Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Klausur Hinweise

Save this PDF as:
 WORD  PNG  TXT  JPG

Größe: px
Ab Seite anzeigen:

Download "Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Klausur Hinweise"

Transkript

1 Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Klausur Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen Ihnen 60 Minuten zur Verfügung. - Zum Bestehen der Klausur sind 20 der 60 möglichen Punkte hinreichend. - Es sind keine Hilfsmittel zugelassen. - Schreiben Sie Ihre Lösungen auf die Aufgabenblätter sowie auf deren Rückseiten. - Zusätzliches Papier erhalten Sie bei Bedarf von der Aufsicht. Aufgabe mögliche Punkte erreichte Punkte a b c d Σ a b c d Σ x1 10 Σ 60

2 Aufgabe 1. ( Punkte) Betrachten Sie das einfache Lehrbuch-RSA-Verschlüsselungsverfahren aus der Vorlesung. (a) Seien die Primzahlen P = 7 und Q = 17 gegeben. Berechnen Sie den geheimen Exponenten d zum öentlichen Exponenten e = 5 und geben Sie den öentlichen Schlüssel an. (b) (i) Verschlüsseln Sie die Nachricht M = 97 mit den Schlüsseln aus (a). (ii) Entschlüsseln Sie das Chirat C = 32 mit den Schlüsseln aus (a). Hinweis: Rechnen Sie vorteilhaft! Zerlegen Sie die Zahlen geschickt in einzelne Faktoren und verwenden Sie bei Bedarf negative Repräsentanten modulo N. (c) Das betrachtete Lehrbuch-RSA-Verfahren ist IND-CPA-unsicher. (i) Geben Sie einen ezienten Angreifer an, der das IND-CPA-Experiment mit Wahrscheinlichkeit 1 gewinnt. (ii) Nennen Sie eine Möglichkeit, wie man diesen Angri verhindern könnte. (d) Wir betrachten folgendes Sicherheitsspiel für das Lehrbuch-RSA-Verfahren: Sei pk = (N, e) mit N = P Q bekannt. Ein Angreifer bekommt vom Challenger ein Chirat C zur Nachricht M und soll M zurückgeben. Er darf sich zusätzlich Chirate C C vom Challenger entschlüsseln lassen. Geben Sie einen ezienten Angreifer mit Erfolgswahrscheinlichkeit 1 an. Lösungsvorschlag zu Aufgabe 1. (a) Wir berechnen N := P Q = 7 17 = 119 und ϕ(n) = (P 1)(Q 1) = 6 16 = 96. Der erweiterte euklidische Algorithmus EE(5, 96) liefert ( 19, 1), da (b) (c) 96 = = 1 gilt. Der geheime Exponent lautet d := 19 mod 96 = 77. (d = 19 ist ebenso eine gültige Lösung.) Der öentliche Schlüssel ergibt sich zu (N, e) = (119, 5). (i) Wir berechnen C := M e mod N = 97 5 mod 119 = ( 22) 5 mod 119 = ( 11 2) 5 mod 119 (Dabei ist ( 11) 2 = 121 mod 119 = 2 mod 119.) (ii) Wir berechnen C d = M mod N = ( 11) 2 ( 11) 2 ( 11) 2 5 mod 119 = ( 11) mod 119 = 2 7 ( 11) mod 119 = 128 ( 11) mod 119 = 99 = 20 mod 119. C 77 mod 119 = (32) 77 mod 119 = (2 5 ) 77 mod 119 = 2 1 mod 96 mod 119 = 2 mod 119 da d = 77 das Inverse von e = 5 mod ϕ(119), d.h. e d = 1 mod ϕ(n), ist. (i) Ein Angreifer erhält vom Experiment den öentlichen Schlüssel (N, e) und wählt sich zwei Nachrichten M 0, M 1, wobei M 0 = M 1. Diese schickt er an das Experiment und bekommt das Chirat C b, b $ {0, 1} von M b zurück und soll b richtig bestimmen. Da die Verschlüsselung in diesem Falle deterministisch ist, kann er einfach testen, ob M0 e? = C b. Falls ja, gibt er b = 0 zurück, ansonsten b = 1 und gewinnt mit Wahrscheinlichkeit 1. (ii) Die Verschlüsselungsfunktion muss randomisiert werden, z.b. durch zufälliges Padding. (d) Folgender erfolgreiche Angri ist möglich, der die Homomorphie des Verfahrens ausnutzt: 1. Der Angreifer wählt zuerst eine zufällige Nachricht R $ Z N \ {1}. 2. Er berechnet C R e = (M ) e R e = (M R) e = C. 3. Er lässt sich C vom Challenger entschlüsseln und erhält somit M R. 4. Nun kann er das Inverse von R, R 1 mod N berechnen, da er R und N kennt und somit M R R 1 = M 1

3 Aufgabe 2. (4+6 Punkte) (a) Gegeben sei ein MAC für zwei Parteien A und B: (i) Beschreiben Sie allgemein die Algorithmen eines MAC-Verfahrens und eventuelle Annahmen an die Parteien bzw. Anforderungen an die Algorithmen. (ii) Nennen Sie 2 Ziele, die durch ein MAC-Verfahren sichergestellt werden sollen. (iii) Was ist der Unterschied zu einer digitalen Signatur? (b) Betrachten wir nun das ElGamal-Signaturverfahren (Gen, Sig, Ver) über der zyklischen Gruppe G = g. (i) Sei h G. Geben Sie den Secret Key sk zum Public Key pk = (G, g, h) an. (ii) Geben Sie einen Angri an, der zeigt, dass das Verfahren aus der Vorlesung nicht EUF-CMAsicher ist. (iii) Wie kann man Ihren Angri aus (ii) verhindern? (iv) Wir verändern den Signaturalgorithmus zu Sig(sk, M) = σ, wobei σ x = M mod G für das geheime x aus dem Secret Key gilt. Wie sieht die entsprechende Verikation aus und wieso ist diese Änderung problematisch? Lösungsvorschlag zu Aufgabe 2. (a) (i) Annahme: Beide Parteien besitzen gemeinsames Geheimnis/Schlüssel K. Algorithmen: (ii) - σ Sig(K, M) signiert mit K die Nachricht M und liefert σ. - Ver(K, M, σ) {0, 1} überprüft mit K, ob σ für die Nachricht M gültig = 1 oder ungültig = 0 ist. Korrektheit: Ver(K, M, σ) = 1 für alle K, M und σ Sig(K, M). - Authentikation - Integrität der Nachricht (iii) Bei einer Digitalen Signatur gibt es einen geheimen Schlüssel sk zum Signieren und einen öentlichen Schlüssel pk zum Verizieren. Diese werden durch einen Schlüsselerzeugungsalgorithmus (pk, sk) Gen(1 k ) erzeugt. (b) (i) sk = (G, g, log g h) (ii) ˆ 1.Möglichkeit: Der Angreifer A wählt σ = (a, b) := (g x, g x ) (mit g x aus dem öentlichen Schlüssel), welches eine gültige Signatur für M = 0 ist. ˆ 2.Möglichkeit: Der Angreifer A wählt z zufällig und berechnet a := g z g x = g z+x. Damit ist σ = (a, a) eine gültige Signatur für die Nachricht M = az. (iii) Hash-Then-Sign Paradigma: Man verwendet eine kollisionsresistente Hashfunktion H und signiert nicht M sondern H(M). (iv) Ver(pk, M, σ): mit pk = g x überprüfe, ob (g x ) σ = g M mod G. Problem: Der geheime Exponent x kann bei diesem Verfahren berechnet werden: σ G, die Nachricht M und die Gruppenordnung G sind jeweils bekannt und somit kann mit dem erweiterten euklidischen Algorithmus σ 1 mod G berechnet werden und dadurch x = M σ 1 mod G. 2

4 Aufgabe 3. (3+4+4 Punkte) (a) Beschreiben Sie für eine Blockchire E(K, X) : {0, 1} k {0, 1} 2k {0, 1} 2k, wie sie eine Nachricht M {0, 1} im CBC-Mode ver- und entschlüsselt und nennen Sie einen Vorteil gegenüber dem ECB-Mode. (b) Aus der Vorlesung ist die Blockchire DES bekannt. Hierbei handelt es sich um eine Feistel-Chire mit einer Blocklänge von 64 Bit und einer eektiven Schlüssellänge von 56 Bit. Wir betrachten eine Variante von DES, bei der die Rundenschlüssel nicht aus dem Gesamtvorrat von 56 Bit berechnet werden, sondern in den Feistel-Runden 1-8 mittels einer beliebigen Funktion aus der ersten 28-Bit- Schlüsselhälfte erzeugt werden und in den Feistel-Runden 9-16 mittels derselben Funktion aus der zweiten 28-Bit-Schlüsselhälfte erzeugt werden. Konstruieren Sie einen Angri, mit dem sich der zur Verschlüsselung benutzte geheime Schlüssel K bestimmen lässt, und der höchstens 2 40 Operationen benötigt. Ihr Angrisalgorithmus ist in Besitz von einigen Klartext-Chirat-Paaren. Erläutern Sie kurz, warum Ihr Angri tatsächlich mit hoher Wahrscheinlichkeit den richtigen Schlüssel ndet und zeigen Sie kurz, dass Ihr Angri tatsächlich höchstens 2 40 Operationen benötigt. Hinweis: Angrie, die weniger als 2 40 Operationen benötigen sind ebenfalls als Lösung zulässig. Nehmen Sie an, dass ein Algorithmus zur Sortierung von n Elementen exakt n log n Operationen benötigt. (c) Sei n N, n 2. Wir betrachten eine symmetrische Chire Enc : {0, 1} 2n {0, 1} 2n {0, 1} 2n, Enc(K, M) = C = C 1... C 2n, die Nachrichten M = M 1... M 2n {0, 1} 2n mit einem 2n-Bit-Schlüssel K = K 1... K 2n folgendermaÿen verschlüsselt: M 1 M 2... M n M n+1 M n+2... M 2n K 1 K 3... K 2n 1 K 2n K 2n 1 K n K 2 K 4... K 2n K 1 K 2 K n C 1 C 2... C n C n+1 C n+2... C 2n Wie kann ein Angreifer geschickt zwei Nachrichten M (1) M (2) gleicher Länge wählen und nur mithilfe des Chirats und der gewählten Nachrichten entscheiden, welche der beiden verschlüsselt wurde? Lösungsvorschlag zu Aufgabe 3. (a) Verschlüsselung: - Teile M in 2k-Bit Blöcke auf. M 1, {0, 1} 2k (fülle evtl. mit einem Padding auf) - Setze C 0 := IV (zufälliger Initialisierungsvektor) - C i := E(K, M i C i 1 ) Entschlüsselung: M i = D(K, C i ) C i 1 Vorteil: Im Vergleich zum ECB-Mode werden gleiche Nachrichtenblöcke nicht zu gleichen Chiratblöcke verschlüsselt. (b) Wir verwenden ein Vorgehen wie bei dem aus der Vorlesung bekannten Meet-In-The-Middle-Angri auf 2DES. Es bezeichne DES 1 : {0, 1} 28 {0, 1} 64 3

5 die Berechnung der ersten acht DES-Runden mit einem 28-Bit Teilschlüssel und einer 64-Bit Nachricht. Entsprechend bezeichne DES 1 2 : {0, 1} 28 {0, 1} 64 die Berechnung der letzten acht DES-Runden bei der Entschlüsselung mit einem 28-Bit Teilschlüssel und einem 64-Bit Chirat. Der genaue Angrisalgorithmus ist: 1. Wähle ein Nachricht-Chirat-Paar M, C {0, 1} Berechne eine Liste L der Tupel (K 1, DES 1 (K 1, M )) für alle K 1 {0, 1} Sortiere L nach der zweiten Komponente. 4. Für alle Schlüsselhälften K 2 {0, 1} 28 : (i) Berechne das Zwischenergebnis D := DES 1 2 (K 2, C ) der Entschlüsselung mit dem DES- Algorithmus nach 8 Runden mit Schlüsselhälfte K 2 und Chirat C. (ii) Falls es einen Eintrag (K 1, D) in der Liste L gibt (binäre Suche), dann ist (K 1, K 2 ) ein Schlüsselkandidiat. 5. Überprüfe Schlüsselkandidaten durch weitere Nachrichten-Chirat-Paare M und C. Es ist C = DES(K, M ) = DES 2 (K 2, DES 1 (K 1, M )). Deshalb gilt DES 1 2 (K 2, C ) = DES 1 (K 1, M ). Da man über alle Schlüsselhälften K 1, K 2 iteriert, wird der echte Schlüssel unter den Schlüsselkandidaten sein. Es werden nur wenige Schlüsselkandidaten erwartet, diese kann man wie in Schritt 5. überprüfen. Insgesamt benötigt der Algorithmus etwa = 2 29 Aufrufe der 8-Runden-DES-Operation. Hinzu kommt das Sortieren der Liste L, das Schritte benötigt, und 2 28 binäre Suchen, die jeweils etwa 28 Operationen benötigen. Insgesamt ergibt sich also ein Aufwand von etwa = (c) 1: Wir wählen M (1) = 0 2n und M (2), so dass M (2) i = M (1) i = 0 für i {1,..., 2n 1} aber M (2) 2n = 1. Wir erhalten das Chirat C(b) (eine Verschlüsselung von M (b) für zufälliges b {1, 2}). Wir berechnen C (b) 1 C (b) 2n = M (b) 1 M (b) 2n = M (b) 2n Falls M (b) 2n = 0 wurde M (1) verschlüsselt, falls M (b) 2n = 1 wurde M (2) verschlüsselt. 2: Wir wählen M (1) und M (2) so, dass M (1) i = M (2) i = 0 für i {1,..., 2n} \ {n} und M n (1) = 0 M n (2) = 1. Wir erhalten das Chirat C (b) (eine Verschlüsselung von M (b) für zufälliges b {1, 2}). In beiden Fällen gilt C (1) i = C (2) i für i {1,..., 2n} \ {n} und somit ist C (b) 1 C (b) n+1 C(b) n+2 = M (b) 1 K 1 K 2 M (b) n+1 K 2n K 1 M (b) n+2 K 2n 1 K 2 = K 1 K 2 K 2n K 1 K 2n 1 K 2 Damit können wir nun C n (b) b = 1 ist. = K 2n K 2n 1 K 2n K 2n 1 = M (b) n berechnen und entscheiden, ob b = 0 oder (Hinweis: Dies sind zwei Möglichkeiten die Aufgabe zu lösen, evtl. gibt es noch andere Möglichkeiten.) 4

6 Aufgabe 4. (3+4+4 Punkte) Eine vertrauenswürdige Instanz veröentlicht einen RSA-Modulus N = P Q. Sie zieht zufällig gleichverteilt geheime Zahlen s 1,..., s k Z n und veröentlicht v i = s 2 i mod N für alle i {1,..., k}. Ein Prover P erhält die geheimen Zahlen s i für alle i {1,..., k} und will einen Verier V überzeugen, dass er die Quadratwurzeln von v i kennt. Dazu wird folgendes Protokoll ausgeführt: 1. P wählt r $ Z N, berechnet x = r 2 mod N, sendet x an V. 2. V wählt zufällig gleichverteilt b 1,..., b k {0, 1}, sendet b i, für alle i {1,..., k} an P. 3. P berechnet y = r k i=1 sbi i mod N, sendet y an V. 4. V überprüft, ob y 2 = x k i=1 vbi i mod N gilt. Dies wird t Mal wiederholt. (a) Zeigen Sie die Korrektheit des Protokolls für ehrlichen P und V. (b) Zeigen Sie durch Angabe eines Simulators, dass die Zero-Knowledge-Eigenschaft gilt. (c) Betrachten wir für k = 1, t = 2 den Spezialfall, dass jedes Mal der gleiche Zufall r verwendet wird. Wie muss V dabei vorgehen um geheime Informationen zu bekommen und welche sind dies? Lösungsvorschlag zu Aufgabe 4. (a) Wenn P die s i für i [k] kennt, wird er V davon überzeugen können, da y 2 = (r k i=1 s bi i )2 = r 2 k i=1 s 2bi i = x k i=1 v bi i mod N (b) Ein Simulator S, der die s i nicht kennt, kann gültige Protokolltransskripte für alle möglichen V simulieren, indem er folgendes ausführt: 1. S wählt zufällige Bits b i, zufälliges, gleichverteiltes r Z N und berechnet x = r 2 k Er sendet x an V. 2. V sendet zufällige Bits b i an S. i=1 v b i i mod N. 3. Falls b i = b i für alle i {1,..., k} sendet S y = r, ansonsten löscht er das Transkript und startet die Simulation von vorne. (c) V wählt folgende Taktik: 1. Im ersten Durchlauf sendet er b = 0 und erhält somit y 1 = r mod N. 2. Im zweiten Durchlauf wählt er b = 1 und erhält y 2 = r s mod N. 3. Nun kann er mit y 2 /y 1 = r s r = s mod N das Geheimnis s berechnen. 5

7 Aufgabe 5. (7 Punkte) Im Bell-LaPadula-Modell aus der Vorlesung seien - die Subjektmenge S = {s 1, s 2, s 3 }, - die Objektmenge O = {o 1, o 2, o 3, o 4 }, - die Menge der Zugrisoperationen A = {read, write, append, execute} und - die Menge der Sicherheitslevel L = {topsecret, secret, unclassified} mit der L-Halbordnung topsecret secret unclassified gegeben. Die Zugriskontrollmatrix M = (M s,o ) s S,o O ist durch die Tabelle o 1 o 2 o 3 o 4 s 1 {read, append, execute} {read, write, append} {read, append} A s 2 {read} {read, execute} {read, append} A s 3 {read} {read, append} {read, write, append} deniert und die Zuordung der maximalen und aktuellen Sicherheitslevel F = (f s, f c, f o ) ist durch die Tabellen f s ( ) f c ( ) s 1 topsecret unclassified s 2 secret unclassified s 3 unclassified unclassified o 1 o 2 o 3 o 4 f o ( ) topsecret topsecret secret unclassified beschrieben. Betrachten Sie die folgende Abfolge von Zugrien b S O A in Reihenfolge: 1. (s 1, o 2, read) 4. (s 3, o 3, append) 2. (s 2, o 2, read) 5. (s 2, o 3, write) 3. (s 3, o 4, execute) 6. (s 1, o 3, write) Beschreiben Sie beispielsweise in der Spalte Bemerkungen in der unter stehenden Tabelle, die Sie für Ihre Lösung benutzen können, ob die einzelnen Zugrie gültig ( ) oder ungültig () sind, und ob der aktuelle Sicherheitslevel nach gültigem Zugri geändert wird. Falls der Zugri nicht gültig ist, zeigen Sie auf, welche Eigenschaft(en) im Sinne der ds-, ss- oder -Eigenschaft verletzt wurde(n). Begründen Sie Ihre Entscheidung (ebenfalls beispielsweise in der Spalte Bemerkungen unten). Gehen Sie davon aus, dass zu Beginn noch kein Zugri stattgefunden hat. Zugri ds ss Bemerkungen 1. (s 1, o 2, read) 2. (s 2, o 2, read) 3. (s 3, o 4, execute) 4. (s 3, o 3, append) 5. (s 2, o 3, write) 6. (s 1, o 3, write) 6

8 Lösungsvorschlag zu Aufgabe 5. Gültig sind die einzelnen Zugrie b S O A, falls die ds-, die ss- und die -Eigenschaft erfüllt sind und damit die Systemsicherheit erhalten bleibt. Erfüllt sind alle genannten Eigenschaften, falls in den Spalten ds, ss und das Symbol zu nden ist. In der unten stehenden Tabelle ndet sich ein Lösungsvorschlag. Zugri ds ss Bemerkungen 1. (s 1, o 2, read) aktueller Sicherheitslevel auf f c (s 1 ) = topsecret gesetzt 2. (s 2, o 2, read) ss-eigenschaft verletzt, da f s (s 2 ) < f o (o 2 ) 3. (s 3, o 4, execute) ds-eigenschaft verletzt, da execute / M s3,o 4 4. (s 3, o 3, append) (keine Änderung des aktuellen Sicherheitslevels) 5. (s 2, o 3, write) ds-eigenschaft verletzt, da write / M s2,o 3 6. (s 1, o 3, write) ds-eigenschaft verletzt, da write / M s1,o 3, und - Eigenschaft verletzt, da f o (o 3 ) < f c (s 1 ) 7

9 Aufgabe 6. (10 Punkte) Bei dieser Multiple-Choice-Aufgabe gibt jede richtige Antwort 1 Punkt; für jede falsche Antwort wird 1 Punkt abgezogen, die Gesamtpunktzahl der Aufgabe kann jedoch nicht negativ werden. Für nicht beantwortete Fragen (kein Kreuz) werden keine Punkte abgezogen. wahr falsch Ein Public-Key-Verfahren mit deterministischem Enc-Algorithmus erfüllt den IND-CPA-Sicherheitsbegri. Der One-Time-Pad ist sicher gegen Veränderungen der verschlüsselten Nachricht. Im CBC-Mode sind Ver- und Entschlüsselung parallelisierbar. H (x) = H(f(x)) ist kollisionsresistent, falls H kollisionsresistent und f ezient berechenbar und injektiv ist. f(k) = 1 k c, für c konstant, ist vernachlässigbar in k. Für den erweiterten euklidischen Algorithmus EE(a, b) = (α, β) gilt α a + β b = 1 für alle a, b N. Im Kerberos-Protokoll werden keine Man-in-the-middle-Angrie berücksichtigt. Für M := σ d mod N im RSA-Signaturverfahren mit pk = (N, e), sk = (N, d) ist M eine Signatur für σ. Das Commitment Com(M; R) = H(M, R) ist binding, falls H eine kollisionsresistente Hashfunktion ist. Das Chinese Wall Modell sichert eine koniktfreie Zuordnung von Beratern zu Objekten zu. Lösungsvorschlag zu Aufgabe 6. wahr falsch Ein Public-Key-Verfahren mit deterministischem Enc-Algorithmus erfüllt den IND-CPA-Sicherheitsbegri. Der One-Time-Pad ist sicher gegen Veränderungen der verschlüsselten Nachricht. Im CBC-Mode sind Ver- und Entschlüsselung parallelisierbar. H (x) = H(f(x)) ist kollisionsresistent, falls H kollisionsresistent und f ezient berechenbar und injektiv ist. f(k) = 1 k c, für c konstant, ist vernachlässigbar in k. Für den erweiterten euklidischen Algorithmus EE(a, b) = (α, β) gilt α a + β b = 1 für alle a, b N. Im Kerberos-Protokoll werden keine Man-in-the-middle-Angrie berücksichtigt. Für M := σ d mod N im RSA-Signaturverfahren mit pk = (N, e), sk = (N, d) ist M eine Signatur für σ. Das Commitment Com(M; R) = H(M, R) ist binding, falls H eine kollisionsresistente Hashfunktion ist. Das Chinese Wall Modell sichert eine koniktfreie Zuordnung von Beratern zu Objekten zu. 8

Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Klausur Hinweise

Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Klausur Hinweise Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Klausur 22.07.2014 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen

Mehr

Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Klausur Hinweise

Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Klausur Hinweise Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Klausur 21.07.2015 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen

Mehr

Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Nachklausur Hinweise

Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Nachklausur Hinweise Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Nachklausur 29.09.2014 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung

Mehr

Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Nachklausur

Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Nachklausur Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz IKS Institut für Kryptographie und Sicherheit Stammvorlesung Sicherheit im Sommersemester 2013 Nachklausur 07.10.2013 Vorname: Nachname:

Mehr

Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Klausur

Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Klausur Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz IKS Institut für Kryptographie und Sicherheit Stammvorlesung Sicherheit im Sommersemester 2013 Klausur 26.07.2013 Vorname: Nachname:

Mehr

Übungsblatt 3. Stammvorlesung Sicherheit im Sommersemester Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade

Übungsblatt 3. Stammvorlesung Sicherheit im Sommersemester Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Übungsblatt 3 Aufgabe 1. Beurteilen Sie für die folgenden Konstruktionen jeweils, ob es sich

Mehr

Übung zur Vorlesung Sicherheit Übungsblatt 3. Björn Kaidel 1 / 52

Übung zur Vorlesung Sicherheit Übungsblatt 3. Björn Kaidel 1 / 52 Übung zur Vorlesung Sicherheit 21.05.2014 Übungsblatt 3 Björn Kaidel bjoern.kaidel@kit.edu 1 / 52 Kummerkasten Bitte helleren Laserpointer verwenden. Sind die Skriptlinks vertauscht? Nein! Wegen allgemeiner

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 23.05.2016 1 / 32 Überblick 1 Symmetrische Authentifikation von Nachrichten Ziel Konstruktionen MACs

Mehr

3 Public-Key-Kryptosysteme

3 Public-Key-Kryptosysteme Stand: 05.11.2013 Vorlesung Grundlagen und Methoden der Kryptographie Dietzfelbinger 3 Public-Key-Kryptosysteme 3.1 Verschlüsselung von Nachrichten Wir betrachten ganz einfache Kommunikationsszenarien.

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 12.05.2014 1 / 26 Überblick 1 Hashfunktionen Erinnerung Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel:

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 15.05.2017 1 / 25 Überblick 1 Hashfunktionen Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel: RSA

Mehr

Socrative-Fragen aus der Übung vom

Socrative-Fragen aus der Übung vom Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Übungsleiter: Björn Kaidel, Alexander Koch Stammvorlesung Sicherheit im Sommersemester 2016 Socrative-Fragen aus der Übung vom 28.04.2016

Mehr

4 Kryptologie. Übersicht

4 Kryptologie. Übersicht 4 Kryptologie Übersicht 4.1 Der erweiterte euklidische Algorithmus................................ 38 4.2 Rechnen mit Restklassen modulo p................................... 39 4.3 Der kleine Satz von

Mehr

Homomorphe Verschlüsselung

Homomorphe Verschlüsselung Homomorphe Verschlüsselung Definition Homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : G G für Gruppen G, G. Π heißt homomorph, falls Enc(m 1 ) G Enc(m 2 ) eine gültige Verschlüsselung

Mehr

Vorlesung Digitale Signaturen im Wintersemester 2017/-18. Socrative-Fragen aus der Vorlesung vom

Vorlesung Digitale Signaturen im Wintersemester 2017/-18. Socrative-Fragen aus der Vorlesung vom Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Dozenten: Björn Kaidel Vorlesung Digitale Signaturen im Wintersemester 2017/-18 Socrative-Fragen aus der Vorlesung vom 17.11.2017 1 Quiz 1:

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 06.05.2013 1 / 25 Überblick 1 Hashfunktionen Erinnerung Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel:

Mehr

Übungsblatt 4. Stammvorlesung Sicherheit im Sommersemester Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade

Übungsblatt 4. Stammvorlesung Sicherheit im Sommersemester Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Übungsblatt 4 Aufgabe 1. Wir instanziieren das ElGamal-Verschlüsselungsverfahren aus der

Mehr

Kryptologie. K l a u s u r WS 2006/2007, Prof. Dr. Harald Baier

Kryptologie. K l a u s u r WS 2006/2007, Prof. Dr. Harald Baier Kryptologie K l a u s u r WS 2006/2007, 2007-02-01 Prof. Dr. Harald Baier Name, Vorname: Matrikelnummer: Hinweise: (a) Als Hilfsmittel ist nur der Taschenrechner TI-30 zugelassen. Weitere Hilfsmittel sind

Mehr

Asymmetrische Verschlüsselungsverfahren

Asymmetrische Verschlüsselungsverfahren Asymmetrische Verschlüsselungsverfahren Vorlesung 4 Alexander Koch (Vertretung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 KIT 2015-11-12 Universität desalexander Landes Baden-Württemberg

Mehr

Übung zur Vorlesung. Sicherheit Übungsblatt 5 Björn Kaidel

Übung zur Vorlesung. Sicherheit Übungsblatt 5 Björn Kaidel Übung zur Vorlesung Sicherheit 30.06.2016 Übungsblatt 5 Björn Kaidel bjoern.kaidel@kit.edu https://b.socrative.com/login/student/ Room: SICHERHEIT Bitte gleich einloggen! 1 / 55 Evaluation (siehe Evaluations-PDF)

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 08.05.2017 1 / 32 Überblick 1 Blockchiffren Erinnerung Varianten von DES Beispiel: AES Angriffe auf Blockchiffren 2 Formalisierung von Sicherheit (symmetrischer

Mehr

Hybride Verschlüsselungsverfahren

Hybride Verschlüsselungsverfahren Hybride Verschlüsselungsverfahren Ziel: Flexibilität von asym. Verfahren und Effizienz von sym. Verfahren. Szenario: Sei Π = (Gen, Enc, Dec) ein PK-Verschlüsselungsverfahren und Π = (Gen, Enc, Dec ) ein

Mehr

Kryptographie und Komplexität

Kryptographie und Komplexität Kryptographie und Komplexität Einheit 5.2 ElGamal Systeme 1. Verschlüsselungsverfahren 2. Korrektheit und Komplexität 3. Sicherheitsaspekte Das ElGamal Verschlüsselungsverfahren Public-Key Verfahren von

Mehr

Musterlösung der Hauptklausur zur Vorlesung Sicherheit Sommersemester 2012

Musterlösung der Hauptklausur zur Vorlesung Sicherheit Sommersemester 2012 Institut für Kryptographie und Sicherheit Prof. Dr. Jörn Müller-Quade Musterlösung der Hauptklausur zur Vorlesung Sicherheit Sommersemester 2012 Vorname Nachname Matrikelnummer Ergebniscode Hinweise Für

Mehr

Kryptologie. Bernd Borchert. Univ. Tübingen SS Vorlesung. Teil 10. Signaturen, Diffie-Hellman

Kryptologie. Bernd Borchert. Univ. Tübingen SS Vorlesung. Teil 10. Signaturen, Diffie-Hellman Kryptologie Bernd Borchert Univ. Tübingen SS 2017 Vorlesung Teil 10 Signaturen, Diffie-Hellman Signatur Signatur s(m) einer Nachricht m Alice m, s(m) Bob K priv K pub K pub Signatur Signatur (Thema Integrity

Mehr

Asymmetrische Verschlüsselungsverfahren

Asymmetrische Verschlüsselungsverfahren Asymmetrische Verschlüsselungsverfahren Vorlesung 4 Alexander Koch (Vertretung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-11-10 Alexander Koch Asymmetrische Verschlüsselungsverfahren

Mehr

Name:... Vorname:... Matrikel-Nr.:... Studienfach:...

Name:... Vorname:... Matrikel-Nr.:... Studienfach:... Stefan Lucks Medien Bauhaus-Univ. Weimar Probeklausur Name:.............................. Vorname:........................... Matrikel-Nr.:....................... Studienfach:........................ Wichtige

Mehr

Kryptograhie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik

Kryptograhie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik Kryptograhie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik Übersicht Zwecke der Krytographie Techniken Symmetrische Verschlüsselung( One-time Pad,

Mehr

Digitale Signaturen. RSA-FDH & das Random Oracle Model Björn Kaidel (mit Folien von Gunnar Hartung)

Digitale Signaturen. RSA-FDH & das Random Oracle Model Björn Kaidel (mit Folien von Gunnar Hartung) Digitale Signaturen RSA-FDH & das Random Oracle Model Björn Kaidel (mit Folien von Gunnar Hartung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-12-01 B. Kaidel Digitale Signaturen:

Mehr

VIII. Digitale Signaturen

VIII. Digitale Signaturen VIII. Digitale Signaturen Bob Eve Eve möchte - lauschen - ändern - personifizieren Alice 1 Aufgaben - Vertraulichkeit - Lauschen - Authentizität - Tauschen des Datenursprungs - Integrität - Änderung der

Mehr

https://b.socrative.com/login/student/

https://b.socrative.com/login/student/ Übung zur Vorlesung Sicherheit 23.06.2016 Übungsblatt 4 Björn Kaidel bjoern.kaidel@kit.edu https://b.socrative.com/login/student/ Room: SICHERHEIT Bitte gleich einloggen! 1 / 62 Feedback: Kummerkasten/Feedback

Mehr

Sicherheit von Merkle Signaturen

Sicherheit von Merkle Signaturen Sicherheit von Merkle Signaturen Algorithmus Angreifer A für die Einwegsignatur EINGABE: pk, Zugriff auf eine Anfrage an Orakel Sign sk ( ) 1 Berechne (pk (i), sk (i) ) Gen(1 n ) für i = 1,...,l. Wähle

Mehr

Björn Kaidel Alexander Koch

Björn Kaidel Alexander Koch Übung zur Vorlesung Sicherheit Übung 1 Björn Kaidel Bjoern.Kaidel@kit.edu Alexander Koch Alexander.Koch@kit.edu 23.04.2015 1 / 31 Sicherheit Literatur zur Vorlesung Jonathan Katz, Yehuda Lindell. Introduction

Mehr

Aufgabe der Kryptografie

Aufgabe der Kryptografie Aufgabe der Kryptografie Eve möchte die Unterhaltung mithören und/oder ausgetauschte Informationen ändern. Alice & Bob kommunzieren über einen unsicheren Kanal. Alice & Bob nutzen Verschlüsselung und digitale

Mehr

El Gamal Verschlüsselung und seine Anwendungen

El Gamal Verschlüsselung und seine Anwendungen El Gamal Verschlüsselung und seine Anwendungen Andrés Guevara July 11, 2005 1 Kurze Einführung in die Kryptographie Situation: Absender will Empfänger eine Nachricht schicken. Einige Ziele der Kryptographie

Mehr

Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Übungsblatt 5

Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Übungsblatt 5 Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Übungsblatt 5 Aufgabe 1. (1.) In der Vorlesung wurde gezeigt, dass Lehrbuch-RSA-Signaturen

Mehr

Verteilte Kyroptographie

Verteilte Kyroptographie Verteilte Kyroptographie Klassische kryptographische Verfahren Kryptographische Hash-Funktionen Public-Key-Signaturen Verteilte Mechanismen Schwellwert-Signaturen Verteilt generierte Zufallszahlen Verteilte

Mehr

Kryptographische Protokolle

Kryptographische Protokolle Kryptographische Protokolle Lerneinheit 4: Schlüsselvereinbarung Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen Sommersemester 2017 8.5.2017 Einleitung Einleitung In dieser Lerneinheit

Mehr

Digitale Unterschriften mit ElGamal

Digitale Unterschriften mit ElGamal Digitale Unterschriften mit ElGamal Seminar Kryptographie und Datensicherheit Institut für Informatik Andreas Havenstein Inhalt Einführung RSA Angriffe auf Signaturen und Verschlüsselung ElGamal Ausblick

Mehr

Kryptographie und Komplexität

Kryptographie und Komplexität Kryptographie und Komplexität Einheit 4.4 Semantische Sicherheit 1. Sicherheit partieller Informationen 2. Das Verfahren von Rabin 3. Sicherheit durch Randomisierung Semantische Sicherheit Mehr als nur

Mehr

Message Authentication Codes. Konstruktion von MACs. Hash-then-Encrypt. Sicherheitsmodell

Message Authentication Codes. Konstruktion von MACs. Hash-then-Encrypt. Sicherheitsmodell Message Authentication Codes Entspricht Hashfunktionen mit geheimen Schlüsseln. h : K M H, MAC = h k (m). h parametrisierte Hashfunktion. m Nachricht. k geheimer Schlüssel. Mit der Nachricht m wird h k

Mehr

3: Zahlentheorie / Primzahlen

3: Zahlentheorie / Primzahlen Stefan Lucks Diskrete Strukturen (WS 2009/10) 96 3: Zahlentheorie / Primzahlen 3: Zahlentheorie / Primzahlen Stefan Lucks Diskrete Strukturen (WS 2009/10) 97 Definition 37 (Teiler, Vielfache, Primzahlen,

Mehr

Universität Tübingen SS Kryptologie. B. Borchert, D. Reichl. Klausur , (90 min)

Universität Tübingen SS Kryptologie. B. Borchert, D. Reichl. Klausur , (90 min) Universität Tübingen SS 2017 Kryptologie B. Borchert, D. Reichl Klausur 28.7.2017, 12.30-14.00 (90 min) Name: Matrikel-Nr.: Studiengang: MSc Informatik MSc Bioinformatik MSc Medieninformatik MSc Kognitionswissenschaft

Mehr

Kryptographie. Nachricht

Kryptographie. Nachricht Kryptographie Kryptographie Sender Nachricht Angreifer Empfänger Ziele: Vertraulichkeit Angreifer kann die Nachricht nicht lesen (Flüstern). Integrität Angreifer kann die Nachricht nicht ändern ohne dass

Mehr

WS 2009/10. Diskrete Strukturen

WS 2009/10. Diskrete Strukturen WS 2009/10 Diskrete Strukturen Prof. Dr. J. Esparza Lehrstuhl für Grundlagen der Softwarezuverlässigkeit und theoretische Informatik Fakultät für Informatik Technische Universität München http://www7.in.tum.de/um/courses/ds/ws0910

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 17.04.2014 1 / 26 Logistisches Überschneidungsfreiheit Vorlesung: nachfragen Übungsblatt nicht vergessen Frage: Wie viele würden korrigiertes Übungsblatt nutzen?

Mehr

Voll homomorpe Verschlüsselung

Voll homomorpe Verschlüsselung Voll homomorpe Verschlüsselung Definition Voll homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : R R für Ringe R, R. Π heißt voll homomorph, falls 1 Enc(m 1 ) + Enc(m 2 ) eine gültige

Mehr

11. Das RSA Verfahren und andere Verfahren

11. Das RSA Verfahren und andere Verfahren Chr.Nelius: Kryptographie (SS 2011) 31 11. Das RSA Verfahren und andere Verfahren Eine konkrete Realisierung eines Public Key Kryptosystems ist das sog. RSA Verfahren, das im Jahre 1978 von den drei Wissenschaftlern

Mehr

Blinde Signaturen, geheime Abstimmungen und digitale Münzen

Blinde Signaturen, geheime Abstimmungen und digitale Münzen Blinde Signaturen, geheime Abstimmungen und digitale Münzen Claus Diem Im Wintersemester 2017 / 18 Crypto 1982 Geheime Abstimmungen Eine geheime Abstimmung Problem. Eine Gruppe von Personen will per Brief

Mehr

Public Key Kryptographie

Public Key Kryptographie 3. Juni 2006 1 Algorithmen für Langzahlen 1 RSA 1 Das Rabin-Kryptosystem 1 Diskrete Logarithmen Grundlagen der PK Kryptographie Bisher: Ein Schlüssel für Sender und Empfänger ( Secret-Key oder symmetrische

Mehr

Kryptographie - eine mathematische Einführung

Kryptographie - eine mathematische Einführung Kryptographie - eine mathematische Einführung Rosa Freund 28. Dezember 2004 Überblick Grundlegende Fragestellungen Symmetrische Verschlüsselung: Blockchiffren, Hashfunktionen

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 26.05.2014 1 / 32 Überblick 1 Hinweis 2 Asymmetrische Authentifikation von Nachrichten Erinnerung RSA als Signaturschema ElGamal-Signaturen Hash-Then-Sign

Mehr

11. Das RSA Verfahren

11. Das RSA Verfahren Chr.Nelius: Zahlentheorie (SoSe 2017) 53 11. Das RSA Verfahren Bei einer asymmetrischen Verschlüsselung lässt sich der Schlüssel zum Entschlüsseln nicht aus dem Schlüssel zum Verschlüsseln bestimmen und

Mehr

Wiederholung: Informationssicherheit Ziele

Wiederholung: Informationssicherheit Ziele Wiederholung: Informationssicherheit Ziele Vertraulichkeit : Schutz der Information vor unberechtigtem Zugriff bei Speicherung, Verarbeitung und Übertragung Methode: Verschüsselung symmetrische Verfahren

Mehr

Einführung in die asymmetrische Kryptographie

Einführung in die asymmetrische Kryptographie !"#$$% Einführung in die asymmetrische Kryptographie Dipl.-Inform. Mel Wahl Prof. Dr. Christoph Ruland Universität Siegen Institut für digitale Kommunikationssysteme Grundlagen Verschlüsselung Digitale

Mehr

Übung zur Vorlesung. Sicherheit Übungsblatt 6. Alexander Koch

Übung zur Vorlesung. Sicherheit Übungsblatt 6. Alexander Koch Übung zur Vorlesung Sicherheit 09.07.2015 Übungsblatt 6 Alexander Koch alexander.koch@kit.edu 1 / 21 Kummerkasten Könnten Sie bitte eine kleine Wiederholung aller klausurrelevanten Themen in [der] letzten

Mehr

Digitale Signaturen. Einführung Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Digitale Signaturen. Einführung Gunnar Hartung, Björn Kaidel.  FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK Digitale Signaturen Einführung Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-10-21 G. Hartung, B. Kaidel Digitale Signaturen: Einführung KIT Die Forschungsuniversität

Mehr

Authentikation und digitale Signatur

Authentikation und digitale Signatur TU Graz 23. Jänner 2009 Überblick: Begriffe Authentikation Digitale Signatur Überblick: Begriffe Authentikation Digitale Signatur Überblick: Begriffe Authentikation Digitale Signatur Begriffe Alice und

Mehr

Digitale Signaturen. Einmalsignaturen Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Digitale Signaturen. Einmalsignaturen Gunnar Hartung, Björn Kaidel.  FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK Digitale Signaturen Einmalsignaturen Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-11-04 B. Kaidel Digitale Signaturen: Einmalsignaturen KIT Die Forschungsuniversität

Mehr

Wiederholung. Symmetrische Verfahren: klassische Verfahren / grundlegende Prinzipien: Substitution, Transposition, One-Time-Pad DES AES

Wiederholung. Symmetrische Verfahren: klassische Verfahren / grundlegende Prinzipien: Substitution, Transposition, One-Time-Pad DES AES Wiederholung Symmetrische Verfahren: klassische Verfahren / grundlegende Prinzipien: Substitution, Transposition, One-Time-Pad DES AES Mathematische Grundlagen: algebraische Strukturen: Halbgruppe, Monoid,

Mehr

2.4 Hash-Prüfsummen Hash-Funktion message digest Fingerprint kollisionsfrei Einweg-Funktion

2.4 Hash-Prüfsummen Hash-Funktion message digest Fingerprint kollisionsfrei Einweg-Funktion 2.4 Hash-Prüfsummen Mit einer Hash-Funktion wird von einer Nachricht eine Prüfsumme (Hash-Wert oder message digest) erstellt. Diese Prüfsumme besitzt immer die gleiche Länge unabhängig von der Länge der

Mehr

Digitale Signaturen. Einführung Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Digitale Signaturen. Einführung Björn Kaidel.  FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK Digitale Signaturen Einführung Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-10-20 B. Kaidel Digitale Signaturen: Einführung KIT Die Forschungsuniversität in der Helmholtz-Gemeinschaft

Mehr

Digitale Signaturen. GHR-und Chamäleon-Signaturen Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Digitale Signaturen. GHR-und Chamäleon-Signaturen Björn Kaidel.  FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK Digitale Signaturen GHR-und Chamäleon-Signaturen Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-01-12 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen KIT

Mehr

Public Key Kryptographie

Public Key Kryptographie 4. Dezember 2007 Outline 1 Einführung 2 3 4 Einführung 1976 Whitefield Diffie und Martin Hellman 2 Schlüsselprinzip Asymmetrische Verschlüsselungsverfahren public Key private Key Anwendung E-Mail PGP openpgp

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 20.04.2014 1 / 28 Überblick 1 Blockchiffren Erinnerung Angriffe auf Blockchiffren 2 Formalisierung

Mehr

RSA Verfahren. Kapitel 7 p. 103

RSA Verfahren. Kapitel 7 p. 103 RSA Verfahren RSA benannt nach den Erfindern Ron Rivest, Adi Shamir und Leonard Adleman war das erste Public-Key Verschlüsselungsverfahren. Sicherheit hängt eng mit der Schwierigkeit zusammen, große Zahlen

Mehr

Hashfunktionen und Kollisionen

Hashfunktionen und Kollisionen Hashfunktionen und Kollisionen Definition Hashfunktion Eine Hashfunktion ist ein Paar (Gen, H) von pt Algorithmen mit 1 Gen: s Gen(1 n ). Gen ist probabilistisch. 2 H: H s berechnet Funktion {0, 1} {0,

Mehr

9.5 Blockverschlüsselung

9.5 Blockverschlüsselung 9.5 Blockverschlüsselung Verschlüsselung im Rechner: Stromverschlüsselung (stream cipher): kleine Klartexteinheiten (Bytes, Bits) werden polyalphabetisch verschlüsselt Blockverschlüsselung (block cipher):

Mehr

Lösung zur Klausur zu Krypographie Sommersemester 2005

Lösung zur Klausur zu Krypographie Sommersemester 2005 Lösung zur Klausur zu Krypographie Sommersemester 2005 1. Bestimmen Sie die zwei letzten Ziffern der Dezimaldarstellung von 12 34 Es gilt: 12 34 = 12 32+2 = 12 32 12 2 = 12 (25) 12 2 = ((((12 2 ) 2 ) 2

Mehr

Übungen zur Vorlesung Systemsicherheit

Übungen zur Vorlesung Systemsicherheit Übungen zur Vorlesung Systemsicherheit Asymmetrische Kryptographie Tilo Müller, Reinhard Tartler, Michael Gernoth Lehrstuhl Informatik 1 + 4 24. November 2010 c (Lehrstuhl Informatik 1 + 4) Übungen zur

Mehr

Kleiner Fermatscher Satz, Chinesischer Restsatz, Eulersche '-Funktion, RSA

Kleiner Fermatscher Satz, Chinesischer Restsatz, Eulersche '-Funktion, RSA Kleiner Fermatscher Satz, Chinesischer Restsatz, Eulersche '-Funktion, RSA Manfred Gruber http://www.lrz-muenchen.de/~gruber SS 2009, KW 15 Kleiner Fermatscher Satz Satz 1. Sei p prim und a 2 Z p. Dann

Mehr

Das Generalized Birthday Problem

Das Generalized Birthday Problem Das Generalized Birthday Problem Problem Birthday Gegeben: L 1, L 2 Listen mit Elementen aus {0, 1} n Gesucht: x 1 L 1 und x 2 L 2 mit x 1 x 2 = 0. Anwendungen: Meet-in-the-Middle Angriffe (z.b. für RSA,

Mehr

Bemerkungen. Orientierung. Digitale Unterschriften. Angriffe und Sicherheitsmodelle

Bemerkungen. Orientierung. Digitale Unterschriften. Angriffe und Sicherheitsmodelle Orientierung Haben bisher im Public-Key Bereich nur Verschlüsselung betrachtet. Haben dafür geeignete mathematische Strukturen und ihre Eigenschaften diskutiert. RSA, Rabin: Restklassenringe modulo n,

Mehr

Regine Schreier

Regine Schreier Regine Schreier 20.04.2016 Kryptographie Verschlüsselungsverfahren Private-Key-Verfahren und Public-Key-Verfahren RSA-Verfahren Schlüsselerzeugung Verschlüsselung Entschlüsselung Digitale Signatur mit

Mehr

Proseminar Datensicherheit & Versicherungsmathematik RSA-Verfahren

Proseminar Datensicherheit & Versicherungsmathematik RSA-Verfahren Proseminar Datensicherheit & Versicherungsmathematik RSA-Verfahren Herwig Stütz 2007-11-23 1 Inhaltsverzeichnis 1 Einführung 2 2 Das RSA-Verfahren 2 2.1 Schlüsselerzeugung.................................

Mehr

13. Woche: NP-Vollständigkeit Satz von Cook-Levin Anwendungen in der Kryptographie

13. Woche: NP-Vollständigkeit Satz von Cook-Levin Anwendungen in der Kryptographie 13 Woche: NP-Vollständigkeit Satz von Cook-Levin Anwendungen in der Kryptographie 13 Woche: NP-Vollständigkeit, Satz von Cook-Levin, Anwendungen 276/ 333 N P-Vollständigkeit Ḋefinition NP-vollständig Sei

Mehr

PRIMZAHLEN PATRICK WEGENER

PRIMZAHLEN PATRICK WEGENER PRIMZAHLEN PATRICK WEGENER 1. Einführung: Was sind Primzahlen? Eine ganze Zahl p, welche größer als 1 ist, heißt Primzahl, wenn sie nur durch 1 und sich selbst teilbar ist. Mit teilbar meinen wir hier

Mehr

Digitale Unterschriften. Angriffe und Sicherheitsmodelle. Bemerkungen. Angriffe und Sicherheitsmodelle

Digitale Unterschriften. Angriffe und Sicherheitsmodelle. Bemerkungen. Angriffe und Sicherheitsmodelle Digitale Unterschriften Auch digitale Signaturen genannt. Nachrichten aus Nachrichtenraum: M M. Signaturen aus Signaturenraum: σ S. Schlüssel sind aus Schlüsselräumen: d K 1, e K 2. SignierungsverfahrenS

Mehr

RSA Full Domain Hash (RSA-FDH) Signaturen

RSA Full Domain Hash (RSA-FDH) Signaturen RSA Full Domain Hash (RSA-FDH) Signaturen Signatur RSA-FDH Sei H : {0, 1} Z N ein Random-Oracle. 1 Gen: (N, e, d) GenRSA(1 n ) mit pk = (N, e) und sk = (N, d). 2 Sign: Für eine Nachricht m {0, 1} berechne

Mehr

$Id: ring.tex,v /05/03 15:13:26 hk Exp $

$Id: ring.tex,v /05/03 15:13:26 hk Exp $ $Id: ring.tex,v 1.13 2012/05/03 15:13:26 hk Exp $ 3 Ringe 3.1 Der Ring Z m In der letzten Sitzung hatten wir die sogenannten Ringe eingeführt, dies waren Mengen A versehen mit einer Addition + und einer

Mehr

Übung GSS Blatt 6. SVS Sicherheit in Verteilten Systemen

Übung GSS Blatt 6. SVS Sicherheit in Verteilten Systemen Übung GSS Blatt 6 SVS Sicherheit in Verteilten Systemen 1 Einladung zum SVS-Sommerfest SVS-Sommerfest am 12.07.16 ab 17 Uhr Ihr seid eingeladen! :-) Es gibt Thüringer Bratwürste im Brötchen oder Grillkäse

Mehr

Public-Key-Verschlüsselung und Diskrete Logarithmen

Public-Key-Verschlüsselung und Diskrete Logarithmen Public-Key-Verschlüsselung und Diskrete Logarithmen Carsten Baum Institut für Informatik Universität Potsdam 10. Juni 2009 1 / 30 Inhaltsverzeichnis 1 Mathematische Grundlagen Gruppen, Ordnung, Primitivwurzeln

Mehr

Kurze Einführung in kryptographische Grundlagen.

Kurze Einführung in kryptographische Grundlagen. Kurze Einführung in kryptographische Grundlagen. Was ist eigentlich AES,RSA,DH,ELG,DSA,DSS,ECB,CBC Benjamin.Kellermann@gmx.de GPG-Fingerprint: D19E 04A8 8895 020A 8DF6 0092 3501 1A32 491A 3D9C git clone

Mehr

Homomorphe Verschlüsselung

Homomorphe Verschlüsselung Homomorphe Verschlüsselung Definition Homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : G G für Gruppen G, G. Π heißt homomorph, falls Enc(m 1 ) G Enc(m 2 ) eine gültige Verschlüsselung

Mehr

4 Diskrete Logarithmen und Anwendungen

4 Diskrete Logarithmen und Anwendungen Stand: 05.11.2013 Vorlesung Grundlagen und Methoden der Kryptographie Dietzfelbinger 4 Diskrete Logarithmen und Anwendungen 4.1 Diskrete Logarithmen Wir betrachten eine endliche zyklische Gruppe (G,, e)

Mehr

Kryptographie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik

Kryptographie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik Kryptographie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik Übersicht Zwecke der Kryptographie Techniken Symmetrische Verschlüsselung( One-time Pad,

Mehr

Kryptographie und Komplexität

Kryptographie und Komplexität Kryptographie und Komplexität Einheit 5 Kryptosysteme auf der Basis diskreter Logarithmen 1. Diffie Hellman Schlüsselaustausch 2. El Gamal Systeme 3. Angriffe auf Diskrete Logarithmen 4. Elliptische Kurven

Mehr

Übung zur Vorlesung. Sicherheit Übungsblatt 6 Alexander Koch

Übung zur Vorlesung. Sicherheit Übungsblatt 6 Alexander Koch Übung zur Vorlesung Sicherheit 14.07.2015 Übungsblatt 6 Alexander Koch alexander.koch@kit.edu https://b.socrative.com/login/student/ Room: SICHERHEIT Bitte gleich einloggen! 1 / 26 Sicherheit Übungsblatt

Mehr

Hast du auch wirklich versucht, die Aufgaben einmal selbständig zu lösen? Wenn nicht, tue es, bevor du dir die Lösungen anschaust!

Hast du auch wirklich versucht, die Aufgaben einmal selbständig zu lösen? Wenn nicht, tue es, bevor du dir die Lösungen anschaust! Chr.Nelius: Zahlentheorie (SoSe 2016) 1 14. Aufgabenblatt ZAHLENTHEORIE (für Master G und HRG) Lösungen Hast du auch wirklich versucht, die Aufgaben einmal selbständig zu lösen? Wenn nicht, tue es, bevor

Mehr

Lösungen zu. Grundlagen der Kryptologie SS Hochschule Konstanz. Dr.-Ing. Harald Vater. Giesecke & Devrient GmbH Prinzregentenstraße 159

Lösungen zu. Grundlagen der Kryptologie SS Hochschule Konstanz. Dr.-Ing. Harald Vater. Giesecke & Devrient GmbH Prinzregentenstraße 159 Lösungen zu Grundlagen der Kryptologie SS 008 Hochschule Konstanz Dr.-Ing. Harald Vater Giesecke & Devrient GmbH Prinzregentenstraße 159 D-81677 München Tel.: +49 89 4119-1989 E-Mail: hvater@htwg-konstanz.de

Mehr

Kurs 1866 Sicherheit im Internet

Kurs 1866 Sicherheit im Internet Fachbereich Informatik Lehrgebiet Technische Informatik II Kurs 1866 Sicherheit im Internet Lösungsvorschläge zur Hauptklausur im SS 2003 am 20.09.2003 Aufgabe 1 (7 Punkte) Warum sollen Passwörter auch

Mehr

Alice (A) und Bob (B) wollen sicher kommunizieren (vgl. Schutzziele) Oskar (O) versucht, die Schutzziele zu durchbrechen

Alice (A) und Bob (B) wollen sicher kommunizieren (vgl. Schutzziele) Oskar (O) versucht, die Schutzziele zu durchbrechen Vorlesung am 21.04.2015 3 Symmetrische Verschlüsselung Alice (A) und Bob (B) wollen sicher kommunizieren (vgl. Schutzziele) Oskar (O) versucht, die Schutzziele zu durchbrechen Passiver Angri : Abhören

Mehr

Zahlentheorieseminar: Einführung in die Public-Key-Kryptographie

Zahlentheorieseminar: Einführung in die Public-Key-Kryptographie Dozent: Dr. Ralf Gerkmann Referenten: Jonathan Paulsteiner (10939570) und Roman Lämmel ( ) Zahlentheorieseminar: Einführung in die Public-Key-Kryptographie 0. Inhalt 1. Einführung in die Kryptographie

Mehr

Digitale Signaturen. Kapitel 8

Digitale Signaturen. Kapitel 8 Digitale Signaturen Kapitel 8 Handschriftliche vs. digitale Unterschrift digitalisieren mp3 Unterschrift digitale Unterschrift von D.H. für mp3? (Scannen und als Bitmap anhängen z.b. zu leicht zu fälschen)

Mehr

Institut für Theoretische Informatik Prof. Dr. Dennis Hofheinz Übungsleiter: Thomas Agrikola. Stammvorlesung Sicherheit im Sommersemester 2017

Institut für Theoretische Informatik Prof. Dr. Dennis Hofheinz Übungsleiter: Thomas Agrikola. Stammvorlesung Sicherheit im Sommersemester 2017 Institut für Theoretische Informatik Prof. Dr. Dennis Hofheinz Übungsleiter: Thomas Agrikola Stammvorlesung Sicherheit im Sommersemester 2017 Übungsblatt 5 Aufgabe 1. (1.) In der Vorlesung wurde gezeigt,

Mehr

Algorithmentheorie Randomisierung. Robert Elsässer

Algorithmentheorie Randomisierung. Robert Elsässer Algorithmentheorie 03 - Randomisierung Robert Elsässer Randomisierung Klassen von randomisierten Algorithmen Randomisierter Quicksort Randomisierter Primzahltest Kryptographie 2 1. Klassen von randomisierten

Mehr

Vorlesung Diskrete Strukturen Gruppe und Ring

Vorlesung Diskrete Strukturen Gruppe und Ring Vorlesung Diskrete Strukturen Gruppe und Ring Bernhard Ganter Institut für Algebra TU Dresden D-01062 Dresden bernhard.ganter@tu-dresden.de WS 2009/10 1 Bernhard Ganter, TU Dresden Modul Einführung in

Mehr

Die (Un-)Sicherheit von DES

Die (Un-)Sicherheit von DES Die (Un-)Sicherheit von DES Sicherheit von DES: Bester praktischer Angriff ist noch immer die Brute-Force Suche. Die folgende Tabelle gibt eine Übersicht über DES Kryptanalysen. Jahr Projekt Zeit 1997

Mehr

Beliebige Anzahl von Signaturen

Beliebige Anzahl von Signaturen Beliebige Anzahl von Signaturen Algorithmus Signaturketten Sei Π = (Gen, Sign, Vrfy) ein Einwegsignaturverfahren. 1 Gen : (pk 1, sk 1 ) Gen(1 n ) 2 Sign : Signieren der Nachricht m i. Verwende gemerkten

Mehr

Betriebssysteme und Sicherheit

Betriebssysteme und Sicherheit Betriebssysteme und Sicherheit Asymmetrische Kryptographie WS 2012/2012 Dr.-Ing. Elke Franz Elke.Franz@tu-dresden.de 1 Überblick 1 Prinzip asymmetrischer (Konzelations-)Systeme 2 Mathematische Grundlagen

Mehr