Übung zur Vorlesung Sicherheit Übungsblatt 3. Björn Kaidel 1 / 52
|
|
- Gert Schneider
- vor 6 Jahren
- Abrufe
Transkript
1 Übung zur Vorlesung Sicherheit Übungsblatt 3 Björn Kaidel bjoern.kaidel@kit.edu 1 / 52
2 Kummerkasten Bitte helleren Laserpointer verwenden. Sind die Skriptlinks vertauscht? Nein! Wegen allgemeiner Verwirrung und da das alte Skript eh veraltet ist, wurde der Link dazu entfernt. Folien vor der Übung hochladen. Timeout des Bildschirms ausschalten. 2 / 52
3 Wdh.: Hashfunktionen Fingerabdruck H k : {0, 1} {0, 1} k k ist Sicherheitsparameter Kollisionsresistenz: Für alle PPT-Algorithmen A ist Pr[(X, X ) A(1 k ) : X X H k (X ) = H k (X )] vernachlässigbar. Eine Kollision reicht! Wichtig: Nachricht für Kollision wird nicht vorgegeben! Es gibt auch andere Def. Wir beschränken uns auf die Obige! 3 / 52
4 Sicherheit Übungsblatt 3 Aufgabe 1 Geg. H, H : {0, 1} {0, 1} k kollisionsresistente Hashfunktionen. Daraus wird neue Hashfunktion Ĥ konstruiert. Frage: Ist Ĥ kollisionsresistent? 4 / 52
5 Sicherheit Übungsblatt 3 Aufgabe 1 (a) Ĥ(x) := H(x x) ist kollisionsresistent. Sei x, y mit x y eine Kollision. Dann gilt: Ĥ(x) = Ĥ(y) H(x x) = H(y y). Also ist x x, y y Kollision für H. Formal: Konstr. aus PPT A der Kollisionen für Ĥ ndet einen PPT B, der Kollisionen für H ndet... Widerspruch zur Kollisionsresistenz von H. Also: Ĥ kollisionsresistent. 5 / 52
6 Sicherheit Übungsblatt 3 Aufgabe 1 (b) Ĥ(x) := H(x) H (x) ist im Allg. nicht kollisionsresistent. Betrachte H = H. Dann gilt für alle x:. Und somit für alle x, y: Ĥ(x) = H(x) H(x) = 0 k Ĥ(x) = Ĥ(y). Also: Kollisionsres. hier abhängig von den Hashfunktionen! (auch bei H H problematisch, betrachte z.b. H (x) = H(x)) 6 / 52
7 Sicherheit Übungsblatt 3 Aufgabe 1 (c) Ĥ(x) := H(H (x)) ist kollisionsresistent. Sei x, y mit x y eine Kollision, also Ĥ(x) = H(H (x)) = H(H (y)) = Ĥ(y). Fall 1: H (x) = H (y)... ist Kollision für H. Konstr. Widerspruch zur Kollres. von H Fall 2: H (x) H (y)... dann ist H (x), H (y) eine Kollision für H. Konstr. Widerspruch zur Kollres von H. Formal: Konstruiere Angreifer... 7 / 52
8 Sicherheit Übungsblatt 3 Aufgabe 1 (d) Ĥ(x) := F (x) H(x) mit F bel. Fkt. ist kollisionsresistent. Sei x, y mit x y eine Kollision. Dann gilt: Ĥ(x) = Ĥ(y) F (x) H(x) = F (y) H(y) H(x) = H(y). D.h. x, y ist auch Kollision für H. Widerspruch zur Kollisionsresistenz von H. 8 / 52
9 Sicherheit Übungsblatt 3 Aufgabe 1 (e) { x wenn x = k Ĥ(x) := H(x) sonst ist nicht kollisionsresistent. Für alle y mit y k gilt: Ĥ(y) = H(y) Aber: H(y) = k also Ĥ(H(y)) = H(y). Auÿerdem H(y) y (unterschiedliche Länge!) Somit: y, H(y) Kollision für Ĥ. 9 / 52
10 Sicherheit Übungsblatt 3 Aufgabe 1 (f) Ĥ(x) := H(F (x)) für eine injektive Fkt. F : {0, 1} {0, 1} ist kollisionsresistent. Sei x, y mit x y eine Kollision. Dann gilt: Da F injektiv, ist H(F (x)) = H(F (y)). F (x) F (y). D.h. F (x), F (y) ist eine Kollision für H. Widerspruch zur Kollisionsresistenz von H. 10 / 52
11 Sicherheit Übungsblatt 3 Aufgabe 2 RSA-Verschlüsselung: N = P Q mit den Primzahlen P = 23 und Q = 11. (a) Setzen Sie die RSA-Schlüsselgenerierung fort. (b) Verschlüsseln Sie die Nachricht M = 17. (c) Entschlüsseln Sie das Chirat aus (b). 11 / 52
12 Sicherheit Übungsblatt 3 Aufgabe 2 (a) Schlüsselgenerierung: N = P Q = 253, ϕ(n) = (P 1)(Q 1) = 220 Ziehe e {3,..., ϕ(n) 1} mit ggt(e, ϕ(n)) = 1. Zum Beispiel e = 19. Berechne d = e 1 mod ϕ(n) mit dem erweiterten euklidischen Algorithmus. 12 / 52
13 Sicherheit Übungsblatt 3 Aufgabe 2 (a) Erw. euklid. Algorithmus (EEA) für A, B berechnet s, t mit: ggt(a, B) = s A + t B. In unserem Fall: A = ϕ(n) = 220 B = e = 19 ggt(a, B) = ggt(ϕ(n), e) = 1 13 / 52
14 Sicherheit Übungsblatt 3 Aufgabe 2 (a) Wir erhalten also s, t mit 1 = s ϕ(n) + t e. Dass nimmt man modϕ(n) und erhält: 1 = t e mod ϕ(n) Und damit d := t. 14 / 52
15 Sicherheit Übungsblatt 3 Aufgabe 2 (a) Jetzt der Algorithmus mit ϕ(n) = 220, e = 19: Gleichung R i s i t i (1) 220 = (2) 19 = Euklid. Alg. (3) 220 = (1) 11 (2) (4) 19 = (2) 1 (3) (5) 11 = (3) 1 (4) (6) 8 = (4) 2 (5) (7) 3 = (5) 1 (6) (8) 2 = (6) 2 (7) Abbruch, sobald Rest R i = 0 erreicht. Zeile (7) enthält die für uns interessanten Werte! 15 / 52
16 Sicherheit Übungsblatt 3 Aufgabe 2 (a) Aus Zeile (7) erhalten wir und damit: 1 = ( 81) 19 = 7 ϕ(n) + ( 81) e d = 81 modϕ(n) = modϕ(n) = 139 modϕ(n) 16 / 52
17 Sicherheit Übungsblatt 3 Aufgabe 2 (a) Insgesamt: pk = (N, e) = (253, 19) sk = (N, d) = (253, 139) Es gibt mehrere Möglichkeiten den EEA zu berechnen. Eine zweite Möglichkeit ist in der Musterlösung zu nden. 17 / 52
18 Sicherheit Übungsblatt 3 Aufgabe 2 (b) Verschlüsseln Sie die Nachricht M = 17. pk = (N, e) = (253, 19) C := M e mod N = mod 253 = / 52
19 Sicherheit Übungsblatt 3 Aufgabe 2 (c) Entschlüsseln Sie das Chirat C = 189. sk = (N, d) = (253, 139) M := C d mod N = mod 253 = / 52
20 Sicherheit Übungsblatt 3 Aufgabe 2 Fazit: Wir wissen wie RSA-Schlüsselgenerierung, -Verschlüsselung und -Entschlüsselung in der Lehrbuch-Variante funktionieren Wir haben den erweiterten euklidischen Algorithmus geübt 20 / 52
21 Sicherheit Übungsblatt 3 Aufgabe 3 F : {0, 1} 2k {0, 1} k kollres. Fkt. M = L < 2 k Deniere H MD (M) wie folgt: 1. Setze B := L k. 2. Füge, falls nötig, Padding hinzu: M 0 k L mod k = M 1... M B 3. Nun insgesamt B k-bit-blöcke M 1,..., M B. 4. Setze M B+1 := L, wobei L mit exakt k Bits codiert wird. 5. Setze Z 0 := 0 k. 6. Für i = 1,..., B + 1 berechne Z i := F(Z i 1 M i ). 7. Gib Z B+1 aus. 21 / 52
22 Sicherheit Übungsblatt 3 Aufgabe 3 Betrachte H MD (M) = Z B (statt Z B+1!). Ist H MD kollisionsresistent? H MD ist nicht kollisionsresistent! Länge der Nachricht ieÿt nicht mehr in Hashwert ein. Sei M Nachricht mit M mod k 0. M muss also gepaddet werden! Dann ist z.b. M := M 0 eine Kollision für M. M hat Länge L / 52
23 Sicherheit Übungsblatt 3 Aufgabe 3 Betrachte den Padding Schritt: Bei H MD (M): Bei H MD (M ): k L mod k M 0 M 0 k (L+1) mod k k (L+1) mod k = (M 0) 0 k L mod k = M 0 23 / 52
24 Sicherheit Übungsblatt 3 Aufgabe 3 Nach Padding verwenden also beide die selben Blöcke. Somit: H MD(M) = H MD(M ) Man hat quasi Nuller vom Padding in die Nachricht geschoben. Nachricht M mit passender Länge ist leicht zu nden... Auÿerdem gilt natürlich M M. Also ist H MD nicht kollisionsresistent. 24 / 52
25 Sicherheit Übungsblatt 3 Aufgabe 3 Idee: Beschränkung auf Nachrichten M mit M = n k, n N Ist H MD dann kollisionsresistent? Antwort: Nein, auch dann nicht! Abhängig von F Erinnerung: Z i = F (Z i 1 Mi) Wir konstruieren ein kollres. F, sodass damit konst. H MD nicht kollisionsresistent. 25 / 52
26 Sicherheit Übungsblatt 3 Aufgabe 3 Sei F : {0, 1} 2k {0, 1} k 1 kollres. Achtung, es wird nach {0, 1} k 1 abgebildet! Sei M {0, 1} k beliebig (aber fest!). Konstruiere damit: { 0 k, wenn x = 0 F M (x) := k M F (x) 1, sonst 26 / 52
27 Sicherheit Übungsblatt 3 Aufgabe 3 { 0 k, wenn x = 0 F M (x) := k M F (x) 1, sonst Behauptung: F M ist kollisionsresistent. Sei y z eine Kollision. Fall 1: y 0 k M z. Dann gilt: F M (y) = F (y) b = F (z) b = F M (z) F (y) = F (z) Widerspruch zur Kollisionsresistenz von F! 27 / 52
28 Sicherheit Übungsblatt 3 Aufgabe 3 { 0 k, wenn x = 0 F M (x) := k M F (x) 1, sonst Fall 2: O.B.d.A. y = 0 k M Dann gilt: F M (y) = 0 k = F (z) 1 = F M (z) Kann nicht sein, da 0 1 (niederwertigstes Bit) Insgesamt folgt: F M kollisionsresistent. 28 / 52
29 Sicherheit Übungsblatt 3 Aufgabe 3 Da F M kollisionsresistent können wir es zur Konst. von H MD verwenden. Dafür gilt bei Berechnung von H MD (M a ) (a N) aber: Z 0 = 0 k Z 1 = F M (Z 0 M) Z 2 = F M (Z 1 M) = F M (0 k M) = 0 k = F M (0 k M) = 0 k.. Z B = F M (Z B 1 M)= F M (0 k M) = 0 k Und damit: H MD (M a ) = 0 k. 29 / 52
30 Sicherheit Übungsblatt 3 Aufgabe 3 D.h. für alle a, b N, a b: H MD(M a ) = H MD(M b ) Da M a M b haben wir beliebig viele Kollisionen gefunden. Also: H MD nicht kollisionsresistent! Trotz Einschränkung Nachrichten mit M = n k! 30 / 52
31 Sicherheit Übungsblatt 3 Aufgabe 3 Fazit: Für die Sicherheit der Merkle-Damgård-Konstruktion ist es essentiell, dass wir die Länge der Eingabe in den Hash einbringen (auÿer es sind nur Eingaben gleicher fester Länge erlaubt) 31 / 52
32 Sicherheit Übungsblatt 3 Aufgabe 4 Doktor Meta Aufgabe (Story siehe Blatt) Sei G zyklische Gruppe, Ordnung p, g Erzeuger x Z p, h := g x Nachrichten sind Tupel aus Z p Z p Hashfunktion H: H(M) = H((M 1, M 2 )) = g M 1 h M 2. g, h öentlich bekannt, x geheim (nur Doktor Meta bekannt). 32 / 52
33 Sicherheit Übungsblatt 3 Aufgabe 4 Aufgaben: (a) Zeigen Sie, dass H kollisionsresistent ist. (b) Warum kann Doktor Meta trotzdem Kollisionen berechnen? (c) Warum kann jeder Kollisionen berechnen, sobald eine Kollision öentlich bekannt wird? 33 / 52
34 Sicherheit Übungsblatt 3 Aufgabe 4 (a) Zeige: H kollisionsresistent. Annahme: Diskreter Logarithmus in G schwierig, d.h. für alle PPT A ist Pr[A(g, g x ) = x x Z p ] vernachlässigbar. Reduktion auf DLog Zeige: H nicht kollres. DLog einfach. Widerspruch zur DLog-Annahme H kollres. 34 / 52
35 Sicherheit Übungsblatt 3 Aufgabe 4 (a) Also: Angenommen H nicht kollisionresistent. Dann existiert PPT A, der mit nicht-vernachlässigbarer Wkt. Kollisionen berechnet. Konstruiere aus A einen PPT B, der: g, g x erhält, und dann irgendwie A verwendet, um x zu berechnen. 35 / 52
36 Sicherheit Übungsblatt 3 Aufgabe 4 (a) B erhält g, g x als DLog-Challenge. Er setzt h := g x und gibt g, h an A (als Hashfkt) A gibt Kollision M M aus (mit nicht-vernach. Wkt.). B berechnet daraus x: H(M) = H(M ) g M 1 h M 2 = g M 1 h M 2 g M 1+xM 2 = g M 1 +xm 2 M 1 + xm 2 = M 1 + xm 2 x = M 1 M 1. M 2 M 2 (Beobachtung: Da M M ist auch M i M i!) 36 / 52
37 Sicherheit Übungsblatt 3 Aufgabe 4 (a) Somit gilt: Pr[B(g, g x ) = x x Z p ] = Pr[A berechnet Kollision]. Pr[A berechnet Kollision] nach Annahme nicht-vernachl. Widerspruch zu DLog-Annahme! Also: A kann nicht exisiteren und somit ist H kollisionsresistent. (unter der DLog-Annahme!) 37 / 52
38 Sicherheit Übungsblatt 3 Aufgabe 4 (b) Warum kann Doktor Meta trotzdem Kollisionen berechnen? Doktor Meta kennt x! Er wählt zufällig M 1, M 2, M 1 (mit M 1 M 1 ) und löst die Gleichung (nach M 2 ) g M 1 h M 2 = g M 1 h M 2 g M 1+xM 2 = g M 1 +xm 2 M 1 + xm 2 = M 1 + xm 2 M 2 = M 1 M 1 x + M 2 M = (M 1, M 2 ), M = (M 1, M 2 ) ist Kollision. M M, da M 1 M / 52
39 Sicherheit Übungsblatt 3 Aufgabe 4 (c) Warum kann jeder Kollisionen berechnen, sobald eine Kollision öentlich bekannt wird? Wenn eine Kollision bekannt ist kann man wie in (a) x berechnen. Wenn man x kennt kann man wie in (b) beliebige Kollisionen berechnen. 39 / 52
40 Exkurs: Annahmen Wir haben einige Annahmen kennengelernt, z.b. RSA-Annahme, DLog-Annahme. Warum eigentlich? 40 / 52
41 Exkurs: Annahmen Informationstheoretische Sicherheit Für alle Angreifer ist Erfolgswkt. gleich Raten (stark vereinfacht!) Bei Verschlüsselung z.b. One-Time-Pad Informationstheoretische Sicherheit hat Grenzen! Jedes infotheo. sichere Verschlüsselungsverfahren ist quasi äquivalent zu OTP Unhandlich in Praxis, schwierig zu verwenden, zu groÿe Schlüssel etc. 41 / 52
42 Exkurs: Annahmen Informationstheoretische Sicherheit, besonders schlimm: Es gibt keine infoth. sichere Public-Key-Verfahren. Public-Key Verschlüsselung, Digitale Signaturen etc. Warum? pk ist bekannt. Berechne sk so: Führe (pk, sk ) Gen(1 k ) so oft/für alle mögl. Zufallswerte aus,... bis pk = pk. Wegen der Korrektheit ist sk dann passender Secret-Key für pk. 42 / 52
43 Exkurs: Annahmen Daher: betrachte Sicherheit aus Sicht der Komplexitätstheorie: für alle PPT A ist Wkt. vernachlässigbar... IND-CPA, IND-CCA, Kollisionsresistenz, EUF-CMA... Beseitigt alle Probleme von infoth. Sicherheit. Problem: Existenz von komplth. Sicherheit impliziert P NP. P? = NP schwieriges und ungelöstes Problem. 43 / 52
44 Exkurs: Annahmen P? = NP nicht umsonst ungelöst niemand glaubt, dass man das Problem durch Kryptographie mal so nebenbei löst. Trotzdem will man kryptographische Verfahren konstruieren. 44 / 52
45 Exkurs: Annahmen Lösung: Annahmen Verwende ungelöste, aber gut untersuchte (!), Probleme. Faktorisierung, RSA, DLog,... Konstruiere daraus Kryptographie. Krypto so schwierig, wie ungelöstes Problem 45 / 52
46 Digitale Signaturen Gen(1 k ): erzeugt Schlüsselpaar pk, sk Sign(sk, M): berechnet Signatur σ für M. Ver(pk, M, σ): Überprüft σ für M, gibt 0 oder 1 aus. Korrektheit: Ver(pk, M, σ) = 1 für alle (pk, sk) Gen(1 k ), alle M und alle σ = Sign(sk, M). Ziel eines Angreifers: Signaturen fälschen. Sicherheitsbegri: EUF-CMA. 46 / 52
47 EUF-CMA: Ablauf Herausforderer C führt (pk, sk) Gen(1 k ) aus. C stellt Sign(sk, )-Orakel für A bereit. C A Orakel pk M σ = Sign(sk, M i ) M, σ (Poly. viele Anfragen erlaubt!) Ver(pk, M, σ ) = 1? M / {M 1,..., M n }? 47 / 52
48 EUF-CMA: Beispiel Sei Σ = (Gen, Sign, Ver) EUF-CMA-sicher. Betrachte Σ mit: Gen (1 k ) := Gen(1 k ) Sign (sk, M) := Sign(sk, M M) Ver (pk, M, σ) := Ver(pk, M M, σ) Zeige: Σ ist EUF-CMA-sicher (da Σ EUF-CMA-sicher). (Korrektheit?) 48 / 52
49 EUF-CMA: Vorgehen Wie immer: Widerspruchsbeweis/Reduktion Annahme: Σ nicht EUF-CMA-sicher. Konst. aus Angreifer A für Σ Angreifer B für Σ. Widerspruch zur Sicherheit von Σ Wieder zwei Schritte: Simulation des Sign -Orakels durch Sign-Orakel. Verwendung der Fälschung von A gegen Σ um Fälschung für Σ zu nden. 49 / 52
50 σ = Sign(sk, M M) σ Simulation des Orakels B hat Zugri auf Σ-Sign-Orakel. A braucht Zugri auf Σ -Sign -Orakel. B muss Σ -Sign -Orakel simulieren. Zur Erinnerung: Sign (sk, M) := Sign(sk, M M) Sign(sk, )-Orakel M M B M A 50 / 52
51 Verwendung der Fälschung A schickt Fälschung M, σ. C M M, σ B M, σ A Ist M, σ eine gültige Fälschung für Σ so gilt: Ver(pk, M M, σ ) = Ver (pk, M, σ ) = 1 Wenn M nie von A ans Orakel geschickt, so schickt B nie M M an sein Orakel d.h. M M ist frisch (Wichtig!) 51 / 52
52 Beweisende B simuliert das EUF-CMA-Spiel für A perfekt. Gibt A eine gültige Fälschung aus, so auch B. B gewinnt A gewinnt. Also: Pr[B gewinnt] nicht vernachlässigbar. Widerspruch zur EUF-CMA-Sicherheit von Σ. Σ muss ebenfalls EUF-CMA-sicher sein. 52 / 52
Vorlesung Sicherheit
Vorlesung Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 23.05.2016 1 / 32 Überblick 1 Symmetrische Authentifikation von Nachrichten Ziel Konstruktionen MACs
MehrInstitut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Klausur Hinweise
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Klausur 21.07.2015 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen
MehrDigitale Signaturen. Einmalsignaturen Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Einmalsignaturen Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-11-04 B. Kaidel Digitale Signaturen: Einmalsignaturen KIT Die Forschungsuniversität
Mehrhttps://b.socrative.com/login/student/
Übung zur Vorlesung Sicherheit 23.06.2016 Übungsblatt 4 Björn Kaidel bjoern.kaidel@kit.edu https://b.socrative.com/login/student/ Room: SICHERHEIT Bitte gleich einloggen! 1 / 62 Feedback: Kummerkasten/Feedback
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 15.05.2017 1 / 25 Überblick 1 Hashfunktionen Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel: RSA
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 12.05.2014 1 / 26 Überblick 1 Hashfunktionen Erinnerung Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel:
MehrInstitut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Klausur Hinweise
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Klausur 22.07.2014 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen
MehrHomomorphe Verschlüsselung
Homomorphe Verschlüsselung Definition Homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : G G für Gruppen G, G. Π heißt homomorph, falls Enc(m 1 ) G Enc(m 2 ) eine gültige Verschlüsselung
MehrVoll homomorpe Verschlüsselung
Voll homomorpe Verschlüsselung Definition Voll homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : R R für Ringe R, R. Π heißt voll homomorph, falls 1 Enc(m 1 ) + Enc(m 2 ) eine gültige
MehrInstitut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Klausur Hinweise
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Klausur 22.07.2014 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen
MehrDigitale Signaturen. Sicherheitsdefinitionen Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Sicherheitsdefinitionen Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-10-27 B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen KIT Die Forschungsuniversität
MehrVorlesung Digitale Signaturen im Wintersemester 2017/-18. Socrative-Fragen aus der Vorlesung vom
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Dozenten: Björn Kaidel Vorlesung Digitale Signaturen im Wintersemester 2017/-18 Socrative-Fragen aus der Vorlesung vom 17.11.2017 1 Quiz 1:
MehrRSA Full Domain Hash (RSA-FDH) Signaturen
RSA Full Domain Hash (RSA-FDH) Signaturen Signatur RSA-FDH Sei H : {0, 1} Z N ein Random-Oracle. 1 Gen: (N, e, d) GenRSA(1 n ) mit pk = (N, e) und sk = (N, d). 2 Sign: Für eine Nachricht m {0, 1} berechne
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 06.05.2013 1 / 25 Überblick 1 Hashfunktionen Erinnerung Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel:
MehrInstitut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Nachklausur
Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz IKS Institut für Kryptographie und Sicherheit Stammvorlesung Sicherheit im Sommersemester 2013 Nachklausur 07.10.2013 Vorname: Nachname:
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Vorlesung 4 Alexander Koch (Vertretung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 KIT 2015-11-12 Universität desalexander Landes Baden-Württemberg
MehrRSA Full Domain Hash (RSA-FDH) Signaturen
RSA Full Domain Hash (RSA-FDH) Signaturen Signatur RSA-FDH Sei H : {0, 1} Z N ein Random-Oracle. 1 Gen: (N, e, d) GenRSA(1 n ) mit pk = (N, e) und sk = (N, d). 2 Sign: Für eine Nachricht m {0, 1} berechne
MehrDigitale Signaturen. seuf-cma & Pairings Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen seuf-cma & Pairings Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-01-20 B. Kaidel Digitale Signaturen: seuf-cma & Pairings KIT Die
MehrDigitale Signaturen. Einführung Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Einführung Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-10-21 G. Hartung, B. Kaidel Digitale Signaturen: Einführung KIT Die Forschungsuniversität
MehrHomomorphe Verschlüsselung
Homomorphe Verschlüsselung Definition Homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : G G für Gruppen G, G. Π heißt homomorph, falls Enc(m 1 ) G Enc(m 2 ) eine gültige Verschlüsselung
MehrDigitale Signaturen. Einführung Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Einführung Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-10-20 B. Kaidel Digitale Signaturen: Einführung KIT Die Forschungsuniversität in der Helmholtz-Gemeinschaft
MehrVorlesung Sicherheit
Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 02.05.2016 1 / 22 Überblick 1 Hashfunktionen Erinnerung Formalisierung Die Merkle-Damgård-Konstruktion
MehrDigitale Signaturen. Kapitel 8
Digitale Signaturen Kapitel 8 Handschriftliche vs. digitale Unterschrift digitalisieren mp3 Unterschrift digitale Unterschrift von D.H. für mp3? (Scannen und als Bitmap anhängen z.b. zu leicht zu fälschen)
MehrSicherheit von hybrider Verschlüsselung
Sicherheit von hybrider Verschlüsselung Satz Sicherheit hybrider Verschlüsselung Sei Π ein CPA-sicheres PK-Verschlüsselungsverfahren und Π ein KPA-sicheres SK-Verschlüsselungsverfahren. Dann ist das hybride
MehrBjörn Kaidel Alexander Koch
Übung zur Vorlesung Sicherheit Übung 1 Björn Kaidel Bjoern.Kaidel@kit.edu Alexander Koch Alexander.Koch@kit.edu 23.04.2015 1 / 31 Sicherheit Literatur zur Vorlesung Jonathan Katz, Yehuda Lindell. Introduction
MehrDigitale Signaturen. Wiederholung Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Wiederholung Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung KIT Die Forschungsuniversität
MehrPrinzipien der modernen Kryptographie Sicherheit
Prinzipien der modernen Kryptographie Sicherheit Prinzip 1 Sicherheitsziel Die Sicherheitsziele müssen präzise definiert werden. Beispiele für ungenügende Definitionen von Sicherheit Kein Angreifer kann
MehrRabin Verschlüsselung 1979
Rabin Verschlüsselung 1979 Idee: Rabin Verschlüsselung Beobachtung: Berechnen von Wurzeln in Z p ist effizient möglich. Ziehen von Quadratwurzeln in Z N ist äquivalent zum Faktorisieren. Vorteil: CPA-Sicherheit
MehrSocrative-Fragen aus der Übung vom
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Übungsleiter: Björn Kaidel, Alexander Koch Stammvorlesung Sicherheit im Sommersemester 2016 Socrative-Fragen aus der Übung vom 28.04.2016
MehrÜbungsblatt 4. Stammvorlesung Sicherheit im Sommersemester Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Übungsblatt 4 Aufgabe 1. Wir instanziieren das ElGamal-Verschlüsselungsverfahren aus der
MehrMitschrift Vorlesung Einführung in die Kryptographie vom 18. Januar 2011
Mitschrift Vorlesung Einführung in die Kryptographie vom 18. Januar 2011 Dominic Scheurer 6. Februar 2012 Inhaltsverzeichnis 30 Digitale Signaturen (cont'd) - One-Time-Signaturen (OTS) 1 31 Public-Key-Verschlüsselung
MehrVerteilte Kyroptographie
Verteilte Kyroptographie Klassische kryptographische Verfahren Kryptographische Hash-Funktionen Public-Key-Signaturen Verteilte Mechanismen Schwellwert-Signaturen Verteilt generierte Zufallszahlen Verteilte
MehrInstitut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Übungsblatt 5
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Übungsblatt 5 Aufgabe 1. (1.) In der Vorlesung wurde gezeigt, dass Lehrbuch-RSA-Signaturen
Mehr4 Kryptologie. Übersicht
4 Kryptologie Übersicht 4.1 Der erweiterte euklidische Algorithmus................................ 38 4.2 Rechnen mit Restklassen modulo p................................... 39 4.3 Der kleine Satz von
MehrPrinzipien der modernen Kryptographie Sicherheit
Prinzipien der modernen Kryptographie Sicherheit Prinzip 1 Sicherheitsmodell Das Sicherheitsmodell (Berechnungsmodell, Angriffstypen, Sicherheitsziele) muss präzise definiert werden. Berechnungsmodell:
MehrKryptographie und Komplexität
Kryptographie und Komplexität Einheit 5.2 ElGamal Systeme 1. Verschlüsselungsverfahren 2. Korrektheit und Komplexität 3. Sicherheitsaspekte Das ElGamal Verschlüsselungsverfahren Public-Key Verfahren von
MehrWS 2009/10. Diskrete Strukturen
WS 2009/10 Diskrete Strukturen Prof. Dr. J. Esparza Lehrstuhl für Grundlagen der Softwarezuverlässigkeit und theoretische Informatik Fakultät für Informatik Technische Universität München http://www7.in.tum.de/um/courses/ds/ws0910
MehrEl Gamal Verschlüsselung und seine Anwendungen
El Gamal Verschlüsselung und seine Anwendungen Andrés Guevara July 11, 2005 1 Kurze Einführung in die Kryptographie Situation: Absender will Empfänger eine Nachricht schicken. Einige Ziele der Kryptographie
Mehr3: Zahlentheorie / Primzahlen
Stefan Lucks Diskrete Strukturen (WS 2009/10) 96 3: Zahlentheorie / Primzahlen 3: Zahlentheorie / Primzahlen Stefan Lucks Diskrete Strukturen (WS 2009/10) 97 Definition 37 (Teiler, Vielfache, Primzahlen,
MehrDigitale Unterschriften. Angriffe und Sicherheitsmodelle. Bemerkungen. Angriffe und Sicherheitsmodelle
Digitale Unterschriften Auch digitale Signaturen genannt. Nachrichten aus Nachrichtenraum: M M. Signaturen aus Signaturenraum: σ S. Schlüssel sind aus Schlüsselräumen: d K 1, e K 2. SignierungsverfahrenS
MehrPublic Key Kryptographie
4. Dezember 2007 Outline 1 Einführung 2 3 4 Einführung 1976 Whitefield Diffie und Martin Hellman 2 Schlüsselprinzip Asymmetrische Verschlüsselungsverfahren public Key private Key Anwendung E-Mail PGP openpgp
MehrInstitut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Klausur
Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz IKS Institut für Kryptographie und Sicherheit Stammvorlesung Sicherheit im Sommersemester 2013 Klausur 26.07.2013 Vorname: Nachname:
MehrCPA-Sicherheit ist ungenügend
CPA-Sicherheit ist ungenügend Definition CCA CCA (=Chosen Ciphertext Attack) ist ein Angriff, bei dem der Angreifer sich Chiffretext seiner Wahl entschlüsseln lassen kann. Beispiele in denen CPA nicht
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Björn Kaidel - Vertretung für Prof. J. Müller-Quade (Folien von A. Koch) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 17.11.2016 Björn Kaidel
MehrVorlesung Sicherheit
Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 20.04.2014 1 / 28 Überblick 1 Blockchiffren Erinnerung Angriffe auf Blockchiffren 2 Formalisierung
MehrInstitut für Theoretische Informatik Prof. Dr. Dennis Hofheinz Übungsleiter: Thomas Agrikola. Stammvorlesung Sicherheit im Sommersemester 2017
Institut für Theoretische Informatik Prof. Dr. Dennis Hofheinz Übungsleiter: Thomas Agrikola Stammvorlesung Sicherheit im Sommersemester 2017 Übungsblatt 5 Aufgabe 1. (1.) In der Vorlesung wurde gezeigt,
MehrPublic Key Kryptographie
3. Juni 2006 1 Algorithmen für Langzahlen 1 RSA 1 Das Rabin-Kryptosystem 1 Diskrete Logarithmen Grundlagen der PK Kryptographie Bisher: Ein Schlüssel für Sender und Empfänger ( Secret-Key oder symmetrische
MehrDigitale Unterschriften mit ElGamal
Digitale Unterschriften mit ElGamal Seminar Kryptographie und Datensicherheit Institut für Informatik Andreas Havenstein Inhalt Einführung RSA Angriffe auf Signaturen und Verschlüsselung ElGamal Ausblick
MehrSicherheit von ElGamal
Sicherheit von ElGamal Satz CPA-Sicherheit ElGamal ElGamal Π ist CPA-sicher unter der DDH-Annahme. Beweis: Sei A ein Angreifer auf ElGamal Π mit Erfolgsws ɛ(n) := Ws[PubK cpa A,Π (n) = 1]. Wir konstruieren
MehrKryptographie - eine mathematische Einführung
Kryptographie - eine mathematische Einführung Rosa Freund 28. Dezember 2004 Überblick Grundlegende Fragestellungen Symmetrische Verschlüsselung: Blockchiffren, Hashfunktionen
MehrHardcore-Prädikat. Definition Hardcore-Prädikat. Ziel: Destilliere Komplexität des Invertierens auf ein Bit.
Hardcore-Prädikat Ziel: Destilliere Komplexität des Invertierens auf ein Bit. Definition Hardcore-Prädikat Sei Π f eine Einwegfunktion. Sei hc ein deterministischer pt Alg mit Ausgabe eines Bits hc(x)
MehrLösung zur Klausur zu Krypographie Sommersemester 2005
Lösung zur Klausur zu Krypographie Sommersemester 2005 1. Bestimmen Sie die zwei letzten Ziffern der Dezimaldarstellung von 12 34 Es gilt: 12 34 = 12 32+2 = 12 32 12 2 = 12 (25) 12 2 = ((((12 2 ) 2 ) 2
MehrBemerkungen. Orientierung. Digitale Unterschriften. Angriffe und Sicherheitsmodelle
Orientierung Haben bisher im Public-Key Bereich nur Verschlüsselung betrachtet. Haben dafür geeignete mathematische Strukturen und ihre Eigenschaften diskutiert. RSA, Rabin: Restklassenringe modulo n,
MehrPublic-Key-Verschlüsselung und Diskrete Logarithmen
Public-Key-Verschlüsselung und Diskrete Logarithmen Carsten Baum Institut für Informatik Universität Potsdam 10. Juni 2009 1 / 30 Inhaltsverzeichnis 1 Mathematische Grundlagen Gruppen, Ordnung, Primitivwurzeln
MehrStromchiffre. Algorithmus Stromchiffre
Stromchiffre Algorithmus Stromchiffre Sei G ein Pseudozufallsgenerator mit Expansionsfaktor l(n). Wir definieren Π s = (Gen, Enc, Dec) mit Sicherheitsparameter n für Nachrichten der Länge l(n). 1 Gen:
MehrExistenz von Einwegfunktionen
Existenz von Einwegfunktionen Satz Einweg-Eigenschaft von f FO Unter der Faktorisierungsannahme ist f FO eine Einwegfunktion. Beweis: f FO ist mittels FACTOR-ONEWAY effizient berechenbar. z.z.: Invertierer
MehrDas RSA-Verfahren. Proseminar Kryptographische Protokolle SS Armin Litzel
in der Praxis Proseminar Kryptographische Protokolle SS 2009 5.5.2009 in der Praxis Gliederung 1 Grundlegendes über RSA 2 in der Praxis Allgemeine Vorgehensweise zur Verschlüsselung Signieren mit RSA 3
MehrEinführung in die asymmetrische Kryptographie
!"#$$% Einführung in die asymmetrische Kryptographie Dipl.-Inform. Mel Wahl Prof. Dr. Christoph Ruland Universität Siegen Institut für digitale Kommunikationssysteme Grundlagen Verschlüsselung Digitale
MehrEffizienten MAC-Konstruktion aus der Praxis: NMAC Idee von NMAC:
Effizienten MAC-Konstruktion aus der Praxis: NMAC Idee von NMAC: Hashe m {0, 1} auf einen Hashwert in {0, 1} n. Verwende Π MAC3 für Nachrichten fixer Länge auf dem Hashwert. Wir konstruieren Π MAC3 mittels
MehrKap. 2: Fail-Stop Unterschriften
Stefan Lucks 2: Fail-Stop Unterschriften 17 Digital Unterschreiben und Bezahlen Kap. 2: Fail-Stop Unterschriften Digitale Unterschriften (Synomym: Digitale Signaturen ): Fälschen mutmaßlich hart (RSA-Wurzeln,
MehrDigitale Signaturen. Einführung und das Schnorr Signatur Schema. 1 Digitale Signaturen Einführung & das Schnorr Signatur Schema.
Digitale Signaturen Einführung und das Schnorr Signatur Schema 1 Übersicht 1. Prinzip der digitalen Signatur 2. Grundlagen Hash Funktionen Diskreter Logarithmus 3. ElGamal Signatur Schema 4. Schnorr Signatur
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 26.05.2014 1 / 32 Überblick 1 Hinweis 2 Asymmetrische Authentifikation von Nachrichten Erinnerung RSA als Signaturschema ElGamal-Signaturen Hash-Then-Sign
Mehr6.2 Asymmetrische Verschlüsselung
6.2 Asymmetrische Verschlüsselung (asymmetric encryption, public-key encryption) Prinzip (Diffie, Hellman, Merkle 1976-78): Statt eines Schlüssels K gibt es ein Schlüsselpaar K E, K D zum Verschlüsseln
MehrÜbung GSS Blatt 6. SVS Sicherheit in Verteilten Systemen
Übung GSS Blatt 6 SVS Sicherheit in Verteilten Systemen 1 Einladung zum SVS-Sommerfest SVS-Sommerfest am 12.07.16 ab 17 Uhr Ihr seid eingeladen! :-) Es gibt Thüringer Bratwürste im Brötchen oder Grillkäse
MehrKryptologie. Bernd Borchert. Univ. Tübingen SS Vorlesung. Teil 10. Signaturen, Diffie-Hellman
Kryptologie Bernd Borchert Univ. Tübingen SS 2017 Vorlesung Teil 10 Signaturen, Diffie-Hellman Signatur Signatur s(m) einer Nachricht m Alice m, s(m) Bob K priv K pub K pub Signatur Signatur (Thema Integrity
MehrKryptographie und Komplexität
Kryptographie und Komplexität Einheit 4.4 Semantische Sicherheit 1. Sicherheit partieller Informationen 2. Das Verfahren von Rabin 3. Sicherheit durch Randomisierung Semantische Sicherheit Mehr als nur
MehrVerschlüsselung. Chiffrat. Eve
Das RSA Verfahren Verschlüsselung m Chiffrat m k k Eve? Verschlüsselung m Chiffrat m k k Eve? Aber wie verteilt man die Schlüssel? Die Mafia-Methode Sender Empfänger Der Sender verwendet keine Verschlüsselung
MehrDefinition Message Authentication Code (MAC) Ein Message Authentication Code (MAC) bzgl. des Nachrichtenraumen M besteht aus den ppt Alg.
Message Authentication Code (MAC) Szenario: Integrität und Authentizität mittels MACs. Alice und Bob besitzen gemeinsamen Schlüssel k. Alice berechnet für m einen MAC-Tag t als Funktion von m und k. Alice
MehrKryptographie. Nachricht
Kryptographie Kryptographie Sender Nachricht Angreifer Empfänger Ziele: Vertraulichkeit Angreifer kann die Nachricht nicht lesen (Flüstern). Integrität Angreifer kann die Nachricht nicht ändern ohne dass
MehrAuthentikation und digitale Signatur
TU Graz 23. Jänner 2009 Überblick: Begriffe Authentikation Digitale Signatur Überblick: Begriffe Authentikation Digitale Signatur Überblick: Begriffe Authentikation Digitale Signatur Begriffe Alice und
MehrMusterlösung der Hauptklausur zur Vorlesung Sicherheit Sommersemester 2012
Institut für Kryptographie und Sicherheit Prof. Dr. Jörn Müller-Quade Musterlösung der Hauptklausur zur Vorlesung Sicherheit Sommersemester 2012 Vorname Nachname Matrikelnummer Ergebniscode Hinweise Für
MehrDigitale Unterschriften Grundlagen der digitalen Unterschriften Hash-Then-Sign Unterschriften Public-Key Infrastrukturen (PKI) Digitale Signaturen
Sommersemester 2008 Digitale Unterschriften Unterschrift von Hand : Physikalische Verbindung mit dem unterschriebenen Dokument (beides steht auf dem gleichen Blatt). Fälschen erfordert einiges Geschick
MehrKryptographie. Teilnehmer: Gruppenleiter: Humboldt-Universität zu Berlin.
Kryptographie Teilnehmer: Kevin Huber Philippe Gruse Vera Koldewitz Philipp Jakubahs Julian Zimmert Maximilian Werk Hermann-Hesse-Oberschule Heinrich-Hertz-Oberschule Gruppenleiter: Ulf Kühn Humboldt-Universität
Mehr11. Das RSA Verfahren und andere Verfahren
Chr.Nelius: Kryptographie (SS 2011) 31 11. Das RSA Verfahren und andere Verfahren Eine konkrete Realisierung eines Public Key Kryptosystems ist das sog. RSA Verfahren, das im Jahre 1978 von den drei Wissenschaftlern
MehrBjörn Kaidel Bjoern.Kaidel@kit.edu Alexander Koch Alexander.Koch@kit.edu 23.04.2015
Übung zur Vorlesung Sicherheit Übung 1 Björn Kaidel Bjoern.Kaidel@kit.edu Alexander Koch Alexander.Koch@kit.edu 23.04.2015 1 / 31 Sicherheit Literatur zur Vorlesung Jonathan Katz, Yehuda Lindell. Introduction
Mehr11. Das RSA Verfahren
Chr.Nelius: Zahlentheorie (SoSe 2017) 53 11. Das RSA Verfahren Bei einer asymmetrischen Verschlüsselung lässt sich der Schlüssel zum Entschlüsseln nicht aus dem Schlüssel zum Verschlüsseln bestimmen und
MehrKryptographische Protokolle
Kryptographische Protokolle Lerneinheit 4: Schlüsselvereinbarung Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen Sommersemester 2017 8.5.2017 Einleitung Einleitung In dieser Lerneinheit
Mehr8 Komplexitätstheorie und Kryptologie
8 Komplexitätstheorie und Kryptologie Verschlüsselung, Authentisierung,... müssen schnell berechenbar sein. Formal: polynomiell zeitbeschränkte Funktionen/Algorithmen Angreifer hat beschränkte Ressourcen.
MehrDigitale Signaturen. Kapitel 10 p. 178
Digitale Signaturen Realisierung der digitalen Signaturen ist eng verwandt mit der Public-Key-Verschlüsselung. Idee: Alice will Dokument m signieren. Sie berechnet mit dem privaten Schlüssel d die digitale
MehrLiteratur. ISM SS 2017 Teil 8/Asymmetrische Verschlüsselung
Literatur [8-1] Beutelspacher, A.; Schwenk, J.; Wolfenstetter, K.-D.: Moderne Verfahren der Kryptographie. 4. Auflage, Vieweg 2001 [8-2] Schmeh, Klaus: Kryptografie. dpunkt, 4. Auflage, 2009 [8-3] Schneier,
MehrVorlesung Datensicherheit. Sommersemester 2010
Vorlesung Datensicherheit Sommersemester 2010 Harald Baier Kapitel 3: Hashfunktionen und asymmetrische Verfahren Inhalt Hashfunktionen Asymmetrische kryptographische Verfahren Harald Baier Datensicherheit
MehrEinführung in die Kryptographie. 20.6.2011, www.privacyfoundation.ch
Einführung in die Kryptographie 20.6.2011, www.privacyfoundation.ch Kryptographie Name kryptós: verborgen, geheim gráphein: schreiben Verschlüsselung Text so umwandeln, dass man ihn nur noch entziffern/lesen
MehrKryptograhie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik
Kryptograhie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik Übersicht Zwecke der Krytographie Techniken Symmetrische Verschlüsselung( One-time Pad,
MehrEinführung in Computer Microsystems
Einführung in Computer Microsystems Kapitel 9 Entwurf eines eingebetteten Systems für Anwendungen in der IT-Sicherheit Prof. Dr.-Ing. Sorin A. Huss Fachbereich Informatik Integrierte Schaltungen und Systeme
MehrPrimzahlen. Herbert Koch Mathematisches Institut Universität Bonn Die Primfaktorzerlegung. a = st
Primzahlen Herbert Koch Mathematisches Institut Universität Bonn 12.08.2010 1 Die Primfaktorzerlegung Wir kennen die natürlichen Zahlen N = 1, 2,..., die ganzen Zahlen Z, die rationalen Zahlen (Brüche
Mehr6.3 Authentizität. Geheimhaltung: nur der Empfänger kann die Nachricht lesen. die Nachricht erreicht den Empfänger so, wie sie abgeschickt wurde
6.3 Authentizität Zur Erinnerung: Geheimhaltung: nur der Empfänger kann die Nachricht lesen Integrität: die Nachricht erreicht den Empfänger so, wie sie abgeschickt wurde Authentizität: es ist sichergestellt,
Mehr$Id: ring.tex,v /05/03 15:13:26 hk Exp $
$Id: ring.tex,v 1.13 2012/05/03 15:13:26 hk Exp $ 3 Ringe 3.1 Der Ring Z m In der letzten Sitzung hatten wir die sogenannten Ringe eingeführt, dies waren Mengen A versehen mit einer Addition + und einer
MehrRegine Schreier
Regine Schreier 20.04.2016 Kryptographie Verschlüsselungsverfahren Private-Key-Verfahren und Public-Key-Verfahren RSA-Verfahren Schlüsselerzeugung Verschlüsselung Entschlüsselung Digitale Signatur mit
MehrElGamal Verschlüsselungsverfahren (1984)
ElGamal Verschlüsselungsverfahren (1984) Definition ElGamal Verschlüsselungsverfahren Sei n ein Sicherheitsparameter. 1 Gen : (q, g) G(1 n ), wobei g eine Gruppe G der Ordnung q generiert. Wähle x R Z
MehrKryptographie und Komplexität
Kryptographie und Komplexität Einheit 5 Kryptosysteme auf der Basis diskreter Logarithmen 1. Diffie Hellman Schlüsselaustausch 2. El Gamal Systeme 3. Angriffe auf Diskrete Logarithmen 4. Elliptische Kurven
MehrBeweisbar sichere Verschlüsselung
Beweisbar sichere Verschlüsselung ITS-Wahlpflichtvorlesung Dr. Bodo Möller Ruhr-Universität Bochum Horst-Görtz-Institut für IT-Sicherheit Lehrstuhl für Kommunikationssicherheit bmoeller@crypto.rub.de 1
MehrWiederholung: Informationssicherheit Ziele
Wiederholung: Informationssicherheit Ziele Vertraulichkeit : Schutz der Information vor unberechtigtem Zugriff bei Speicherung, Verarbeitung und Übertragung Methode: Verschüsselung symmetrische Verfahren
MehrAufgabe der Kryptografie
Aufgabe der Kryptografie Eve möchte die Unterhaltung mithören und/oder ausgetauschte Informationen ändern. Alice & Bob kommunzieren über einen unsicheren Kanal. Alice & Bob nutzen Verschlüsselung und digitale
Mehr3.5 Kryptographie - eine Anwendung der Kongruenzrechnung
1 3.5 Kryptographie - eine Anwendung der Kongruenzrechnung Das Wort Kryptographie leitet sich aus der griechischen Sprache ab, nämlich aus den beiden Worten κρυπτ oς(kryptos)=versteckt, geheim und γραϕɛιν(grafein)=schreiben.
MehrKryptographie und Komplexität
Kryptographie und Komplexität Einheit 6 Kryptographie und Sicherheit 1. Kryptographische Hashfunktionen 2. Passwörter und Identifikation 3. Digitale Signaturen 4. Secret Sharing 5. Anwendungen und Ausblick
MehrSicherer MAC für Nachrichten beliebiger Länge
Sicherer MAC für Nachrichten beliebiger Länge Korollar Sicherer MAC für Nachrichten beliebiger Länge Sei F eine Pseudozufallsfunktion. Dann ist Π MAC2 für Π = Π MAC sicher. Nachteile: Für m ({0, 1} n 4
MehrZahlentheorieseminar: Einführung in die Public-Key-Kryptographie
Dozent: Dr. Ralf Gerkmann Referenten: Jonathan Paulsteiner (10939570) und Roman Lämmel ( ) Zahlentheorieseminar: Einführung in die Public-Key-Kryptographie 0. Inhalt 1. Einführung in die Kryptographie
MehrKryptographie I Symmetrische Kryptographie
Kryptographie I Symmetrische Kryptographie Alexander May Fakultät für Mathematik Ruhr-Universität Bochum Wintersemester 2009/10 Krypto I - Vorlesung 01-12.10.2009 Verschlüsselung, Kerckhoffs, Angreifer,
MehrVorlesung Mathematik 2 für Informatik
Vorlesung Mathematik 2 für Informatik Inhalt: Modulare Arithmetik Lineare Algebra Vektoren und Matrizen Lineare Gleichungssysteme Vektorräume, lineare Abbildungen Orthogonalität Eigenwerte und Eigenvektoren
MehrEINIGE GRUNDLAGEN DER KRYPTOGRAPHIE
EINIGE GRUNDLAGEN DER KRYPTOGRAPHIE Steffen Reith reith@thi.uni-hannover.de 22. April 2005 Download: http://www.thi.uni-hannover.de/lehre/ss05/kry/folien/einleitung.pdf WAS IST KRYPTOGRAPHIE? Kryptographie
Mehr