repeat] negl(n). Damit ɛ(n) negl(n). Krypto I - Vorlesung () MAC, Fälschen eines MACs, Sicherer MAC fester und variabler Länge 124 / 126

14 Sicherheit von Π MAC2 zu zeigen: Ws[Repeat] negl(n) Sei q(n) die Anzahl der MAC-Anfragen von A an A. Bei der i-ten MAC-Anfrage wähle A den Identifikator r i. Repeat tritt ein, falls r i = r j für ein i j. Sei dies Ereignis E i,j. Nach Geburtstagsparadoxon gilt: Ws[Repeat] = Ws [ ] E i,j Ws[E i,j ] 1 i<j q(n) 1 i<j q(n) q(n)2 2 n 4 = negl(n). Krypto I - Vorlesung () MAC, Fälschen eines MACs, Sicherer MAC fester und variabler Länge 125 / 126

15 Sicherheit von Π MAC2 zu zeigen: Ws[Mac-forge A,ΠMAC2 (n) = 1 Forge Repeat] = 0 Idee: Mac-forge A,ΠMAC2 (n) = 1 und Repeat impliziert Forge. Sei (m, t) = (m 1... m l, r, t 1... t l ) die Ausgabe von A. Fall 1: Identifikator r unterscheidet sich von allen r i. Dann ist (z.b.) r l 1 m 1 nicht-angefragt mit gültigem Tag t 1. Fall 2: r = r i für genau ein i [q(n)]. Sei m i = mi 1... m l i i die von A angefragte Nachricht. Fall l l i : Dann ist r l 1 m 1 nicht-angefragt mit gültigem Tag t 1. Fall l = l i : Wegen m / Q gilt m m i. D.h. es existiert ein j, so dass m j m j i. Damit wurde r l j m j nicht angefragt. Tag t j ist dafür gültig. Fall 3: r = r i für mehrere i [q(n)]. Fall ist ausgeschlossen, da wegen Repeat gilt r i r j für alle i j. Krypto I - Vorlesung () MAC, Fälschen eines MACs, Sicherer MAC fester und variabler Länge 126 / 126

Message Authentication Code (MAC)

Message Authentication Code (MAC) Message Authentcaton Code (MAC) Szenaro: Integrtät und Authentztät mttels MACs. Alce und Bob bestzen gemensamen Schlüssel k. Alce berechnet für m enen MAC-Tag t als Funkton von m und k. Alce sendet das

Mehr

Sicherheit von Π MAC2

Sicherheit von Π MAC2 Scherhet von Π MAC2 Satz Scherhet von Π MAC2 Se Π scher. Dann st Π MAC2 ebenfalls scher. Bewes: Se A en Angrefer für Π MAC2 mt Erfolgsws ɛ(n). Wr konstrueren enen Angrefer A für Π. Algorthmus Angrefer

Mehr

Konstruktion CPA-sicherer Verschlüsselung

Konstruktion CPA-sicherer Verschlüsselung Konstrution CPA-sicherer Verschlüsselung Algorithmus Verschlüsselung Π B Sei F eine längenerhaltende, schlüsselabhängige Funtion auf n Bits. Wir definieren Π B = (Gen, Enc, Dec) für Nachrichtenraum M =

Mehr

Ununterscheidbarkeit von Chiffretexten

Ununterscheidbarkeit von Chiffretexten Ununterscheidbarkeit von Chiffretexten Spiel Ununterscheidbarkeit von Chiffretexten PrivK eav A,Π (n) Sei Π ein Verschlüsselungsverfahren und A ein Angreifer. (m 0, m ) A. 2 k Gen( n ). 3 Wähle b R {0,

Mehr

Homomorphe Verschlüsselung

Homomorphe Verschlüsselung Homomorphe Verschlüsselung Definition Homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : G G für Gruppen G, G. Π heißt homomorph, falls Enc(m 1 ) G Enc(m 2 ) eine gültige Verschlüsselung

Mehr

Ununterscheidbarkeit von Chiffretexten

Ununterscheidbarkeit von Chiffretexten Ununterscheidbarkeit von Chiffretexten Spiel Ununterscheidbarkeit von Chiffretexten PrivK eav A,Π (n) Sei Π ein Verschlüsselungsverfahren und A ein Angreifer. 1 (m 0, m 1 ) A. 2 k Gen(1 n ). 3 Wähle b

Mehr

Ununterscheidbarkeit von Chiffretexten

Ununterscheidbarkeit von Chiffretexten Ununterscheidbarkeit von Chiffretexten Spiel Ununterscheidbarkeit von Chiffretexten PrivK eav A,Π (n) Sei Π ein Verschlüsselungsverfahren und A ein Angreifer. 1 (m 0, m 1 ) A. 2 k Gen(1 n ). 3 Wähle b

Mehr

Beliebige Anzahl von Signaturen

Beliebige Anzahl von Signaturen Beliebige Anzahl von Signaturen Algorithmus Signaturketten Sei Π = (Gen, Sign, Vrfy) ein Einwegsignaturverfahren. 1 Gen : (pk 1, sk 1 ) Gen(1 n ) 2 Sign : Signieren der Nachricht m i. Verwende gemerkten

Mehr

Hashfunktionen und Kollisionen

Hashfunktionen und Kollisionen Hashfunktionen und Kollisionen Definition Hashfunktion Eine Hashfunktion ist ein Paar (Gen, H) von pt Algorithmen mit 1 Gen: s Gen(1 n ). Gen ist probabilistisch. 2 H: H s berechnet Funktion {0, 1} {0,

Mehr

Voll homomorpe Verschlüsselung

Voll homomorpe Verschlüsselung Voll homomorpe Verschlüsselung Definition Voll homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : R R für Ringe R, R. Π heißt voll homomorph, falls 1 Enc(m 1 ) + Enc(m 2 ) eine gültige

Mehr

Sicherheit von ElGamal

Sicherheit von ElGamal Sicherheit von ElGamal Satz CPA-Sicherheit ElGamal ElGamal Π ist CPA-sicher unter der DDH-Annahme. Beweis: Sei A ein Angreifer auf ElGamal Π mit Erfolgsws ɛ(n) := Ws[PubK cpa A,Π (n) = 1]. Wir konstruieren

Mehr

Hardcore-Prädikat. Definition Hardcore-Prädikat. Ziel: Destilliere Komplexität des Invertierens auf ein Bit.

Hardcore-Prädikat. Definition Hardcore-Prädikat. Ziel: Destilliere Komplexität des Invertierens auf ein Bit. Hardcore-Prädikat Ziel: Destilliere Komplexität des Invertierens auf ein Bit. Definition Hardcore-Prädikat Sei Π f eine Einwegfunktion. Sei hc ein deterministischer pt Alg mit Ausgabe eines Bits hc(x)

Mehr

Stromchiffre. Algorithmus Stromchiffre

Stromchiffre. Algorithmus Stromchiffre Stromchiffre Algorithmus Stromchiffre Sei G ein Pseudozufallsgenerator mit Expansionsfaktor l(n). Wir definieren Π s = (Gen, Enc, Dec) mit Sicherheitsparameter n für Nachrichten der Länge l(n). 1 Gen:

Mehr

Stromchiffre. Algorithmus Stromchiffre

Stromchiffre. Algorithmus Stromchiffre Stromchiffre Algorithmus Stromchiffre Sei G ein Pseudozufallsgenerator mit Expansionsfaktor l(n). Wir definieren Π s = (Gen, Enc, Dec) mit Sicherheitsparameter n für Nachrichten der Länge l(n). 1 Gen:

Mehr

Sicherer MAC für Nachrichten beliebiger Länge

Sicherer MAC für Nachrichten beliebiger Länge Sicherer MAC für Nachrichten beliebiger Länge Korollar Sicherer MAC für Nachrichten beliebiger Länge Sei F eine Pseudozufallsfunktion. Dann ist Π MAC2 für Π = Π MAC sicher. Nachteile: Für m ({0, 1} n 4

Mehr

Ziel: Zertifiziere Pfad von Wurzel zu m mittels Signaturen. Signieren Public-Keys auf Pfad inklusive der Nachbarknoten.

Ziel: Zertifiziere Pfad von Wurzel zu m mittels Signaturen. Signieren Public-Keys auf Pfad inklusive der Nachbarknoten. Merkle-Baum Idee: Konstruktion von Merkle-Bäumen Ersetze Signaturkette durch Baum (sogenannter Merkle-Baum). Verwenden Baum der Tiefe n für Nachrichten der Länge n. Die Wurzel erhält Label ɛ. Die Kinder

Mehr

Merkle-Damgard Transformation

Merkle-Damgard Transformation Merkle-Damgard Transformation Ziel: Konstruiere H : {0, 1} {0, 1} l aus h : {0, 1} 2l {0, 1} l. Algorithmus Merkle-Damgard Konstruktion Sei (Gen, h) eine kollisionsresistente Hashfunktion mit h : {0, 1}

Mehr

CPA-Sicherheit ist ungenügend

CPA-Sicherheit ist ungenügend CPA-Sicherheit ist ungenügend Definition CCA CCA (=Chosen Ciphertext Attack) ist ein Angriff, bei dem der Angreifer sich Chiffretext seiner Wahl entschlüsseln lassen kann. Beispiele in denen CPA nicht

Mehr

RSA Full Domain Hash (RSA-FDH) Signaturen

RSA Full Domain Hash (RSA-FDH) Signaturen RSA Full Domain Hash (RSA-FDH) Signaturen Signatur RSA-FDH Sei H : {0, 1} Z N ein Random-Oracle. 1 Gen: (N, e, d) GenRSA(1 n ) mit pk = (N, e) und sk = (N, d). 2 Sign: Für eine Nachricht m {0, 1} berechne

Mehr

Hybride Verschlüsselungsverfahren

Hybride Verschlüsselungsverfahren Hybride Verschlüsselungsverfahren Ziel: Flexibilität von asym. Verfahren und Effizienz von sym. Verfahren. Szenario: Sei Π = (Gen, Enc, Dec) ein PK-Verschlüsselungsverfahren und Π = (Gen, Enc, Dec ) ein

Mehr

Existenz von Einwegfunktionen

Existenz von Einwegfunktionen Existenz von Einwegfunktionen Satz Einweg-Eigenschaft von f FO Unter der Faktorisierungsannahme ist f FO eine Einwegfunktion. Beweis: f FO ist mittels FACTOR-ONEWAY effizient berechenbar. z.z.: Invertierer

Mehr

RSA Full Domain Hash (RSA-FDH) Signaturen

RSA Full Domain Hash (RSA-FDH) Signaturen RSA Full Domain Hash (RSA-FDH) Signaturen Signatur RSA-FDH Sei H : {0, 1} Z N ein Random-Oracle. 1 Gen: (N, e, d) GenRSA(1 n ) mit pk = (N, e) und sk = (N, d). 2 Sign: Für eine Nachricht m {0, 1} berechne

Mehr

Sicherheit von Merkle Signaturen

Sicherheit von Merkle Signaturen Sicherheit von Merkle Signaturen Algorithmus Angreifer A für die Einwegsignatur EINGABE: pk, Zugriff auf eine Anfrage an Orakel Sign sk ( ) 1 Berechne (pk (i), sk (i) ) Gen(1 n ) für i = 1,...,l. Wähle

Mehr

Homomorphe Verschlüsselung

Homomorphe Verschlüsselung Homomorphe Verschlüsselung Definition Homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : G G für Gruppen G, G. Π heißt homomorph, falls Enc(m 1 ) G Enc(m 2 ) eine gültige Verschlüsselung

Mehr

ElGamal Verschlüsselungsverfahren (1984)

ElGamal Verschlüsselungsverfahren (1984) ElGamal Verschlüsselungsverfahren (1984) Definition ElGamal Verschlüsselungsverfahren Sei n ein Sicherheitsparameter. 1 Gen : (q, g) G(1 n ), wobei g eine Gruppe G der Ordnung q generiert. Wähle x R Z

Mehr

Rabin Verschlüsselung 1979

Rabin Verschlüsselung 1979 Rabin Verschlüsselung 1979 Idee: Rabin Verschlüsselung Beobachtung: Berechnen von Wurzeln in Z p ist effizient möglich. Ziehen von Quadratwurzeln in Z N ist äquivalent zum Faktorisieren. Vorteil: CPA-Sicherheit

Mehr

Prinzipien der modernen Kryptographie Sicherheit

Prinzipien der modernen Kryptographie Sicherheit Prinzipien der modernen Kryptographie Sicherheit Prinzip 1 Sicherheitsziel Die Sicherheitsziele müssen präzise definiert werden. Beispiele für ungenügende Definitionen von Sicherheit: Kein Angreifer kann

Mehr

Einwegfunktionen Ziel: CPA-sichere Verschlüsselung aus Trapdoor-Einwegpermutation Später: CCA-sichere Verschlüsselung aus Trapdoor-Einwegperm.

Einwegfunktionen Ziel: CPA-sichere Verschlüsselung aus Trapdoor-Einwegpermutation Später: CCA-sichere Verschlüsselung aus Trapdoor-Einwegperm. Einwegfunktionen Ziel: CPA-sichere Verschlüsselung aus Trapdoor-Einwegpermutation Später: CCA-sichere Verschlüsselung aus Trapdoor-Einwegperm. Spiel Invertieren Invert A,f (n) Sei f : 0, 1} 0, 1} effizient

Mehr

Asymmetrische Verschlüsselungsverfahren

Asymmetrische Verschlüsselungsverfahren Asymmetrische Verschlüsselungsverfahren Vorlesung 4 Alexander Koch (Vertretung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 KIT 2015-11-12 Universität desalexander Landes Baden-Württemberg

Mehr

Prinzipien der modernen Kryptographie Sicherheit

Prinzipien der modernen Kryptographie Sicherheit Prinzipien der modernen Kryptographie Sicherheit Prinzip 1 Sicherheitsmodell Das Sicherheitsmodell (Berechnungsmodell, Angriffstypen, Sicherheitsziele) muss präzise definiert werden. Berechnungsmodell:

Mehr

Hashfunktionen und MACs

Hashfunktionen und MACs 3. Mai 2006 Message Authentication Code MAC: Message Authentication Code Was ist ein MAC? Der CBC-MAC Der XOR-MAC Kryptographische Hashfunktionen Iterierte Hashfunktionen Message Authentication Code Nachrichten

Mehr

Prinzip 2 Präzisierung der Annahmen

Prinzip 2 Präzisierung der Annahmen Prinzip 2 Präzisierung der Annahmen Prinzip 2 Komplexitätsannahme Es muss spezifiziert werden, unter welchen Annahmen das System als sicher gilt. Eigenschaften: Angriffstyp COA, KPA, CPA oder CCA muss

Mehr

Asymmetrische Verschlüsselungsverfahren

Asymmetrische Verschlüsselungsverfahren Asymmetrische Verschlüsselungsverfahren Vorlesung 4 Alexander Koch (Vertretung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-11-10 Alexander Koch Asymmetrische Verschlüsselungsverfahren

Mehr

Effizienten MAC-Konstruktion aus der Praxis: NMAC Idee von NMAC:

Effizienten MAC-Konstruktion aus der Praxis: NMAC Idee von NMAC: Effizienten MAC-Konstruktion aus der Praxis: NMAC Idee von NMAC: Hashe m {0, 1} auf einen Hashwert in {0, 1} n. Verwende Π MAC3 für Nachrichten fixer Länge auf dem Hashwert. Wir konstruieren Π MAC3 mittels

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 23.05.2016 1 / 32 Überblick 1 Symmetrische Authentifikation von Nachrichten Ziel Konstruktionen MACs

Mehr

Erinnerung Blockchiffre

Erinnerung Blockchiffre Erinnerung Blockchiffre Definition schlüsselabhängige Permutation Seien F, F 1 pt Algorithmen. F heißt schlüsselabhängige Permutation auf l Bits falls 1 F berechnet eine Funktion {0, 1} n {0, 1} l {0,

Mehr

Erinnerung Blockchiffre

Erinnerung Blockchiffre Erinnerung Blockchiffre Definition schlüsselabhängige Permutation Seien F, F 1 pt Algorithmen. F heißt schlüsselabhängige Permutation auf l Bits falls 1 F berechnet eine Funktion {0, 1} n {0, 1} l {0,

Mehr

Digitale Signaturen. RSA-FDH & das Random Oracle Model Jiaxin Pan (Slides from Björn Kaidel and Gunnar Hartung)

Digitale Signaturen. RSA-FDH & das Random Oracle Model Jiaxin Pan (Slides from Björn Kaidel and Gunnar Hartung) Digitale Signaturen RSA-FDH & das Random Oracle Model Jiaxin Pan (Slides from Björn Kaidel and Gunnar Hartung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2018-10-26 B. Kaidel Digitale

Mehr

Prinzipien der modernen Kryptographie Sicherheit

Prinzipien der modernen Kryptographie Sicherheit Prinzipien der modernen Kryptographie Sicherheit Prinzip 1 Sicherheitsziel Die Sicherheitsziele müssen präzise definiert werden. Beispiele für ungenügende Definitionen von Sicherheit Kein Angreifer kann

Mehr

Kryptographie II Asymmetrische Kryptographie

Kryptographie II Asymmetrische Kryptographie Kryptographie II Asymmetrische Kryptographie Christopher Wolf Fakultät für Mathematik Ruhr-Universität Bochum Sommersemester 2010 Krypto II - Vorlesung 01-14.04.2010 () Schlüsselverteil-Center, Diffie-Hellman

Mehr

Erinnerung Blockchiffre

Erinnerung Blockchiffre Erinnerung Blockchiffre Definition schlüsselabhängige Permutation Seien F, F 1 pt Algorithmen. F heißt schlüsselabhängige Permutation auf l Bits falls 1 F berechnet eine Funktion {0, 1} n {0, 1} l {0,

Mehr

Digitale Signaturen. RSA-FDH & das Random Oracle Model Björn Kaidel (mit Folien von Gunnar Hartung)

Digitale Signaturen. RSA-FDH & das Random Oracle Model Björn Kaidel (mit Folien von Gunnar Hartung) Digitale Signaturen RSA-FDH & das Random Oracle Model Björn Kaidel (mit Folien von Gunnar Hartung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-12-01 B. Kaidel Digitale Signaturen:

Mehr

Kryptographie I Symmetrische Kryptographie

Kryptographie I Symmetrische Kryptographie Kryptographie I Symmetrische Kryptographie Alexander May Fakultät für Mathematik Ruhr-Universität Bochum Wintersemester 2010/11 Krypto I - Vorlesung 01-11.10.2010 Verschlüsselung, Kerckhoffs, Angreifer,

Mehr

Digitale Signaturen. GHR-und Chamäleon-Signaturen Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Digitale Signaturen. GHR-und Chamäleon-Signaturen Björn Kaidel.   FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK Digitale Signaturen GHR-und Chamäleon-Signaturen Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen KIT

Mehr

Einführung in digitale Signaturen

Einführung in digitale Signaturen Einführung in digitale Signaturen Hannes Thalheim Universität Leipzig 8. Januar 2018 Zusammenfassung Für eine sichere Kommunikation im Web ist die Geheimhaltung von Nachrichten so wichtig wie das Wissen,

Mehr

Das Rucksackproblem. Definition Sprache Rucksack. Satz

Das Rucksackproblem. Definition Sprache Rucksack. Satz Das Rucksackproblem Definition Sprache Rucksack Gegeben sind n Gegenstände mit Gewichten W = {w 1,...,w n } N und Profiten P = {p 1,...,p n } N. Seien ferner b, k N. RUCKSACK:= {(W, P, b, k) I [n] : i

Mehr

Die (Un-)Sicherheit von DES

Die (Un-)Sicherheit von DES Die (Un-)Sicherheit von DES Sicherheit von DES: Bester praktischer Angriff ist noch immer die Brute-Force Suche. Die folgende Tabelle gibt eine Übersicht über DES Kryptanalysen. Jahr Projekt Zeit 1997

Mehr

Sicherheit von hybrider Verschlüsselung

Sicherheit von hybrider Verschlüsselung Sicherheit von hybrider Verschlüsselung Satz Sicherheit hybrider Verschlüsselung Sei Π ein CPA-sicheres PK-Verschlüsselungsverfahren und Π ein KPA-sicheres SK-Verschlüsselungsverfahren. Dann ist das hybride

Mehr

Digitale Signaturen. GHR-und Chamäleon-Signaturen Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Digitale Signaturen. GHR-und Chamäleon-Signaturen Björn Kaidel.  FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK Digitale Signaturen GHR-und Chamäleon-Signaturen Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-01-12 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen KIT

Mehr

Wann sind Codes eindeutig entschlüsselbar?

Wann sind Codes eindeutig entschlüsselbar? Wann sind Codes eindeutig entschlüsselbar? Definition Suffix Sei C ein Code. Ein Folge s {0, 1} heißt Suffix in C falls 1 c i, c j C : c i = c j s oder 2 c C und einen Suffix s in C: s = cs oder 3 c C

Mehr

Blinde Signaturen, geheime Abstimmungen und digitale Münzen

Blinde Signaturen, geheime Abstimmungen und digitale Münzen Blinde Signaturen, geheime Abstimmungen und digitale Münzen Claus Diem Im Wintersemester 2017 / 18 Crypto 1982 Geheime Abstimmungen Eine geheime Abstimmung Problem. Eine Gruppe von Personen will per Brief

Mehr

Kryptographie I Symmetrische Kryptographie

Kryptographie I Symmetrische Kryptographie Kryptographie I Symmetrische Kryptographie Alexander May Fakultät für Mathematik Ruhr-Universität Bochum Wintersemester 2012/13 Krypto I - Vorlesung 01-08.10.2012 Verschlüsselung, Kerckhoffs, Angreifer,

Mehr

Sicherheit von ElGamal Intuitiv: Eve soll c 2 = m g ab nicht von c 2 R G unterscheiden können.

Sicherheit von ElGamal Intuitiv: Eve soll c 2 = m g ab nicht von c 2 R G unterscheiden können. Sicherheit von ElGamal Intuitiv: Eve soll c 2 m g ab nicht von c 2 R G unterscheiden können. Protokoll Unterscheider EINGABE: q, g, g x 1 Eve wählt m G und schickt m an Alice. 2 Alice wählt b R {0, 1},

Mehr

Kryptographie II Asymmetrische Kryptographie

Kryptographie II Asymmetrische Kryptographie Kryptographie II Asymmetrische Kryptographie Christopher Wolf Fakultät für Mathematik Ruhr-Universität Bochum Sommersemester 2010 Krypto II - Vorlesung 01-14.04.2010 () Schlüsselverteil-Center, Diffie-Hellman

Mehr

Kryptographie I Symmetrische Kryptographie

Kryptographie I Symmetrische Kryptographie Kryptographie I Symmetrische Kryptographie Alexander May Fakultät für Mathematik Ruhr-Universität Bochum Wintersemester 2013/14 Krypto I - Vorlesung 01 Verschlüsselung, Kerckhoffs, Angreifer, klassische

Mehr

13. Woche: NP-Vollständigkeit Satz von Cook-Levin Anwendungen in der Kryptographie

13. Woche: NP-Vollständigkeit Satz von Cook-Levin Anwendungen in der Kryptographie 13 Woche: NP-Vollständigkeit Satz von Cook-Levin Anwendungen in der Kryptographie 13 Woche: NP-Vollständigkeit, Satz von Cook-Levin, Anwendungen 276/ 333 N P-Vollständigkeit Ḋefinition NP-vollständig Sei

Mehr

Asymmetrische Verschlüsselungsverfahren

Asymmetrische Verschlüsselungsverfahren Asymmetrische Verschlüsselungsverfahren Digitale Signaturen Prof. Jörn Müller-Quade mit Folien von G. Hartung und B. Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2018-01-25 J.

Mehr

Message Authentication Codes

Message Authentication Codes Message Authentication Codes Fabian Eltz / Matthias Schubert Seminar Kryptographie und Datensicherheit WS 06/07 Nested 1. Message Authentication Code () 2. 3. Nested 4. 5. 6. 7. 8. 9. - F. Eltz, M. Schubert

Mehr

6.3 Authentizität. Geheimhaltung: nur der Empfänger kann die Nachricht lesen. die Nachricht erreicht den Empfänger so, wie sie abgeschickt wurde

6.3 Authentizität. Geheimhaltung: nur der Empfänger kann die Nachricht lesen. die Nachricht erreicht den Empfänger so, wie sie abgeschickt wurde 6.3 Authentizität Zur Erinnerung: Geheimhaltung: nur der Empfänger kann die Nachricht lesen Integrität: die Nachricht erreicht den Empfänger so, wie sie abgeschickt wurde Authentizität: es ist sichergestellt,

Mehr

Institut für Theoretische Informatik Prof. Dr. Dennis Hofheinz Übungsleiter: Thomas Agrikola. Stammvorlesung Sicherheit im Sommersemester 2017

Institut für Theoretische Informatik Prof. Dr. Dennis Hofheinz Übungsleiter: Thomas Agrikola. Stammvorlesung Sicherheit im Sommersemester 2017 Institut für Theoretische Informatik Prof. Dr. Dennis Hofheinz Übungsleiter: Thomas Agrikola Stammvorlesung Sicherheit im Sommersemester 2017 Übungsblatt 4 Aufgabe 1. Wir instanziieren das ElGamal-Verschlüsselungsverfahren

Mehr

Die (Un-)Sicherheit von DES

Die (Un-)Sicherheit von DES Die (Un-)Sicherheit von DES Sicherheit von DES: Bester praktischer Angriff ist noch immer die Brute-Force Suche. Die folgende Tabelle gibt eine Übersicht über DES Kryptanalysen. Jahr Projekt Zeit 1997

Mehr

Vorlesung Digitale Signaturen im Wintersemester 2017/-18. Socrative-Fragen aus der Vorlesung vom

Vorlesung Digitale Signaturen im Wintersemester 2017/-18. Socrative-Fragen aus der Vorlesung vom Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Dozenten: Björn Kaidel Vorlesung Digitale Signaturen im Wintersemester 2017/-18 Socrative-Fragen aus der Vorlesung vom 17.11.2017 1 Quiz 1:

Mehr

Kryptographie II Asymmetrische Kryptographie

Kryptographie II Asymmetrische Kryptographie Kryptographie II Asymmetrische Kryptographie Alexander May Fakultät für Mathematik Ruhr-Universität Bochum Wintersemester 2017/18 Krypto II - Vorlesung 01 Schlüsselverteil-Center, Diffie-Hellman Schlüsselaustausch

Mehr

Kryptographie I Symmetrische Kryptographie

Kryptographie I Symmetrische Kryptographie Kryptographie I Symmetrische Kryptographie Eike Kiltz 1 Fakultät für Mathematik Ruhr-Universität Bochum Wintersemester 2011/12 1 Basierend auf Folien von Alexander May. Krypto I - Vorlesung 01-10.10.2011

Mehr

VIII. Digitale Signaturen

VIII. Digitale Signaturen VIII. Digitale Signaturen Bob Eve Eve möchte - lauschen - ändern - personifizieren Alice 1 Aufgaben - Vertraulichkeit - Lauschen - Authentizität - Tauschen des Datenursprungs - Integrität - Änderung der

Mehr

Asymmetrische Verschlüsselungsverfahren

Asymmetrische Verschlüsselungsverfahren Asymmetrische Verschlüsselungsverfahren Digitale Signaturen Björn Kaidel - Vertretung für Prof. Müller-Quade FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-01-19 B. Kaidel Asymmetrische

Mehr

Kryptographie I Symmetrische Kryptographie

Kryptographie I Symmetrische Kryptographie Kryptographie I Symmetrische Kryptographie Eike Kiltz 1 Fakultät für Mathematik Ruhr-Universität Bochum Wintersemester 2011/12 1 Basierend auf Folien von Alexander May. Krypto I - Vorlesung 01-10.10.2011

Mehr

Kryptographie I Symmetrische Kryptographie

Kryptographie I Symmetrische Kryptographie Kryptographie I Symmetrische Kryptographie Alexander May Fakultät für Mathematik Ruhr-Universität Bochum Wintersemester 2015/16 Krypto I - Vorlesung 01 Verschlüsselung, Kerckhoffs, Angreifer, klassische

Mehr

How To Play The Game Of "Privk

How To Play The Game Of Privk Kryptographie I Symmetrische Kryptographie Alexander May Fakultät für Mathematik Ruhr-Universität Bochum Wintersemester 2016/17 Krypto I - Vorlesung 01 Verschlüsselung, Kerckhoffs, Angreifer, klassische

Mehr

Das Generalized Birthday Problem

Das Generalized Birthday Problem Das Generalized Birthday Problem Problem Birthday Gegeben: L 1, L 2 Listen mit Elementen aus {0, 1} n Gesucht: x 1 L 1 und x 2 L 2 mit x 1 x 2 = 0. Anwendungen: Meet-in-the-Middle Angriffe (z.b. für RSA,

Mehr

Kryptographie I Symmetrische Kryptographie

Kryptographie I Symmetrische Kryptographie Kryptographie I Symmetrische Kryptographie Alexander May Fakultät für Mathematik Ruhr-Universität Bochum Wintersemester 2009/10 Krypto I - Vorlesung 01-12.10.2009 Verschlüsselung, Kerckhoffs, Angreifer,

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 15.05.2017 1 / 25 Überblick 1 Hashfunktionen Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel: RSA

Mehr

Das Quadratische Reste Problem

Das Quadratische Reste Problem Das Quadratische Reste Problem Definition Pseudoquadrate Sei N = q mit, q rim. Eine Zahl a heißt Pseudoquadrat bezüglich N, falls ( a ) = 1 und a / QR N. N Wir definieren die Srache QUADRAT:= {a Z N (

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 12.05.2014 1 / 26 Überblick 1 Hashfunktionen Erinnerung Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel:

Mehr

II.1 Verschlüsselungsverfahren

II.1 Verschlüsselungsverfahren II.1 Verschlüsselungsverfahren Definition 2.1 Ein Verschlüsselungsverfahren ist ein 5-Tupel (P,C,K,E,D), wobei 1. P die Menge der Klartexte ist. 2. C die Menge der Chiffretexte ist. 3. K die Menge der

Mehr

Privacy-Preserving Authentication 2 Kryptografische Bausteine WS 2015/2016

Privacy-Preserving Authentication 2 Kryptografische Bausteine WS 2015/2016 Privacy-Preserving Authentication 2 Kryptografische Bausteine WS 2015/2016 Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum Übersicht 1 Vorteil und Sicherheit 2 Hash Funktionen 3 Digitale

Mehr

Der komplexitätstheoretische Zugang zur Kryptographie

Der komplexitätstheoretische Zugang zur Kryptographie Der komplexitätstheoretische Zugang zur Kryptographie Claus Diem Im Wintersemester 2017 / 18 Literatur Oded Goldreich: Foundations of Cryptography Jonathan Katz & Yeduda Lindell: Intoduction to Modern

Mehr

Kryptograhie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik

Kryptograhie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik Kryptograhie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik Übersicht Zwecke der Krytographie Techniken Symmetrische Verschlüsselung( One-time Pad,

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 23.06.2014 1 / 26 Überblick 1 Zero-Knowledge-Protokolle Erinnerung Beispiel für Zero-Knowledge-Protokoll Analyse des Beispiel-Zero-Knowledge-Protokolls Proof-of-Knowledge-Eigenschaft

Mehr

Kryptographie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik

Kryptographie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik Kryptographie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik Übersicht Zwecke der Kryptographie Techniken Symmetrische Verschlüsselung (One-time Pad,

Mehr

Digitale Signaturen. Sicherheitsdefinitionen Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Digitale Signaturen. Sicherheitsdefinitionen Gunnar Hartung, Björn Kaidel.  FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK Digitale Signaturen Sicherheitsdefinitionen Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-10-28 B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen

Mehr

Message Authentication Codes. Konstruktion von MACs. Hash-then-Encrypt. Sicherheitsmodell

Message Authentication Codes. Konstruktion von MACs. Hash-then-Encrypt. Sicherheitsmodell Message Authentication Codes Entspricht Hashfunktionen mit geheimen Schlüsseln. h : K M H, MAC = h k (m). h parametrisierte Hashfunktion. m Nachricht. k geheimer Schlüssel. Mit der Nachricht m wird h k

Mehr

Beweisbar sichere Verschlüsselung

Beweisbar sichere Verschlüsselung Beweisbar sichere Verschlüsselung ITS-Wahlpflichtvorlesung Dr. Bodo Möller Ruhr-Universität Bochum Horst-Görtz-Institut für IT-Sicherheit Lehrstuhl für Kommunikationssicherheit bmoeller@crypto.rub.de 11

Mehr

Übungsblatt 3. Stammvorlesung Sicherheit im Sommersemester Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade

Übungsblatt 3. Stammvorlesung Sicherheit im Sommersemester Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Übungsblatt 3 Aufgabe 1. Beurteilen Sie für die folgenden Konstruktionen jeweils, ob es sich

Mehr

MAC Message Authentication Codes

MAC Message Authentication Codes Seminar Kryptographie SoSe 2005 MAC Message Authentication Codes Andrea Schminck, Carolin Lunemann Inhaltsverzeichnis (1) MAC (2) CBC-MAC (3) Nested MAC (4) HMAC (5) Unconditionally secure MAC (6) Strongly

Mehr

Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Nachklausur. Lösung Hinweise

Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Nachklausur. Lösung Hinweise Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2016 Nachklausur Lösung 12.10.2016 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung

Mehr

Asymmetrische Verschlüsselungsverfahren

Asymmetrische Verschlüsselungsverfahren Asymmetrische Verschlüsselungsverfahren Einmalsignaturen Björn Kaidel (Vertretung für Prof. Müller-Quade) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2018-02-01 B. Kaidel Asymmetrische

Mehr

Kryptographische Hashfunktionen

Kryptographische Hashfunktionen Kryptographische Hashfunktionen Proseminar/Seminar Kryptographie und Datensicherheit SoSe 2009 Universität Potsdam Jan Jantzen Seminar Kyptographie und Datensicherheit SoSe 09 1 Gliederung Datenintegrität

Mehr

Kurzskript MfI:AGS WS 2018/19 Teil II: Gruppen / Teil III: Ringe 34

Kurzskript MfI:AGS WS 2018/19 Teil II: Gruppen / Teil III: Ringe 34 Kurzskript MfI:AGS WS 2018/19 Teil II: Gruppen / Teil III: Ringe 34 Satz 4.2.11 (Chinesischer Restsatz, Ring-Version) Sind N teilerfremd (d.h. ggt( ) =1), so ist die Abbildung ein Ring-Isomorphismus. :

Mehr

Institut für Theoretische Informatik Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Klausur. Lösung

Institut für Theoretische Informatik Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Klausur. Lösung Institut für Theoretische Informatik Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2017 Klausur Lösung 02.08.2017 Vorname: Nachname: Matrikelnummer: Klausur-ID: Hinweise - Schreiben

Mehr

Übung GSS Blatt 6. SVS Sicherheit in Verteilten Systemen

Übung GSS Blatt 6. SVS Sicherheit in Verteilten Systemen Übung GSS Blatt 6 SVS Sicherheit in Verteilten Systemen 1 Einladung zum SVS-Sommerfest SVS-Sommerfest am 12.07.16 ab 17 Uhr Ihr seid eingeladen! :-) Es gibt Thüringer Bratwürste im Brötchen oder Grillkäse

Mehr

Konstruktion von MACs. Message Authentication Codes. Sicherheitsmodell CBC-MAC

Konstruktion von MACs. Message Authentication Codes. Sicherheitsmodell CBC-MAC Message Authentication Codes Entspricht Hashfunktionen mit geheimen Schlüsseln. h : K M H, MAC = h k (m). h parametrisierte Hashfunktion. m Nachricht. k geheimer Schlüssel. Mit der Nachricht m wird h k

Mehr

Definition Information I(p)

Definition Information I(p) Definition Information I(p) Definition I(p) Die Information I(p) eines Symbols mit Quellws p > 0 ist definiert als I(p) = log 1 p. Die Einheit der Information bezeichnet man als Bit. DiMa II - Vorlesung

Mehr

2. Woche Eindeutige Entschlüsselbarleit, Sätze von Kraft und McMillan, Huffmancodierung

2. Woche Eindeutige Entschlüsselbarleit, Sätze von Kraft und McMillan, Huffmancodierung 2 Woche Eindeutige Entschlüsselbarleit, Sätze von Kraft und McMillan, Huffmancodierung 2 Woche: Eindeutige Entschlüsselbarleit, Sätze von Kraft und McMillan, Huffmancodierung 24/ 44 Zwei Beispiele a 0

Mehr

Digitale Signaturen. Einmalsignaturen Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Digitale Signaturen. Einmalsignaturen Gunnar Hartung, Björn Kaidel.  FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK Digitale Signaturen Einmalsignaturen Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-11-04 B. Kaidel Digitale Signaturen: Einmalsignaturen KIT Die Forschungsuniversität

Mehr

Übung zur Vorlesung Sicherheit Übungsblatt 2. Alexander Koch Björn Kaidel

Übung zur Vorlesung Sicherheit Übungsblatt 2. Alexander Koch Björn Kaidel Übung zur Vorlesung Sicherheit 07.05.2014 Übungsblatt 2 Alexander Koch alexander.koch@kit.edu Björn Kaidel bjoern.kaidel@kit.edu 1 / 32 Kummerkasten In der Übung lauter und deutlicher sprechen: Wir geben

Mehr