Beweisbar sichere Verschlüsselung
|
|
- Elizabeth Kästner
- vor 6 Jahren
- Abrufe
Transkript
1 Beweisbar sichere Verschlüsselung ITS-Wahlpflichtvorlesung Dr. Bodo Möller Ruhr-Universität Bochum Horst-Görtz-Institut für IT-Sicherheit Lehrstuhl für Kommunikationssicherheit 1 $Id: bsv.ltx,v /04/18 15:49:11 bm Exp $ Beweisbar sichere Verschlüsselung 1.1 Überblick Wann sind Krypto-Verfahren sicher? brauchen genaue Beschreibungen der gewünschten Eigenschaften z.b.) formalisierte Angriffsspiele Verschiedene Sicherheitsbegriffe stehen zur Auswahl: nicht X ist sicher, sondern X ist sicher im Sinne von Y Aber wirklich beweisbar sicher ist fast nichts Oft möglich ist Sicherheitsbeweis durch Reduktion: Setze Sicherheit voraus für kryptographische Primitive, folgere Sicherheit für eine Konstruktion
2 Beweisbar sichere Verschlüsselung 1. Überblick Forts.) Beweisbar sicher heißt fast immer: Beweis durch Reduktion mit hoffentlich) vernünftigen Annahmen Möglichst einfache Annahmen! Ad-hoc-Konstruktionen ohne Beweis sind oft problematisch Beweisbar sichere Verschlüsselung 1.3 Überblick Forts.) Beispiel: Blockchiffre AES u. a.) als Primitive K {0,1} k E K : {0,1} l {0,1} l D K : {0,1} l {0,1} l Verschlüsselung) Entschlüsselung) D K EK p) ) = p für alle K {0,1} k, p {0,1} l Grundlegende Sicherheitseigenschaft informell): Ist K unbekannt, soll sich E K wie zufällig verhalten
3 Beweisbar sichere Verschlüsselung 1.4 Überblick Forts.) Inhalte der Vorlesung: Konzepte und Techniken für beweisbare Sicherheit in der Kryptographie Sicherheitsbegriffe für Verschlüsselung Grundlegende Konstruktionen Voraussetzungen: Grundkenntnisse Kryptographie Rechnen mit Wahrscheinlichkeiten Beweisbar sichere Verschlüsselung 1.5 Zum Vorgehen Folien und Aufgabenblätter: Übungen: Mo IC 1/161) ab Lösen der Übungsblätter teilweise bewertet... es steht vorher fest, welche!) Ergänzende Literaturempfehlung mit zuviel Inhalt für +1 SWS...): Mihir Bellare, Phillip Rogaway, Introduction to Modern Cryptography
4 Beweisbar sichere Verschlüsselung 1.6 Sicherheit einer Blockchiffre K {0,1} k =: K E K : {0,1} l {0,1} l Jedes E K ist eine Permutation, also injektiv: E K p 1 ) E K p ) für p 1 p Grundlegende Sicherheitseigenschaft: E K soll wie zufällig aussehen Beweisbar sichere Verschlüsselung 1.7 Formalisierung durch ein Angriffsspiel: Betrachte einen Angreifer Gegner, adversary) A A ist probabilistischer Algorithmus d. h. mit Zufallszahlengenerator), interagiert mit einer Funktion f : {0,1} l {0,1} l f ist black box für A: A kann Anfragen p senden und erhält jeweils fp); kein anderer Zugriff auf f Wir sagen auch: A hat Orakel-Zugriff auf f... oder auch: auf f ) Wir schreiben auch: A f ) Schließlich gibt A ein Bit aus 0 oder 1). Wir schreiben A f ) 0 oder A f ) 1.
5 Beweisbar sichere Verschlüsselung 1.8 Für f ) können wir z.b. E K einsetzen mit K K): A E K ) K $ K heiße: K wird mit Gleichverteilung zufällig gewählt. Dann können wir betrachten: [ A E K ) 1 ] Pr K $ K Das ist eine Zahl irgendwo zwischen 0 z.b., wenn A immer 0 ausgibt) und 1 z.b., wenn A immer 1 ausgibt). Oder wähle eine zufällige Permutation d.h. Bijektion) π: {0,1} l {0,1} l ; wir schreiben π Perm{0,1} l ). Wir können betrachten: [ Pr π $ Perm{0,1} l ) A π ) 1 ] Beweisbar sichere Verschlüsselung 1.9 Für Vergleich von E K Blockchiffre) mit Zufallspermutation betrachte Adv PRP E,A := Pr K $ K[ A E K ) 1 ] [ Pr π $ Perm{0,1} l ) A π ) 1 ] Das ist eine Zahl zwischen 1 und 1 Wir nennen sie den Vorteil advantage) von A gegen die Blockchiffre, genauer: PRP-Vorteil PRP = pseudo-random permutation) Was besagt die Zahl Adv PRP E,A? Ein ausgeschmücktes Angriffsspiel macht s deutlicher...
6 Beweisbar sichere Verschlüsselung 1.10 Neuer Ablauf des Angriffsspiels: Wähle b $ {0,1} Falls b = 1, lass A EK ) ablaufen mit K $ K; falls b = 0, lass A π ) ablaufen mit π $ Perm{0,1} l ). Die Ausgabe von A nennen wir b Interpretation: A versucht, mit b das versteckte Bit b zu erraten Setze Adv E,A = Pr[ b = b] 1 ). Beweisbar sichere Verschlüsselung 1.11 Adv E,A = Pr[ b = b] 1 ) Das ist eine Zahl zwischen 1 und 1. Wert 1 heißt: Wert 0 heißt: A rät immer richtig. A ist nicht besser als zufällig.... deshalb Vorteil advantage)! Wert 1 heißt: Umgedrehtes A rät immer richtig! Gib 1 aus gdw. A 0)
7 Beweisbar sichere Verschlüsselung 1.1 Adv PRP E,A = Pr K $ K[ A E K ) 1 ] [ Pr π $ Perm{0,1} l ) A π ) 1 ] = Pr[ b = 1 b = 1] Pr[ b = 1 b = 0] ) = Pr[ b = 1 b = 1] 1 Pr[ b = 0 b = 0] ) = Pr[ b = 1 b = 1] + Pr[ b = 0 b = 0] 1 Pr[ b = 1 b = 1] = Pr[b = 1] Pr[ b = 1 b = 1] = 1 + Pr[ b ) = 0 b = 0] 1 Pr[b = 0] + Pr[ b = 0 b = 0] 1 = Pr[ b = 1 b = 1] + Pr[ b = 0 b = 0] = Pr[ b = b] ) 1 = Pr[ b = b] 1 ) ) 1 ) 1 = Adv E,A Beweisbar sichere Verschlüsselung 1.13 Wir haben also zwei Formulierungen für die gleiche Größe: Adv PRP E,A = Pr K $ K[ A E K ) 1 ] [ Pr π $ Perm{0,1} l ) A π ) 1 ] und im ausgeschmückten Angriffsspiel) Adv PRP E,A = Pr[ b = b] 1 ). Wir nennen E sicher hier speziell: PRP-sicher), wenn der Vorteil Adv PRP E,A für jeden denkbaren Angreifer A verschwindend gering bleibt.
8 Beweisbar sichere Verschlüsselung 1.14 Wir nennen E sicher hier speziell: PRP-sicher), wenn der Vorteil Adv PRP E,A für jeden denkbaren Angreifer A verschwindend gering bleibt. Beides sind bewusst schwammige Kriterien! Welche Angreifer sind denkbar? Begrenzte Ressourcen, insbesondere Zeit) Welcher Vorteil gilt noch als verschwindend gering? Für Beweise durch Reduktion muss man diese Fragen oft nicht beantworten: beliebige quantitative Annahmen ergeben entsprechende Folgerungen. Beweisbar sichere Verschlüsselung 1.15 Rückblick Beweisbar sichere Kryptographie ist selten vollständig beweisbar sicher Sicherheitsbeweise brauchen Voraussetzungen für Primitive... z. B. AES als PRP-sicher Details von AES bleiben hier außen vor!) Hantieren mit formalen Sicherheitsbegriffen erfordert Stochastik bedingte Wahrscheinlichkeiten)
9 Beweisbar sichere Verschlüsselung 1.16 Vorschau Sicherheitsbegriffe für Einmal-Verschlüsselung Sicherheitsbegriffe für symmetrische Verschlüsselung
Beweisbar sichere Verschlüsselung
Beweisbar sichere Verschlüsselung ITS-Wahlpflichtvorlesung Dr. Bodo Möller Ruhr-Universität Bochum Horst-Görtz-Institut für IT-Sicherheit Lehrstuhl für Kommunikationssicherheit bmoeller@crypto.rub.de 9
MehrBeweisbar sichere Verschlüsselung
Beweisbar sichere Verschlüsselung ITS-Wahlpflichtvorlesung Dr. Bodo Möller Ruhr-Universität Bochum Horst-Görtz-Institut für IT-Sicherheit Lehrstuhl für Kommunikationssicherheit bmoeller@crypto.rub.de 11
MehrBeweisbar sichere Verschlüsselung
Beweisbar sichere Verschlüsselung ITS-Wahlpflichtvorlesung Dr. Bodo Möller Ruhr-Universität Bochum Horst-Görtz-Institut für IT-Sicherheit Lehrstuhl für Kommunikationssicherheit bmoeller@crypto.rub.de 6
MehrKryptographie I Symmetrische Kryptographie
Kryptographie I Symmetrische Kryptographie Eike Kiltz 1 Fakultät für Mathematik Ruhr-Universität Bochum Wintersemester 2011/12 1 Basierend auf Folien von Alexander May. Krypto I - Vorlesung 01-10.10.2011
MehrBeweisbar sichere Verschlüsselung
Beweisbar sichere Verschlüsselung ITS-Wahlpflichtvorlesung Dr. Bodo Möller Ruhr-Universität Bochum Horst-Görtz-Institut für IT-Sicherheit Lehrstuhl für Kommunikationssicherheit bmoeller@crypto.rub.de 12
MehrKryptographie I Symmetrische Kryptographie
Kryptographie I Symmetrische Kryptographie Alexander May Fakultät für Mathematik Ruhr-Universität Bochum Wintersemester 2009/10 Krypto I - Vorlesung 01-12.10.2009 Verschlüsselung, Kerckhoffs, Angreifer,
MehrKryptographie I Symmetrische Kryptographie
Kryptographie I Symmetrische Kryptographie Alexander May Fakultät für Mathematik Ruhr-Universität Bochum Wintersemester 2012/13 Krypto I - Vorlesung 01-08.10.2012 Verschlüsselung, Kerckhoffs, Angreifer,
MehrPrinzipien der modernen Kryptographie Sicherheit
Prinzipien der modernen Kryptographie Sicherheit Prinzip 1 Sicherheitsziel Die Sicherheitsziele müssen präzise definiert werden. Beispiele für ungenügende Definitionen von Sicherheit Kein Angreifer kann
MehrVorlesung Sicherheit
Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 20.04.2014 1 / 28 Überblick 1 Blockchiffren Erinnerung Angriffe auf Blockchiffren 2 Formalisierung
MehrPrinzipien der modernen Kryptographie Sicherheit
Prinzipien der modernen Kryptographie Sicherheit Prinzip 1 Sicherheitsmodell Das Sicherheitsmodell (Berechnungsmodell, Angriffstypen, Sicherheitsziele) muss präzise definiert werden. Berechnungsmodell:
MehrKryptographie I Symmetrische Kryptographie
Kryptographie I Symmetrische Kryptographie Eike Kiltz 1 Fakultät für Mathematik Ruhr-Universität Bochum Wintersemester 2014/15 1 Basierend auf Folien von Alexander May. Krypto - Vorlesung 01-6.10.2014
MehrMessage Authentication Codes
Message Authentication Codes Martin Schütte 30. Nov. 2004 Gliederung Denitionen Grundlegende Begrie Konstruktion von MACs häug benutzte MACs Einschätzung der Sicherheit Bedingungslos sichere MACs zusätzliche
MehrVorlesung Sicherheit
Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 02.05.2016 1 / 22 Überblick 1 Hashfunktionen Erinnerung Formalisierung Die Merkle-Damgård-Konstruktion
MehrPseudo-Zufallsgeneratoren basierend auf dem DLP
Seminar Codes und Kryptografie SS 2004 Struktur des Vortrags Struktur des Vortrags Ziel Motivation 1 Einleitung Ziel Motivation 2 Grundlegende Definitionen Zufallsgeneratoren 3 Generator Sicherheit 4 Generator
MehrStromchiffre. Algorithmus Stromchiffre
Stromchiffre Algorithmus Stromchiffre Sei G ein Pseudozufallsgenerator mit Expansionsfaktor l(n). Wir definieren Π s = (Gen, Enc, Dec) mit Sicherheitsparameter n für Nachrichten der Länge l(n). 1 Gen:
MehrCPA-Sicherheit ist ungenügend
CPA-Sicherheit ist ungenügend Definition CCA CCA (=Chosen Ciphertext Attack) ist ein Angriff, bei dem der Angreifer sich Chiffretext seiner Wahl entschlüsseln lassen kann. Beispiele in denen CPA nicht
Mehr6: Diskrete Wahrscheinlichkeit
Stefan Lucks Diskrete Strukturen (WS 2009/10) 219 6: Diskrete Wahrscheinlichkeit 6: Diskrete Wahrscheinlichkeit Stefan Lucks Diskrete Strukturen (WS 2009/10) 220 Wahrscheinlichkeitsrechnung Eines der wichtigsten
MehrÜbung zur Vorlesung Sicherheit Übungsblatt 3. Björn Kaidel 1 / 52
Übung zur Vorlesung Sicherheit 21.05.2014 Übungsblatt 3 Björn Kaidel bjoern.kaidel@kit.edu 1 / 52 Kummerkasten Bitte helleren Laserpointer verwenden. Sind die Skriptlinks vertauscht? Nein! Wegen allgemeiner
MehrInstitut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Nachklausur
Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz IKS Institut für Kryptographie und Sicherheit Stammvorlesung Sicherheit im Sommersemester 2013 Nachklausur 07.10.2013 Vorname: Nachname:
MehrHomomorphe Verschlüsselung
Homomorphe Verschlüsselung Definition Homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : G G für Gruppen G, G. Π heißt homomorph, falls Enc(m 1 ) G Enc(m 2 ) eine gültige Verschlüsselung
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Vorlesung 4 Alexander Koch (Vertretung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 KIT 2015-11-12 Universität desalexander Landes Baden-Württemberg
MehrDas Quadratische Reste Problem
Das Quadratische Reste Problem Definition Pseudoquadrate Sei N = q mit, q rim. Eine Zahl a heißt Pseudoquadrat bezüglich N, falls ( a ) = 1 und a / QR N. N Wir definieren die Srache QUADRAT:= {a Z N (
MehrEINIGE GRUNDLAGEN DER KRYPTOGRAPHIE
EINIGE GRUNDLAGEN DER KRYPTOGRAPHIE Steffen Reith reith@thi.uni-hannover.de 22. April 2005 Download: http://www.thi.uni-hannover.de/lehre/ss05/kry/folien/einleitung.pdf WAS IST KRYPTOGRAPHIE? Kryptographie
MehrVorlesung Digitale Signaturen im Wintersemester 2017/-18. Socrative-Fragen aus der Vorlesung vom
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Dozenten: Björn Kaidel Vorlesung Digitale Signaturen im Wintersemester 2017/-18 Socrative-Fragen aus der Vorlesung vom 17.11.2017 1 Quiz 1:
MehrVorlesung Sicherheit
Vorlesung Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 23.05.2016 1 / 32 Überblick 1 Symmetrische Authentifikation von Nachrichten Ziel Konstruktionen MACs
MehrSocrative-Fragen aus der Übung vom
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Übungsleiter: Björn Kaidel, Alexander Koch Stammvorlesung Sicherheit im Sommersemester 2016 Socrative-Fragen aus der Übung vom 28.04.2016
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 17.04.2014 1 / 26 Logistisches Überschneidungsfreiheit Vorlesung: nachfragen Übungsblatt nicht vergessen Frage: Wie viele würden korrigiertes Übungsblatt nutzen?
MehrErinnerung Blockchiffre
Erinnerung Blockchiffre Definition schlüsselabhängige Permutation Seien F, F 1 pt Algorithmen. F heißt schlüsselabhängige Permutation auf l Bits falls 1 F berechnet eine Funktion {0, 1} n {0, 1} l {0,
MehrBeweisbar sichere Verschlüsselung 1
Beweisbar sichere Verschlüsselung 1 zu ufgabe 1.1 Sei K, E, D ein Verschlüsselungsschema mit einer Plaintext-Menge M = {0, 1} l, l 1. Nehmen wir an, dieses Verschlüsselungsschema sei völlig unsicher in
MehrDas Krypto-Inferenzsystem
Das Krypto-Inferenzsystem Stefan Pyka Siemens AG, CT IC 3 30.09.2003 Inhalt Warum ein Inferenzsystem? Eigenschaften des Inferenzsystems Funktionsweise des Inferenzsystems Beschreibung der Regelmenge Beispiel
MehrHardcore-Prädikat. Definition Hardcore-Prädikat. Ziel: Destilliere Komplexität des Invertierens auf ein Bit.
Hardcore-Prädikat Ziel: Destilliere Komplexität des Invertierens auf ein Bit. Definition Hardcore-Prädikat Sei Π f eine Einwegfunktion. Sei hc ein deterministischer pt Alg mit Ausgabe eines Bits hc(x)
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 15.05.2017 1 / 25 Überblick 1 Hashfunktionen Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel: RSA
MehrEl Gamal Verschlüsselung und seine Anwendungen
El Gamal Verschlüsselung und seine Anwendungen Andrés Guevara July 11, 2005 1 Kurze Einführung in die Kryptographie Situation: Absender will Empfänger eine Nachricht schicken. Einige Ziele der Kryptographie
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 12.05.2014 1 / 26 Überblick 1 Hashfunktionen Erinnerung Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel:
MehrExistenz von Einwegfunktionen
Existenz von Einwegfunktionen Satz Einweg-Eigenschaft von f FO Unter der Faktorisierungsannahme ist f FO eine Einwegfunktion. Beweis: f FO ist mittels FACTOR-ONEWAY effizient berechenbar. z.z.: Invertierer
MehrKap.I: Monoalphabetische Verschlüsselungen 2. Affine Chiffre
Chr.Nelius: Kryptographie (SS 2009) 6 Kap.I: Monoalphabetische Verschlüsselungen 2. Affine Chiffre A) Additive Chiffre (Caesar Verschlüsselung) (2.1) BEM: a) Die Nummerierung der Buchstaben des Klartextalphabets
MehrKryptographie I Symmetrische Kryptographie
Kryptographie I Symmetrische Kryptographie Alexander May Fakultät für Mathematik Ruhr-Universität Bochum Wintersemester 2010/11 Krypto I - Vorlesung 01-11.10.2010 Verschlüsselung, Kerckhoffs, Angreifer,
MehrIT-Sicherheit: Kryptographie
IT-Sicherheit: Kryptographie Kryptologie = Kryptographie + Kryptoanalyse! Kryptographie: Methoden zur Ver- und Entschlüsselung von Nachrichten und damit zusammenhängende Methoden! Kryptoanalyse: Entschlüsselung
MehrAlgorithmische Kryptographie
Algorithmische Kryptographie Walter Unger Lehrstuhl für Informatik I 16. Februar 2007 Einführung und moderne Sysmetrische Verfahren 1 Definitionen Verschlüsselung und Entschlüsselung, Anforderungen 2 Einfache
MehrBjörn Kaidel Alexander Koch
Übung zur Vorlesung Sicherheit Übung 1 Björn Kaidel Bjoern.Kaidel@kit.edu Alexander Koch Alexander.Koch@kit.edu 23.04.2015 1 / 31 Sicherheit Literatur zur Vorlesung Jonathan Katz, Yehuda Lindell. Introduction
Mehr13. Woche: NP-Vollständigkeit Satz von Cook-Levin Anwendungen in der Kryptographie
13 Woche: NP-Vollständigkeit Satz von Cook-Levin Anwendungen in der Kryptographie 13 Woche: NP-Vollständigkeit, Satz von Cook-Levin, Anwendungen 276/ 333 N P-Vollständigkeit Ḋefinition NP-vollständig Sei
MehrAlgorithmentheorie 1. Vorlesung
Algorithmentheorie 1. Vorlesung Martin Dietzfelbinger 6. April 2006 FG KTuEA, TU Ilmenau AT 06.04.2006 Methode, Material Vorlesung Vorlesungsskript (Netz, Copyshop) Folien (im Netz) Vorlesung nachbereiten!
MehrKryptographie - eine mathematische Einführung
Kryptographie - eine mathematische Einführung Rosa Freund 28. Dezember 2004 Überblick Grundlegende Fragestellungen Symmetrische Verschlüsselung: Blockchiffren, Hashfunktionen
Mehr8. Woche Quadratische Reste und Anwendungen. 8. Woche: Quadratische Reste und Anwendungen 163/ 238
8 Woche Quadratische Reste und Anwendungen 8 Woche: Quadratische Reste und Anwendungen 163/ 238 Quadratische Reste Ḋefinition Quadratischer Rest Sei n N Ein Element a Z n heißt quadratischer Rest in Z
MehrSicherheit von ElGamal
Sicherheit von ElGamal Satz CPA-Sicherheit ElGamal ElGamal Π ist CPA-sicher unter der DDH-Annahme. Beweis: Sei A ein Angreifer auf ElGamal Π mit Erfolgsws ɛ(n) := Ws[PubK cpa A,Π (n) = 1]. Wir konstruieren
MehrKryptographie und Komplexität
Kryptographie und Komplexität Einheit 4.4 Semantische Sicherheit 1. Sicherheit partieller Informationen 2. Das Verfahren von Rabin 3. Sicherheit durch Randomisierung Semantische Sicherheit Mehr als nur
MehrVortrag zum Proseminar: Kryptographie
Vortrag zum Proseminar: Kryptographie Thema: Oliver Czernik 6.12.2005 Historie Michael Rabin Professor für Computerwissenschaft Miller-Rabin-Primzahltest Januar 1979 April 1977: RSA Asymmetrisches Verschlüsselungssystem
MehrDefinition Message Authentication Code (MAC) Ein Message Authentication Code (MAC) bzgl. des Nachrichtenraumen M besteht aus den ppt Alg.
Message Authentication Code (MAC) Szenario: Integrität und Authentizität mittels MACs. Alice und Bob besitzen gemeinsamen Schlüssel k. Alice berechnet für m einen MAC-Tag t als Funktion von m und k. Alice
MehrÜbung zur Vorlesung Sicherheit Übung 1. Thomas Agrikola
Übung zur Vorlesung Sicherheit Übung 1 Thomas Agrikola Thomas.Agrikola@kit.edu 04.05.2017 1 / 36 Literatur zur Vorlesung Jonathan Katz, Yehuda Lindell. Introduction to Modern Cryptography. ISBN 1-584-88551-3.
MehrSurjektive, injektive und bijektive Funktionen.
Kapitel 1: Aussagen, Mengen, Funktionen Surjektive, injektive und bijektive Funktionen. Definition. Sei f : M N eine Funktion. Dann heißt f surjektiv, falls die Gleichung f(x) = y für jedes y N mindestens
MehrKryptosystem von Paillier: Analyse und Verbesserungen
Kryptosystem von Paillier: Analyse und Verbesserungen Andreas Kumlehn 31. März 2006 Inhalt 1 Einleitung 3 2 Grundlagen 4 2.1 Laufzeiten........................................... 4 2.2 Sicherheit...........................................
MehrMusterlösung der Hauptklausur zur Vorlesung Sicherheit Sommersemester 2012
Institut für Kryptographie und Sicherheit Prof. Dr. Jörn Müller-Quade Musterlösung der Hauptklausur zur Vorlesung Sicherheit Sommersemester 2012 Vorname Nachname Matrikelnummer Ergebniscode Hinweise Für
MehrDas Zweikinderproblem
Das Zweikinderproblem Definition Zweikinderproblem Eine Familie besitzt zwei Kinder. Wie groß ist die Wahrscheinlichkeit Pr[ Beide Kinder sind Mädchen. Eines der Kinder ist ein Mädchen ]? Lösung: Sei A
MehrGrundlagen der Verschlüsselung und Authentifizierung (1)
Grundlagen der Verschlüsselung und Authentifizierung (1) Proseminar im SS 2010 Friedrich-Alexander-Universität Erlangen-Nürnberg 18.05.2010 1 Motivation
MehrDatensicherheit und Shannons Theorie
Universität Potsdam Institut für Informatik Seminar Kryptographie und Datensicherheit Datensicherheit und Shannons Theorie Marco Michael 2. November 2006 1 / 31 Inhalt Kryptographie und Datensicherheit
MehrDigitale Signaturen. Sicherheitsdefinitionen Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Sicherheitsdefinitionen Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-10-27 B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen KIT Die Forschungsuniversität
MehrEinführung in die Kryptographie
Einführung in die Kryptographie Stefan Katzenbeisser Institut für Informatik Technische Universität München skatzenbeisser@acm.org Kryptographie p.1/54 Vom Zeichen zum Code Älteste Form: Codes repräsentieren
MehrDenn es geh t um ihr Geld: Kryptographie
Denn es geht um ihr Geld: Kryptographie Ilja Donhauser Inhalt Allgemeines Symmetrisch Asymmetrisch Hybridverfahren Brute Force Primzahlen Hashing Zertifikate Seite 2 Allgemeines Allgemeines Wissenschaft
MehrSkript und Übungen Teil II
Vorkurs Mathematik Herbst 2009 M. Carl E. Bönecke Skript und Übungen Teil II Das erste Semester wiederholt die Schulmathematik in einer neuen axiomatischen Sprache; es ähnelt damit dem nachträglichen Erlernen
MehrSignale und Codes Vorlesung 4
Signale und Codes Vorlesung 4 Nico Döttling December 6, 2013 1 / 18 2 / 18 Letztes Mal Allgemeine Hamming Codes als Beispiel linearer Codes Hamming Schranke: Obere Schranke für k bei gegebenem d bzw. für
MehrEntwicklung sicherer Software
Entwicklung sicherer Software SS 2017 Prof. Dr. holger.schmidt[at]hs-duesseldorf.de Hochschule Düsseldorf Fachbereich Medien Professur für Informatik, insb. IT-Sicherheit http://medien.hs-duesseldorf.de/schmidt
MehrLösung zur Klausur zu Krypographie Sommersemester 2005
Lösung zur Klausur zu Krypographie Sommersemester 2005 1. Bestimmen Sie die zwei letzten Ziffern der Dezimaldarstellung von 12 34 Es gilt: 12 34 = 12 32+2 = 12 32 12 2 = 12 (25) 12 2 = ((((12 2 ) 2 ) 2
MehrFolglich besitzt die kanonische Faktorisierung von Permutationen der Ordnung 2 nur 2-Zykeln, also Transpositionen, als Elemente.
Stefan K. 5.Übungsblatt Algebra I Aufgabe 1 gesucht: die Elemente von S n mit der Ordnung 2 Lösung: Wir betrachten die kanonische Faktorisierung einer Permutation π S n : jede Permutation π e Sn ist bis
MehrInstitut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Klausur
Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz IKS Institut für Kryptographie und Sicherheit Stammvorlesung Sicherheit im Sommersemester 2013 Klausur 26.07.2013 Vorname: Nachname:
MehrDer Euklidische Algorithmus Dieter Wolke
Der Euklidische Algorithmus Dieter Wolke Einleitung. Für den Begriff Algorithmus gibt es keine einheitliche Definition. Eine sehr knappe findet sich in der Encyclopaedia Britannica (1985) A systematic
MehrProbabilistische Primzahltests
23.01.2006 Motivation und Überblick Grundsätzliches Vorgehen Motivation und Überblick Als Primzahltest bezeichnet man ein mathematisches Verfahren, mit dem ermittelt wird, ob eine gegebene Zahl eine Primzahl
MehrKryptographie. Nachricht
Kryptographie Kryptographie Sender Nachricht Angreifer Empfänger Ziele: Vertraulichkeit Angreifer kann die Nachricht nicht lesen (Flüstern). Integrität Angreifer kann die Nachricht nicht ändern ohne dass
MehrAufgabenblatt 1: Abgabe am vor der Vorlesung
Aufgabenblatt 1: Abgabe am 17.09.09 vor der Vorlesung Aufgabe 1. a.) (1P) Geben Sie die Lösungsmenge der folgenden Gleichung an: 6x + y = 10. Zeichnen Sie die Lösungsmenge in ein Koordinatensystem. b.)
MehrZufallszahlenerzeugung
Zufallszahlenerzeugung Anwendunsgebiete: z.b.: - Computerspiele - Kryptographie - Monte-Carlo-Methoden - Simulation Melanie Kaspar, Prof. Dr. B. Grabowski 1 Wie erzeuge ich Zufallszahlen, die sich so verhalten,
MehrAlice (A) und Bob (B) wollen sicher kommunizieren (vgl. Schutzziele) Oskar (O) versucht, die Schutzziele zu durchbrechen
Vorlesung am 21.04.2015 3 Symmetrische Verschlüsselung Alice (A) und Bob (B) wollen sicher kommunizieren (vgl. Schutzziele) Oskar (O) versucht, die Schutzziele zu durchbrechen Passiver Angri : Abhören
MehrDiskrete Strukturen Kapitel 2: Grundlagen (Relationen)
WS 2016/17 Diskrete Strukturen Kapitel 2: Grundlagen (Relationen) Hans-Joachim Bungartz Lehrstuhl für wissenschaftliches Rechnen Fakultät für Informatik Technische Universität München http://www5.in.tum.de/wiki/index.php/diskrete_strukturen_-_winter_16
MehrKryptographie I Symmetrische Kryptographie
Kryptographie I Symmetrische Kryptographie Alexander May Fakultät für Mathematik Ruhr-Universität Bochum Wintersemester 2012/13 Krypto I - Vorlesung 01-08.10.2012 Verschlüsselung, Kerckhoffs, Angreifer,
MehrRabin Verschlüsselung 1979
Rabin Verschlüsselung 1979 Idee: Rabin Verschlüsselung Beobachtung: Berechnen von Wurzeln in Z p ist effizient möglich. Ziehen von Quadratwurzeln in Z N ist äquivalent zum Faktorisieren. Vorteil: CPA-Sicherheit
MehrLineare Algebra 6. Übungsblatt
Lineare Algebra 6. Übungsblatt Fachbereich Mathematik M. Schneider 16.05.01 Konstantin Pertschik, Daniel Körnlein Gruppenübung Aufgabe G19 Berechnen Sie das inverse Element bzgl. Multiplikation in der
MehrBetriebsarten für Blockchiffren
Betriebsarten für Blockchiffren Prof. Dr. Rüdiger Weis TFH Berlin Sommersemester 2008 Betriebsarten für Blockchiffren Was ist eine Betriebsart (engl. Mode of Operation )? Blockchiffre wird genutzt, um
MehrSicherer MAC für Nachrichten beliebiger Länge
Sicherer MAC für Nachrichten beliebiger Länge Korollar Sicherer MAC für Nachrichten beliebiger Länge Sei F eine Pseudozufallsfunktion. Dann ist Π MAC2 für Π = Π MAC sicher. Nachteile: Für m ({0, 1} n 4
MehrEinführung. Wahrscheinlichkeit. 1 Wahrscheinlichkeit: Definition und Interpretation. 2 Elementare Wahrscheinlichkeitsrechnung, bedingte
Einführung 1 Wahrscheinlichkeit: Definition und Interpretation 2 Elementare Wahrscheinlichkeitsrechnung, bedingte Wahrscheinlichkeit Axiome nach Kolmogorov Gegeben sei ein Zufallsexperiment mit Ergebnisraum
MehrGraphentheorie 1. Diskrete Strukturen. Sommersemester Uta Priss ZeLL, Ostfalia. Hausaufgaben Graph-Äquivalenz SetlX
Graphentheorie 1 Diskrete Strukturen Uta Priss ZeLL, Ostfalia Sommersemester 2016 Diskrete Strukturen Graphentheorie 1 Slide 1/19 Agenda Hausaufgaben Graph-Äquivalenz SetlX Diskrete Strukturen Graphentheorie
Mehr2. Symmetrische Gruppen
14 Andreas Gathmann 2 Symmetrische Gruppen Im letzten Kapitel haben wir Gruppen eingeführt und ihre elementaren Eigenschaften untersucht Wir wollen nun eine neue wichtige Klasse von Beispielen von Gruppen
MehrInstitut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Klausur Hinweise
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Klausur 22.07.2014 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen
MehrÜbungen zur Vorlesung Systemsicherheit
Übungen zur Vorlesung Systemsicherheit Symmetrische Kryptographie Tilo Müller, Reinhard Tartler, Michael Gernoth Lehrstuhl Informatik 4 10. November 2010 c (Lehrstuhl Informatik 4) Übungen zur Vorlesung
MehrDiskrete Mathematik II
Diskrete Mathematik II Alexander May Fakultät für Mathematik Ruhr-Universität Bochum Sommersemester 2011 DiMa II - Vorlesung 01-04.04.2011 1 / 252 Organisatorisches Vorlesung: Mo 12-14 in HZO 70, Di 09-10
MehrEinführung in die Kryptographie
Ä Johannes Buchmann Einführung in die Kryptographie Dritte, erweiterte Auflage Inhaltsverzeichnis 1. Einleitung 1 2. Ganze Zahlen 3 2.1 Grundlagen 3 2.2 Teilbarkeit 4 2.3 Darstellung ganzer Zahlen 5 2.4
MehrZur Zykelschreibweise von Permutationen
Zur Zykelschreibweise von Permutationen Olivier Sète 16. Juni 2010 1 Grundlagen Definition 1.1. Eine Permutation von {1, 2,..., n} ist eine bijektive Abbildung σ : {1, 2,..., n} {1, 2,..., n}, i σ(i).
MehrEinführung in die Kryptographie - Multiple Choice Quiz
Technische Universität Darmstadt Einführung in die Kryptographie - Multiple Choice Quiz Oren Halvani. M.Sc. Inf ormatik. Matrikel N o. Disclaimer Um was für ein Dokument handelt es sich hier genau?. Im
MehrWiederholung. Symmetrische Verfahren: klassische Verfahren / grundlegende Prinzipien: Substitution, Transposition, One-Time-Pad DES AES
Wiederholung Symmetrische Verfahren: klassische Verfahren / grundlegende Prinzipien: Substitution, Transposition, One-Time-Pad DES AES Mathematische Grundlagen: algebraische Strukturen: Halbgruppe, Monoid,
Mehr3: Zahlentheorie / Primzahlen
Stefan Lucks Diskrete Strukturen (WS 2009/10) 96 3: Zahlentheorie / Primzahlen 3: Zahlentheorie / Primzahlen Stefan Lucks Diskrete Strukturen (WS 2009/10) 97 Definition 37 (Teiler, Vielfache, Primzahlen,
MehrMusterlösung zur Hauptklausur Theoretische Grundlagen der Informatik Wintersemester 2013/14
Institut für Theoretische Informatik Prof. Dr. Jörn Müller-Quade Musterlösung zur Hauptklausur Theoretische Grundlagen der Informatik Wintersemester 23/4 Vorname Nachname Matrikelnummer Hinweise Für die
MehrEinführung in die Kryptographie
Einführung in die Kryptographie Stefan Katzenbeisser Institut für Informatik Technische Universität München skatzenbeisser@acm.org Kryptographie p.1/54 Vom Zeichen zum Code Älteste Form: Codes repräsentieren
Mehr6.2 Perfekte Sicherheit
04 6.2 Perfekte Sicherheit Beweis. H(B AC) + H(A C) = H(ABC) H(AC) + H(AC) H(C) Wegen gilt Einsetzen in die Definition gibt = H(AB C). H(A BC) = H(AB C) H(B C). I(A; B C) = H(A C) H(AB C) + H(B C). Da
MehrNetzwerktechnologien 3 VO
Netzwerktechnologien 3 VO Univ.-Prof. Dr. Helmut Hlavacs helmut.hlavacs@univie.ac.at Dr. Ivan Gojmerac gojmerac@ftw.at Bachelorstudium Medieninformatik SS 2012 Kapitel 8 - Netzwerksicherheit 8.1 Was ist
MehrDie (Un-)Sicherheit von DES
Die (Un-)Sicherheit von DES Sicherheit von DES: Bester praktischer Angriff ist noch immer die Brute-Force Suche. Die folgende Tabelle gibt eine Übersicht über DES Kryptanalysen. Jahr Projekt Zeit 1997
MehrInhaltsübersicht. Geschichte von Elektronischen Wahlen Erwartete Eigenschaften von Protokollen. Merritt Election Protokoll
Inhaltsübersicht Geschichte von Elektronischen Wahlen Erwartete Eigenschaften von Protokollen Merritt Election Protokoll Ein fehlertolerantes Protokoll Für ein Wahlzentrum Für mehrere Wahlzentren von Wählern
MehrLudwig-Maximilians-Universität München SoSe 2009 Institut für Informatik PD Dr. Martin Lange Dipl.-Inf. Markus Latte 25. Juni 2009
Ludwig-Maximilians-Universität München SoSe 2009 Institut für Informati PD Dr. Martin Lange Dipl.-Inf. Marus Latte 25. Juni 2009 Übung zur Vorlesung Logi für Informatier Übungsblatt 8 Abgabe bis Freitag,
MehrRSA Full Domain Hash (RSA-FDH) Signaturen
RSA Full Domain Hash (RSA-FDH) Signaturen Signatur RSA-FDH Sei H : {0, 1} Z N ein Random-Oracle. 1 Gen: (N, e, d) GenRSA(1 n ) mit pk = (N, e) und sk = (N, d). 2 Sign: Für eine Nachricht m {0, 1} berechne
MehrFachwissenschaftliche Grundlagen
Fachwissenschaftliche Grundlagen Vorlesung im Wintersemester 2011/2012, Universität Landau Roland Gunesch 6. Vorlesung Roland Gunesch (Mathematik) Fachwissenschaftliche Grundlagen 6. Vorlesung 1 / 36 Themen
MehrGruppenbasierte Kryptographie. ElGamal Sicherheit. Drei Probleme. ElGamal Verschlüsselung. Benutzt zyklische Gruppen von (fast) Primzahlordnung:
Gruppenbasierte Kryptographie Benutzt zyklische Gruppen von (fast) Primzahlordnung: G = g und #G = l = cl 0 mit c klein und l 0 prim. b G : x Z : b = g x. Das Element x heißt diskreter Logarithmus von
MehrEinwegfunktionen. Problemseminar. Komplexitätstheorie und Kryptographie. Martin Huschenbett. 30. Oktober 2008
Problemseminar Komplexitätstheorie und Kryptographie Martin Huschenbett Student am Institut für Informatik an der Universität Leipzig 30. Oktober 2008 1 / 33 Gliederung 1 Randomisierte Algorithmen und
Mehr