Algorithmische Kryptographie Kapitel 19 Zusammenfassung 2
|
|
- Gerda Acker
- vor 6 Jahren
- Abrufe
Transkript
1 Algorithmische Kryptographie Kapitel 19 Zusammenfassung 2 Walter Unger Lehrstuhl für Informatik 1 3. Februar 2009
2 Protokolle Wie arbeitet das Geburtstagsprotokoll Wie geht der Schlüsselaustausch nach Diffie Hellman Wie kann man den Austausch noch verbessern Wie ist die Idee zur Zufallszahlengenerierung Wie ist die Idee zur Kartenverteilung Wie ist die Idee zur Kartenverteilung Welche Protokolle zur Vergesslichen Übertragung gibt es Wie mache ich eine vergessliche Übertragung Wie kaufe ich eins von zwei Geheimnisen Welche Protokolle zum Bit Commitment gibt es Wie geht Bit Commitment mit quadratischem Rest Wie geht Bit Commitment mit diskreten Logarithmus Wie sicher sind diese Verfahren Gibt es gleichzeitige perfekte Sicherheit für beide Parteien beim Bit Commitment Wie geht das Identifikationsverfahren von Shamir Wie geht ein Betrug beim Identifikationsverfahren von Shamir ZKP Wie ist die formale Definition eines ZKP Wie geht ein ZKP für: Graphisomorphismus Wie geht ein ZKP für: Independent Set Wie geht ein ZKP für: Hamilton Kreis Wie geht ein ZKP für: 3-Färbung
3 Wie geht ein ZKP für: 3-SAT Wie geht der ZPK nach Shamir Wie geht der ZPK Beweis für Fiat-Shamir Welche Sicherheit hat der Verifizierer Für welche Probleme aus NPC gibt es ZKP Ist die Parallelausführung eines ZKP auch wieder ZKP Ist die Seriellausführung eines ZKP auch wieder ZKP Wie macht man eine Identifikation mit ZKP als Basis Wie arbeitet Fiat-Shamir Wie macht man eine Unterschrift mit ZKP als Basis Wahlen Welche einfachen Wahlprotokolle gibt es Welche einfachen Wahlprotokolle gibt es Wie geht das Protokoll mit vertrauensunwürdigem Legitimator Wie wird einfach mit mehreren Mischern gemischt Was ist die Idee beim ersten Protokoll mit Mischern (mit Stimmkauf) Was ist die Idee beim ersten Protokoll mit Mischern (mit Stimmkauf) Wozu dient die phi Funktion beim Wählen mit Mischern Was ist die Idee beim zweiten Protokoll mit Mischern (ohne Stimmkauf) Wie geht der ZPK beim zweiten Protokoll mit Mischern Was geht das zweite Protokoll mit Mischern (ohne Stimmkauf) Was geht das zweite Protokoll mit Mischern (ohne Stimmkauf)
4 Was geht das zweite Protokoll mit Mischern (ohne Stimmkauf) Welche Idee wird genutzt, um eine Wahl zu machen, bei der die Wähler nicht erpre Wo benutzt man die Lagrange Interpolation Wozu dient eine Homomorphe Verschlüsselung Wozu dient ein Threshold-Scheme Wie baut man ein Threshold-Scheme Was ist die Idee des Homomorphen Wahlverfahrens Wie beweisen die Auszähler die Korrektheit ihrer Werte Wie beweisen die Auszähler die Korrektheit ihrer Werte Wie ist die Idee des gemeinsamen Aufbau eines Verschlüsselungsverfahrens Was ist die Idee des gemeinsamen Aufbau eines Threshold-Scheme Geld Wie ist die Idee einer Elektronischen Brieftasche nach Even Was ist die Idee bei fairem Elektronischen Geld (on-line) Wie erfolgt die Rückverfolgung beim fairem Elektronischen Geld (on-line) Wie sind die Sicherheitsaspekte beim fairem Elektronischen Geld (on-line)
5 Wie arbeitet das Geburtstagsprotokoll (19:1) Walter Unger Frage 1: Wie arbeitet das Geburtstagsprotokoll? A: i, 1 i 100, E A, D A, s B: j, 1 j 100, E A, s x := zufällige Zahl (x > s) k := E A (x) Für 1 u 100: j j := k j y u := D A (j + u) = D A (k j + u) Beachte: y j = x (aber A weiß es nicht) p := Primzahl mit p < s z u := y u mod p mit z u z u 2 für 1 u 100 und 0 < z u < p 1 Falls u i: z u := z u, Falls u > i: z u := z u + 1 Beachte: z j y j (mod p)) i j z u, p 1 u 100 Ergebnis j := z j mod p Teste, ob j x (mod p) Falls ja : i j Falls nein : i < j
6 Wie geht der Schlüsselaustausch nach Diffie Hellman (19:2) Walter Unger Frage 2: Wie geht der Schlüsselaustausch nach Diffie Hellman? A: p, g B: p, g Wählt a (0 a p 2) c := g a mod p k := d a = (g b ) a c d Wählt b (0 b p 2) d := g b mod p k := c b = (g a ) b
7 Wie kann man den Austausch noch verbessern (19:3) Walter Unger Frage 3: Wie kann man den Austausch noch verbessern? A: p, g, E A, D A, E B, E sym, D sym B: p, g, E B, D B, E A, E sym, D sym Wählt a 0 a p 2 c := g a mod p c Wählt b 0 b p 2 d := g b mod p k := c b = g ab k := d a = (g b ) a g a g b =? E B (D sym k (E sym k (s))) s := D A (g a g b ) d, E sym k (s) E sym k (s ) s := D B (g a g b ) g a g b? = E A (D sym k (E sym k (s)))
8 Wie ist die Idee zur Zufallszahlengenerierung (19:4) Walter Unger Frage 4: Wie ist die Idee zur Zufallszahlengenerierung? A: p, q ˆ= zufällige Primzahlen B: n := p q n wähle u {1,..., n } 2 Berechne Quadratwurzeln ±x, ±y mit: (±x) 2 z mod n; (±y) 2 z mod n x := min{+x, x}; y := min{+y, y} mit Position i, die x, y unterscheidet, d.h. x = w0w, y = w1w mit w = i Wähle r {0, 1} (d.h. wähle x {x, y }) A rät, ob x die von B geratene war. Teste x, y, u, e z i, r e, u p, q z := u 2 mod n e = 0 u {0, 1} i r{0, 1} Teste p, q Teste n = p q
9 Wie ist die Idee zur Kartenverteilung (19:5) Walter Unger Frage 5: Wie ist die Idee zur Kartenverteilung? A würfelt an B 5 Karten. Nur B kennt seine 5 Karten. Aus den verbleibenden 47 Karten würfelt B an A 5 Karten. Nur A kennt seine 5 Karten. A und B machen eine Spielrunde. A und B legen die Daten der obigen Protokolle offen. A und B testen die Protokolle.
10 Wie ist die Idee zur Kartenverteilung (19:6) Walter Unger Frage 6: Wie ist die Idee zur Kartenverteilung? A: n i, p i, q i, t i j n i!, B: Mischt die Karten Für i {1,..., 52} bestimme: Primzahlen p i, q i mit p i q i 3 mod 4 n i = p i q i T i = (t i 1 ti 2... ti 6 ) mit t i j n i! = 1 und t i j QR ni Bit j in bin(i) ist 1 Bestimmt x i : x 2 i x 2 i (mod n i ) n i, 1 i 52 t i j, 1 j 6 Würfeln x i 1 i 52 xi 2 xi mod n i, für i I xk 2 mod n xk k, für i I n k n i x i x «, i xi = n i n i für i I x i, x i n i «= xi n i für i I t i j n i!, x i nur B kennt die x i kann x i nicht wählen wählt I {1,..., 52} mit I = 5 faktorisiert n j für j I Bestimmt Karten für j I aus t j, 1 l 6 l
11 Welche Protokolle zur Vergesslichen Übertragung gibt es (19:7) Walter Unger Frage 7: Welche Protokolle zur Vergesslichen Übertragung gibt es? Mit gegebener Wahrscheinlichkeit übertragen. Ein Geheimnis kaufen.
12 Wie mache ich eine vergessliche Übertragung (19:8) Walter Unger Frage 8: Wie mache ich eine vergessliche Übertragung? A: p, q, n = p q B: n x := Zufallszahl y y := x 2 mod n Bestimme x, x mit (±x) 2 y mod n (±x ) y mod n wähle z {x, x } z Fall a: z ±x (mod n) Fall b: z ±x (mod n) Nur im Fall b kann n faktorisiert werden
13 Wie kaufe ich eins von zwei Geheimnisen (19:9) Walter Unger Frage 9: Wie kaufe ich eins von zwei Geheimnisen? A: s 0, s 1 B: i {0, 1} zufällig wählt x : 0 x p 2 β i = g x mod p β 0, β 1 β 1 i = c(g x ) 1 mod p? Teste β 0 β 1 c für j {0, 1}: y j {0,..., p 2} α j := g y j γ j := β y j j r j := s j γ j α j, r j 0 j 1 α x i g xy i β y i i =: γ i (mod p) s i := γ i r i
14 Welche Protokolle zum Bit Commitment gibt es (19:10) Walter Unger Frage 10: Welche Protokolle zum Bit Commitment gibt es? Mit quadratischem Rest. Mit diskreten Logarithmus
15 Wie geht Bit Commitment mit quadratischem Rest (19:11) Walter Unger Frage 11: Wie geht Bit Commitment mit quadratischem Rest? P: b {0, 1} V: wählt p, q große Primzahlen n := p q wählt v QNR +1 n wählt r Z n c := r 2 v b mod n n, c, v Commit(b) p, q, r, b Open(b) Teste p, q Primzahlen Teste n = p q Teste r Z n Teste v QNR +1 n Teste c? r 2 v b (mod n)
16 Wie geht Bit Commitment mit diskreten Logarithmus (19:12) Walter Unger Frage 12: Wie geht Bit Commitment mit diskreten Logarithmus? P: m {0,..., q 1} V: wähle r {0,..., q 1} c := g r v m mod p c r, m Test c? g r v m (mod p)
17 Wie sicher sind diese Verfahren (19:13) Walter Unger Frage 13: Wie sicher sind diese Verfahren? Verfahren mit diskreten Logarithmus: Die Box kann nicht geöffnet werden, die Sicherheit ergab sich durch die nicht-lösbarkeit von quadratischen Resten. Es gab keine Aussage, das die Box nicht verändert werden konnte. Verfahren mit quadratischen Resten: Die Box kann nicht verändert werden, die Sicherheit ergab sich durch die nicht-lösbarkeit vomdiskreten Logarithmus. Es gab keine Aussage, das die Box nicht unbefugt geöffnet werden konnte.
18 Gibt es gleichzeitige perfekte Sicherheit für beide Parteien beim Bit Commitment (19:14) Walter Unger Frage 14: Gibt es gleichzeitige perfekte Sicherheit für beide Parteien beim Bit Commitment? 1. Angenommen es gibt einen deterministischen Algorithmus C mit C : {0, 1} n {0, 1} {0, 1} s, der eine solche Lockable Box sicherstellt. 2. Wenn nun P ein Commitment c = C(r, b) macht, dann könnte nun V mit ausreichender Rechenleistung b bestimmen. 3. Um dies zu verhindern, muß es r geben mit c = C(r, 1 b). 4. Damit ist aber nun P in der Lage mit ausreichender Rechenleistung die Box sowohl für b als auch für 1 b zu öffnen.
19 Wie geht das Identifikationsverfahren von Shamir (19:15) Walter Unger Frage 15: Wie geht das Identifikationsverfahren von Shamir? P: n, p, q, x, y V: n, x wählt r Z n zufällig a := r 2 a e b := ry e b wählt e {0, 1} zufällig Test b 2? ax e (mod n)
20 Wie geht ein Betrug beim Identifikationsverfahren von Shamir (19:16) Walter Unger Frage 16: Wie geht ein Betrug beim Identifikationsverfahren von Shamir? P: n, p, q, x, y V: n, x wählt r Z n zufällig a := r 2 a wählt e {0, 1} zufällig b := ry e e b Test b 2? ax e (mod n) P : n, x wählt r Z n zufällig wählt e {0, 1} zufällig a := r 2 x e b := r V: n, x a e wählt e {0, 1} zufällig b Test b 2? ax e (mod n)
21 Wie ist die formale Definition eines ZKP (19:17) Walter Unger Frage 17: Wie ist die formale Definition eines ZKP? Definition Ein interaktives System ist Zero-Knowledge, falls gilt: Es gibt einen probabilistischen Simulator S(V,x) mit: S bestimmt ein akzeptierendes Transscript t in polynomieller Zeit. t und tr P,V (x) sind statistisch (algorithmisch) nicht zu unterscheiden.
22 Wie geht ein ZKP für: Graphisomorphismus (19:18) Walter Unger Frage 18: Wie geht ein ZKP für: Graphisomorphismus? P: G 1, G 2, e : G 1 = e G 2 V: G 1 = (V,E), G 2 = (V, E ) wählt Isomorphismus e bestimmt G α : G α =e G 1 G α wählt x {1, 2} x falls x = 1 : f := e falls x = 2 : f := e e f testet: G α = f G x
23 Wie geht ein ZKP für: Independent Set (19:19) Walter Unger Frage 19: Wie geht ein ZKP für: Independent Set? P: G = (V,E), V = t, I V : I = k mit: V: G,t und k a, b I : {a, b} E bestimmt B 1,..., B t mit: δ(b 1,..., B t ) = V bestimmt I = {i δ(b i ) I } bestimmt B ij, 1 i < j t mit: δ(b ij ) = 1 {δ(b j ), δ(b i )} E B ij, B i 1 i < j t x wähle x {0, 1} Falls x = 0, dann machen beide δ(b i ), δ(b ij ) 1 i t i < j t testet G Falls x = 1, dann machen beide δ(b ij ) {i, j} I testet I
24 Wie geht ein ZKP für: Hamilton Kreis (19:20) Walter Unger Frage 20: Wie geht ein ZKP für: Hamilton Kreis? P: G = (V,E), V = t und H mit: V: G = (V,E), V = t H = (V,F) = C t bestimmt B 1,..., B t mit: δ(b 1,..., B t ) = V bestimmt B ij, 1 i < j t mit: δ(b ij ) = 1 {δ(b j ), δ(b i )} E F = {{i, j} {δ(b i ), δ(b j )} F } B ij, B i 1 i < j t x wähle x {0, 1} Falls x = 0, dann machen beide δ(b i ), δ(b ij ) 1 i t i < j t Falls x = 1, dann machen beide δ(b ij ) i < j {i, j} F testet G testet C t
25 Wie geht ein ZKP für: 3-Färbung (19:21) Walter Unger Frage 21: Wie geht ein ZKP für: 3-Färbung? P: G = (V,E), V = t V: G = (V,E) kennt c : V {1, 2, 3} mit: (a, b) E : c(a) c(b) bestimmt B i, B c i, B ij (1 i, j 3t): (v, c) V {1, 2, 3} : j : δ(b j ) = v j δ(b c j ) = c δ(b ij ) = 1 (δ(b i ), δ(b j )) E δ(b c i ) = c(δ(b i)) δ(b c j ) = c(δ(b j)) B i, B c i, B ij 1 i, j 3t x wählt x {0, 1} Falls x = 0, dann machen beide δ(b i ), δ(b ij ) testet G und 2t 1 i, j 3t isolierte Knoten Falls x = 1, dann machen beide δ(bi c ), δ(b ij ) 1 i, j 3t δ(bi c ) = δ(bc j ) testet: keine Kante sichtbar
26 Wie geht ein ZKP für: 3-SAT (19:22) Walter Unger Frage 22: Wie geht ein ZKP für: 3-SAT? P: F V: F Bestimmt B ijk, B i, Bi T B ijk, B i, Bi T x wähle x {0, 1} falls x = 0 δ(b i ) und δ(b ijk ) teste die Darstellung der Formel F falls x = 1 δ(bi T ) und δ(b ijk ) mit ( ) teste auf korrekte Wahrheitsbelegung, d.h. alle geöffneten B ijk müssen 0 enthalten (d.h. keine Klausel ist false) Dabei bedeutet ( ): Jeder Index ist entweder von der Form x und δ(b T x ) = false oder von der Form x und δ(b T x ) = true.
27 Wie geht der ZPK nach Shamir (19:23) Walter Unger Frage 23: Wie geht der ZPK nach Shamir? P: n, p, q, x, y V: n, x wählt r Z n zufällig a := r 2 mod n a e wählt e {0, 1} zufällig b := ry e mod n b Test b 2? ax e (mod n) Falls e = 0 b = r Test r 2? a (mod n) Falls e = 1 b = ry Test r 2 y 2? ax (mod n)
28 Wie geht der ZPK Beweis für Fiat-Shamir (19:24) Walter Unger Frage 24: Wie geht der ZPK Beweis für Fiat-Shamir? Beweis. Transscript der Kommunikation: tr(n) = {(a, e, b) QR n {0, 1} Z n b 2 ax e (mod n)} Simulator (V,x): while true do 1. wähle e {0, 1}, b Z n gleichverteilt 2. a := b 2 x e 3. e := V(a) 4. falls e = e return (a, e, b)
29 Welche Sicherheit hat der Verifizierer (19:25) Walter Unger Frage 25: Welche Sicherheit hat der Verifizierer? Satz Wenn der Prover im Shamir-Protokoll mit Wahrscheinlichkeit > 1/2 betrügen kann, dann kann er die Quadratwurzel bestimmen. Beweis. 1. Betrüger kennt b 1 und b 2 mit: b 2 1 = a und b 2 2 = ax. 2. Damit kann er bestimmen: y = b 2 /b 1, d.h. die Wurzel von x.
30 Für welche Probleme aus NPC gibt es ZKP (19:26) Walter Unger Frage 26: Für welche Probleme aus NPC gibt es ZKP? Alle.
31 Ist die Parallelausführung eines ZKP auch wieder ZKP (19:27) Walter Unger Frage 27: Ist die Parallelausführung eines ZKP auch wieder ZKP? P: f, X V: v wählt v {1, 2} Falls v = 1: wählt α {0, 1} n α wählt β, γ {0, 1} n Testet f (αβ) =? γ β, γ Geheimnis X Falls v = 2: wählt β {0, 1} n α β, f (αβ) wählt α {0, 1} n
32 Ist die Seriellausführung eines ZKP auch wieder ZKP (19:28) Walter Unger Frage 28: Ist die Seriellausführung eines ZKP auch wieder ZKP? Satz Falls ein Protokoll Zero-Knowledge ist, dann ist die Hintereinanderausführung des Protokolls auch Zero-Knowledge. Beweis. tr 1 (n) [tr 2 (n )] Transscript des 1. [2.] Zero-Knowledge-Proofs. Dann ist tr 1 (n) tr 2 (n ) Transscript der Hintereinanderausführung. Sei S 1 [S 2 ] Simulator für den 1. [2.] Zero-Knowledge-Proofs. Sei weiter t i Ausgabe von Simulator S i (i {1,2}). Dann ist t 1 t 2 statistisch (algorithmisch) nicht von tr 1 (n) tr 2 (n ) zu unterscheiden. Dann ist S 1 S 2 Simulator für die Hintereinanderausführung.
33 Wie macht man eine Identifikation mit ZKP als Basis (19:29) Walter Unger Frage 29: Wie macht man eine Identifikation mit ZKP als Basis? P: i(p) = (c 1,..., c k ) V: p i (P) = (d 1,..., d k ) p i (P) = (d 1,..., d k ) Für alle 1 j k gilt dabei: d j cj 2 ±1 mod n wähle r IN wähle x {±r 2 mod n} x S wähle Teilmenge S {1,..., k} y := r Q j S c j mod n y Teste: x ±y 2 Q j S d j (mod n) Beachte: y 2 Q j S d j r 2 Q j S c2 j d j ±r 2 ±x (mod n). Betrugsmöglichkeit: Rate S und sende ±r 2 Q j S d j mod n als x und y = r als Antwort.
34 Wie arbeitet Fiat-Shamir (19:30) Walter Unger Frage 30: Wie arbeitet Fiat-Shamir? P: n, p, q, x, y V: n, x mit: y = (y 1,..., y t ) und x = (y1,...,y 2 t 2 ) und n = p q wählt r Z n zufällig a := r 2 a wählt e {0, 1} t e e = (e 1,..., e t ) zufällig b := r Q t i=1 ye i i b Test b 2? a Q t i=1 xe i i (mod n)
35 Wie macht man eine Unterschrift mit ZKP als Basis (19:31) Walter Unger Frage 31: Wie macht man eine Unterschrift mit ZKP als Basis? Unterschrift erzeugen: 1. Wähle zufällig (r 1,...,r k ) (Z n) k mit a j := rj 2 für 1 j k. 2. Bestimme e :=(e ij ) 1it,1jk = h(m a 1 a 2... a k ). t 3. b j := r j i=1 ye ij i für 1 j k 4. b = (b 1,...,b k ) 5. s = (b,e) ist die Unterschrift von P unter m. Test der Unterschrift: 1. Setze a j := bj 2 t i=1 xe ij i für 1 j k. 2. Akzeptiere die Unterschrift, falls e = h(m a 1 a 2... a k ).
36 Welche einfachen Wahlprotokolle gibt es (19:32) Walter Unger Frage 32: Welche einfachen Wahlprotokolle gibt es? Mit Auszähler und Verifizierer Mit Mischern Ohne Erpressbarkeit
37 Welche einfachen Wahlprotokolle gibt es (19:33) Walter Unger Frage 33: Welche einfachen Wahlprotokolle gibt es? A j : E L, E C L: E L, D L, E C stimmt ab, d.h. wählt v(a j ) K bestimmt Geheimnis s(a j ) W j = E L (E C ((i(a j ), v(a j ), s(a j )))) Identifikation Protokoll i(a j ) W j bestimmt i(a j ) V j = D L (W j ) C: E L, D L, E C L: E L, D L, E C kennt i(a j ) (1 j t) kennt V j = E C ((i(a j ), v(a j ), s(a j ))) bestimmt I = {i(a j ) 1 j n} I, V bestimmt für x K S x = {t y V z I : y = (z, x, t)} veröffenlicht die S x. bestimmt V = {V l 1 l n}
38 Wie geht das Protokoll mit vertrauensunwürdigem Legitimator (19:34) Walter Unger Frage 34: Wie geht das Protokoll mit vertrauensunwürdigem Legitimator? A j : L: wählt i {1,..., n k } bestimmt s S y := f (s) wählt v bestimmt s S y := f (s ) wählt neu v Identifikation Protokoll t i kauft dies geheim bestimmt t x, 1 x n k bestimmt S und f v, y, t i anonym testet: x {1,..., n k } : t x = t i v, f (s ), t i, s anonym testet: x {1,..., n k } : t x = t i testet: f (s)? = y
39 Wie wird einfach mit mehreren Mischern gemischt (19:35) Walter Unger Frage 35: Wie wird einfach mit mehreren Mischern gemischt? ϕ(g b i a 1 a 2... a k ) b i Stimme für Kandidat ϕ(... b i...). g b i Verschlüsselte Stimme g b i a 1 a 2... a k Verschlüsselte Stimme und k-mal gemischte Stimme ϕ(g b i a 1 a 2... a k ) durch b i gewählter Kandidat. Damit braucht der Wähler: ϕ und g a 1 a 2... a k Systemaufbau: g, q, ϕ Mischer S i bestimmt a i. Mischer bestimmen g a 1 a 2... a k Wähler wählt und veröffentlicht: g b i. Mischer bestimmen g b i a 1 a 2... a k Auszählung der ϕ(g b i a 1 a 2... a k )
40 Was ist die Idee beim ersten Protokoll mit Mischern (mit Stimmkauf) (19:36) Walter Unger Frage 36: Was ist die Idee beim ersten Protokoll mit Mischern (mit Stimmkauf)? C: B: bestimmt p grosse Primzahl bestimmt g Generator in Zq mit q = pk bestimmt Funktion ϕ : Zq K C, q, g, ϕ (C, q, g, ϕ) S i : B: wählt a i Z q mit ggt(a i, q 1) = 1 bestimmt also: f i (x) = x a i mod q bestimmt c i = g a i S i, c i (S i, c i ) S 1 : B: sei z 0 = g bestimmt z 1 = f 1 (z 0 ) S 1, z 0, z 1 (S 1, z 0, z 1 ) S i : (i 2) B: S bestimmt z i = f i (z i 1 ) i 1, z i 2, z i 1 Si, z i 1, z i (S i, z i 1, z i ) S i : C: c i = g a i a i : c i = g a i z i = z a i i 1 z i = f i (z i 1 ) = z a i i 1 Zero-Knowledge-Proof (C, z 0, z k )
41 Was ist die Idee beim ersten Protokoll mit Mischern (mit Stimmkauf) (19:37) Walter Unger Frage 37: Was ist die Idee beim ersten Protokoll mit Mischern (mit Stimmkauf)? A i : B: (C, q, g, ϕ) (S i, c i ) (S i, z i 1, z i ) getestet rät solange ein b i bis ϕ(z b i k ) = K i (C, z 0, z k ) setzt v i = g b i (A i, v i ) (A i, v i ) C: B: Testet die (A i, v i ) s A i, v i (1 i n) Falls Fehler/Betrug vorliegt A i, v i, ungültig Damit wird (A i, v i ) gelöscht. C: B: X 0 = SORT{v l 1 l n} A i, v i (1 i n) X0 = (w 0 1, w0 2,..., w0 n ) X 0 = (w 0 1, w0 2,..., w0 n ) S i : B: X i = SORT{(w i 1 ) a i 1 l n} X i 1 = (w i 1 1, w i 1 2,..., wn i 1 ) l Xi = (w1 i, wi 2,..., wi n ) X i = (w1 i, wi 2,..., wi n ) C: B: E x = {w X k ϕ(w) = x} X k = (w1 k, wk 2,..., wk n ) Ex (x K) E x ( x K)
42 Wozu dient die phi Funktion beim Wählen mit Mischern (19:38) Walter Unger Frage 38: Wozu dient die phi Funktion beim Wählen mit Mischern? Kandidaten auf grossen Wertebereich abbilden. Umgehen des Lösen des Diskreten Logarithmus.
43 Was ist die Idee beim zweiten Protokoll mit Mischern (ohne Stimmkauf) (19:39) Walter Unger Frage 39: Was ist die Idee beim zweiten Protokoll mit Mischern (ohne Stimmkauf)? Erzeuge Wahlzettel (Tokens) Vermische Tokens, Beweis per ZKP gebe gemischtes Token den Wählern Vermische Tokens, Beweis per ZKP Wähler wählt Entmische Tokens, Beweis per ZKP Auszählung der Stimmen
44 Wie geht der ZPK beim zweiten Protokoll mit Mischern (19:40) Walter Unger Frage 40: Wie geht der ZPK beim zweiten Protokoll mit Mischern? P: q,a,g,c = g a,x,y = f (x) = x a V: q,g,c,x,y wählt i und j m 1 m 1 = x i g j wählt l m 2 = m 1 g l m 3 = f (m 2 ) m 2,m 3? testet m 1 = x i g j i,j l testet m 2? = m1 g l testet m 3? = y i g a(j+l) Beachte: m 3 = f (m 2 ) = f (x i g j g l ) = (f (x)) i (f (g)) j+l = y i (g a ) j+l. Bekannt sind zwei Listen x 1,x 1,...,x t und y 1,y 1,...,y t. Zeige per Zero-Knowledge-Proof, dass es eine Permutatione π gibt mit: f (x i ) = y π(i).
45 Was geht das zweite Protokoll mit Mischern (ohne Stimmkauf) (19:41) Walter Unger Frage 41: Was geht das zweite Protokoll mit Mischern (ohne Stimmkauf)? C: B: bestimmt q große Primzahl bestimmt g Generator in Zq C, q, g (C, q, g) S i : B: wählt a i Z q mit ggt(a i, q 1) = 1 (C, q, g) bestimmt also: f i (x) = x a i mod q bestimmt c i = g a i S i, c i (S i, c i ) C: B: bestimmt t n Tokens: (x {x j,0 1 j t} 1,0, x 2,0,..., x t,0) (x 1,0, x 2,0,..., x t,0 ) S i : B: bestimmt Permutation π i bestimmt x j,i = (x π(j),i 1 ) a i (x 1,i, x 2,i,..., x t,i) (x 1,i, x 2,i,..., x t,i ) C: A j : wählt t j und Token x tj,k x tj,k x tj,k = y j
46 Was geht das zweite Protokoll mit Mischern (ohne Stimmkauf) (19:42) Walter Unger Frage 42: Was geht das zweite Protokoll mit Mischern (ohne Stimmkauf)? S 1,...,k : B: (C, q, g), (S i, c i ) (x 1,0, x 2,0,..., x t,0 ) bestimmen gemeinsam (x 1,i, x 2,i,..., x t,i ) (1 i t) Verschlüsselung E E E A j : y j S 1 : a 1 wählt r y j,0 = y j g r y j,0 y j,1 = w j,1 c r w 1 j,1 w j,1 = f 1 (y j,0 ) = (y j,0 ) a 1 A j : y j S i : a i wählt r y j,i 1 g r y j,i 1 y j,i = w j,i c r w j,i i w j,i = f i (y j,i 1 ) = (y j,i 1 ) a 1 A j : z j, y j B: E(v j, z j ) anonym bestimmt E(v j, z j ) E(v j, z j )
47 Was geht das zweite Protokoll mit Mischern (ohne Stimmkauf) (19:43) Walter Unger Frage 43: Was geht das zweite Protokoll mit Mischern (ohne Stimmkauf)? S 1,2,...,k : E 1 B: (v j, z j ) = E 1 (E(v j, z j )) (C, q, g), (S i, c i ) E(v j, z j ) (x 1,0, x 2,0,..., x t,0 ) (x 1,i, x 2,i,..., x t,i ) (1 i t) (1 j n) (v j, z j ) (v j, z j ) (1 j n) C: E 1 B: h für jeden Kandidaten x K: j = (v j, z j ) L x,0 = SORT{z (1 j n) j j : h j = (x, z)} L x,0 L x,0 S i : a i B: L (y 1, y 2,..., y n ) = L x,i 1 x,i 1 bestimmt Permutation π i z j = (y π(j) ) a i bestimmt Permutation ρ i x j = (z ρ(j) ) a i L L x,i = (x 1, x 2,..., x n ) x,i L x,i
48 Welche Idee wird genutzt, um eine Wahl zu machen, bei der die Wähler nicht erpressbar sind (19:44) Walter Unger Frage 44: Welche Idee wird genutzt, um eine Wahl zu machen, bei der die Wähler nicht erpressbar sind? Mischen und Beweis des korrekten Mischens mit ZPK.
49 Wo benutzt man die Lagrange Interpolation (19:45) Walter Unger Frage 45: Wo benutzt man die Lagrange Interpolation? Lemma Sei f (X) = P t 1 i=0 a ix i Z p [X] ein Polynom vom Grad t 1. Sei weiter: P := {(x i, f (x i )) i = 1,..., t, x i x j für i j}. Dann gilt (Lagrange Interpolation): f (X) = tx Y f (x i ) i=1 1jt,i j X x j x i x j Beweis. 1. Beachte die rechte Seite ist ein Polynom vom Grad t Falls man dort X durch x i ersetzt, dann gilt f (x i ) = g(x i ). 3. Wegen der Eindeutigkeit des Polynoms folgt dann die Behauptung.
50 Wozu dient eine Homomorphe Verschlüsselung (19:46) Walter Unger Frage 46: Wozu dient eine Homomorphe Verschlüsselung? Stimmauszählung: Sei r 1, r 2, m 1, m 2 {0,..., q 1}, dann gilt: Com(r 1, m 1 ) Com(r 2, m 2 ) = g r 1 v m 1 g r 2 v m 2 = g r 1 g r 2 v m 1 v m 2 = g r 1+r 2 v m 1+m 2 = Com(r 1 + r 2, m 1 + m 2 ) Damit haben wir ein homomorphes Commitment-Schema. Das können wir als Grundlage für Wahlen verwenden. Stimme wird in m i kodiert. Auszählung der Stimmen geht ohne das Öffnen der Einzelstimmen.
51 Wozu dient ein Threshold-Scheme (19:47) Walter Unger Frage 47: Wozu dient ein Threshold-Scheme? Sicherheit gegen Sabotage eines Auszählers. Sicherheit gegen Zusammenarbeit der Auszahler.
52 Wie baut man ein Threshold-Scheme (19:48) Walter Unger Frage 48: Wie baut man ein Threshold-Scheme? n Stützstellen eines Polynoms vom Grad t 1.
53 Was ist die Idee des Homomorphen Wahlverfahrens (19:49) Walter Unger Frage 49: Was ist die Idee des Homomorphen Wahlverfahrens? Wähler i wählt m i {0, 1} und Zufallszahl r i {0,... q 1}. Wähler i bestimmt c i := g r i v m i. Wähler i veröffentlicht c i. Wähler i verschlüsselt für T den Wert E T (g r i ). T bestimmt: ny D T ( E T (g r i )) = i=1 ny g r i = g P n i=1 r i i=1 T veröffentlicht: g P n i=1 r i. Jeder Wähler kann bestimmen: Q n i=1 c i g P n i=1 r i = Q n i=1 gr i v m i g P n i=1 r i = g P ni=1 r i v P n i=1 m i g P n i=1 r i = v Pn i=1 m i
54 Wie beweisen die Auszähler die Korrektheit ihrer Werte (19:50) Walter Unger Frage 50: Wie beweisen die Auszähler die Korrektheit ihrer Werte? 1. Ein Auszähler A j muss zeigen, dass w j? = c s j 1 gilt. 2. Dabei ist bekannt, dass h j = g s j gilt. 3. D.h. es ist zu zeigen, dass der diskrete Logarithmus gleich ist für h j und w j. P: x,y 1,y 2,g 1,g 2,p,q V: y 1,y 2,g 1,g 2,p,q Es gilt: y 1 = g1 x und y 2 = g2 x. r {0,...,q 1} zufällig a := (a 1,a 2 ) := (g1 r,gr 2 ) a c c {0,...,q 1} zufällig b := r cx b Teste: a 1? g b 1 y c 1 Teste: a 2? g b 2 y c 2 (mod p) (mod p)
55 Wie beweisen die Auszähler die Korrektheit ihrer Werte (19:51) Walter Unger Frage 51: Wie beweisen die Auszähler die Korrektheit ihrer Werte? 1. Ein Auszähler A j muss zeigen, dass w j? = c s j 1 gilt. 2. Dabei ist bekannt, dass h j = g s j gilt. 3. D.h. es ist zu zeigen, dass der diskrete Logarithmus gleich ist für h j und w j. P: x,y 1,y 2,g 1,g 2,p,q V: y 1,y 2,g 1,g 2,p,q Es gilt: y 1 = g1 x und y 2 = g2 x. r {0,...,q 1} zufällig a := (a 1,a 2 ) := (g1 r,gr 2 ) c := h(g 1 y 1 g 2 y 2 a 1 a 2 ) c,b c =? h(g 1 y 1 g 2 y 2 g1 byc 1 gb 2 yc 2 )
56 Wie ist die Idee des gemeinsamen Aufbau eines Verschlüsselungsverfahrens (19:52) Walter Unger Frage 52: Wie ist die Idee des gemeinsamen Aufbau eines Verschlüsselungsverfahrens? 1. Alle A i einigen sich auf einen Algorithmus A s zur Schlüsselerzeugung mit Zufallseingabe r. 2. Jedes A i wählt r i und bestimmt c i = LockableBox(r i ). 3. Alle A i veröffentlichen c i. 4. Alle A i veröffentlichen r i. 5. Alle A i testen c j = LockableBox(r j ). 6. Alle A i bestimmen r := n r=1r i. 7. Alle A i nutzen A s um p, q, g zu bestimmen.
57 Was ist die Idee des gemeinsamen Aufbau eines Threshold-Scheme (19:53) Walter Unger Frage 53: Was ist die Idee des gemeinsamen Aufbau eines Threshold-Scheme? 1. Alle A i wählen p Primzahl mit p > max(x,n) d.h. p > max(n x i,n). 2. Jedes A i wählt f i,j {0,...,p 1} für j = 1,...,t 1 und setzt f i,0 := x i. Dann wird gesetzt: f i (X) := t 1 j=0 f i,jx j 3. Alle A i setzen F i,j := g f i,j und veröffentlichen diese für j = 1,...,t Alle A i testen, ob n i=1 f i(x) einen Grad von t 1 hat.? 1? 0). Dazu wird getestet, ob n i=1 F i,t 1 (Also: n i=1 f i,t 1 5. Jedes A i verteilt s i,l = f i (l) an die anderen A l über sichere Kanäle. 6. Jedes A i testet, ob die empfangenen s l,i die richtigen sind. D.h. A i testet g s? l,i = t 1 j=0 (F l,j) ij (Also: f l (i) =? t 1 j=0 f j,li j ). 7. Jedes A i setzt s i := n l=1 s l,i. 8. Jedes A i signiert bei fehlerfreien Ablauf das h.
58 Wie ist die Idee einer Elektronischen Brieftasche nach Even (19:54) Walter Unger Frage 54: Wie ist die Idee einer Elektronischen Brieftasche nach Even? Unterschriften unter Schludscheinen und Quittungen.
59 Was ist die Idee bei fairem Elektronischen Geld (on-line) (19:55) Walter Unger Frage 55: Was ist die Idee bei fairem Elektronischen Geld (on-line)? P: x, y, g, p, q V: y, g, p, q, m r {0,..., q 1} zufällig a := g r a c = h(m,...) b := r cx c b teste: a? g b y c β (u,v,w) : G Z 2 q G Z2 q mit: a = a u g v y w (a, c, b) (a, c, b) c = uc + w b = ub + v P: x, y, g, p, q V: y, g, p, q, m r {0,..., q 1} a := g r a u, v, w {0,..., q 1}, v 0 zufällig b := r cx c a := a u g v y w und c := h(m a) c := (c w)u 1 b Teste: a? g b y c b := ub + v und σ(m) := (c, b) Ein Test dieser Unterschrift erfolgt durch c? = h(m g b y c ).
60 Wie erfolgt die Rückverfolgung beim fairem Elektronischen Geld (on-line) (19:56) Walter Unger Frage 56: Wie erfolgt die Rückverfolgung beim fairem Elektronischen Geld (on-line)? Staat kennt Umformung der Blinden Unterschrift.
61 Wie sind die Sicherheitsaspekte beim fairem Elektronischen Geld (on-line) (19:57) Walter Unger Frage 57: Wie sind die Sicherheitsaspekte beim fairem Elektronischen Geld (on-line)? Bank: g, g 1, g 2, x, y, y C, p, q Kunde: g, g 1, g 2, x C, y C, y, p, q r {0,..., q 1} a := g r a u, v, w {0,..., q 1}, v 0 a := aa u g v y w c, E yt (u, v, w) c := h(a) c := c(c w)u 1 Sicherheitstest: Münzerzeugung: Staat: g, g 1, g 2, x T, y T, y C, y, p, q a, c, E yt (u, v, w) (u, v, w) := D yt (E yt (u, v, w)) Test uc + w = h(a u g v y w ) Testergebnis Speichert: (a, c) (u, v, w) Kunde: g, g 1, g 2, x C, y C, y, p, q b := r cx b Teste: a? g b y c b := bub + v σ := (c, b) ist die Münze Münztest: c = h(g b y c ) Laden: g, g 1, g 2, x S, y S, y, y C, p, q Kunde: g, g 1, g 2, x C, y C, y, p, q Test: c = h(g b y c ) (c, b) Sicherheitstest Bank: g, g 1, g 2, x, y, y C, p, q (c, b) Test: c = h(g b y c ) Testergebnis Test: (c, b) Ersteinzahlung
Algorithmische Kryptographie
Algorithmische Kryptographie Walter Unger, Dirk Bongartz Lehrstuhl für Informatik I 27. Januar 2005 Teil I Mathematische Grundlagen Einleitung Anforderungen Einfaches Protokoll (Shimon Even 1978) Sicherheitsaspekte
MehrAlgorithmische Kryptographie
Algorithmische Kryptographie Walter Unger, Dirk Bongartz Lehrstuhl für Informatik I 27. Januar 2005 Teil I Mathematische Grundlagen Welche klassischen Verfahren gibt es? Warum heissen die klassischen Verfahren
MehrAlgorithmentheorie Randomisierung. Robert Elsässer
Algorithmentheorie 03 - Randomisierung Robert Elsässer Randomisierung Klassen von randomisierten Algorithmen Randomisierter Quicksort Randomisierter Primzahltest Kryptographie 2 1. Klassen von randomisierten
MehrKryptografische Protokolle
Kryptografische Protokolle Lerneinheit 7: Diverse Protokolle Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen Sommersemester 2016 20.6.2016 Einleitung Einleitung Inhalt dieser Lerneinheit
MehrKryptographie und Komplexität
Kryptographie und Komplexität Einheit 5.2 ElGamal Systeme 1. Verschlüsselungsverfahren 2. Korrektheit und Komplexität 3. Sicherheitsaspekte Das ElGamal Verschlüsselungsverfahren Public-Key Verfahren von
MehrWiederholung. Symmetrische Verfahren: klassische Verfahren / grundlegende Prinzipien: Substitution, Transposition, One-Time-Pad DES AES
Wiederholung Symmetrische Verfahren: klassische Verfahren / grundlegende Prinzipien: Substitution, Transposition, One-Time-Pad DES AES Mathematische Grundlagen: algebraische Strukturen: Halbgruppe, Monoid,
MehrPublic-Key-Kryptographie
Kapitel 2 Public-Key-Kryptographie In diesem Kapitel soll eine kurze Einführung in die Kryptographie des 20. Jahrhunderts und die damit verbundene Entstehung von Public-Key Verfahren gegeben werden. Es
MehrVerteilte Kyroptographie
Verteilte Kyroptographie Klassische kryptographische Verfahren Kryptographische Hash-Funktionen Public-Key-Signaturen Verteilte Mechanismen Schwellwert-Signaturen Verteilt generierte Zufallszahlen Verteilte
Mehr3: Zahlentheorie / Primzahlen
Stefan Lucks Diskrete Strukturen (WS 2009/10) 96 3: Zahlentheorie / Primzahlen 3: Zahlentheorie / Primzahlen Stefan Lucks Diskrete Strukturen (WS 2009/10) 97 Definition 37 (Teiler, Vielfache, Primzahlen,
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 12.05.2014 1 / 26 Überblick 1 Hashfunktionen Erinnerung Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel:
MehrDigitale Unterschriften mit ElGamal
Digitale Unterschriften mit ElGamal Seminar Kryptographie und Datensicherheit Institut für Informatik Andreas Havenstein Inhalt Einführung RSA Angriffe auf Signaturen und Verschlüsselung ElGamal Ausblick
MehrGrundlegende Protokolle
Grundlegende Protokolle k.lindstrot@fz-juelich.de Grundlegende Protokolle S.1/60 Inhaltsverzeichnis Einleitung Passwortverfahren Wechselcodeverfahren Challange-and-Response Diffie-Hellman-Schlüsselvereinbarung
Mehr4.4.1 Statisches perfektes Hashing. des Bildbereichs {0, 1,..., n 1} der Hashfunktionen und S U, S = m n, eine Menge von Schlüsseln.
4.4 Perfektes Hashing Das Ziel des perfekten Hashings ist es, für eine Schlüsselmenge eine Hashfunktion zu finden, so dass keine Kollisionen auftreten. Die Größe der Hashtabelle soll dabei natürlich möglichst
MehrPublic-Key-Verschlüsselung und Diskrete Logarithmen
Public-Key-Verschlüsselung und Diskrete Logarithmen Carsten Baum Institut für Informatik Universität Potsdam 10. Juni 2009 1 / 30 Inhaltsverzeichnis 1 Mathematische Grundlagen Gruppen, Ordnung, Primitivwurzeln
MehrProbleme aus NP und die polynomielle Reduktion
Probleme aus NP und die polynomielle Reduktion Prof. Dr. Berthold Vöcking Lehrstuhl Informatik 1 Algorithmen und Komplexität RWTH Aachen 15. Dezember 2009 Berthold Vöcking, Informatik 1 () Vorlesung Berechenbarkeit
Mehr4: Algebraische Strukturen / Gruppen
Stefan Lucks Diskrete Strukturen (WS 2009/10) 120 4: Algebraische Strukturen / Gruppen Definition 46 Sei G eine nichtleere Menge. Eine Funktion : G G G bezeichnen wir als Verknüpfung auf G. Das Paar (G,
MehrProbabilistische Primzahltests
23.01.2006 Motivation und Überblick Grundsätzliches Vorgehen Motivation und Überblick Als Primzahltest bezeichnet man ein mathematisches Verfahren, mit dem ermittelt wird, ob eine gegebene Zahl eine Primzahl
Mehr11. Das RSA Verfahren und andere Verfahren
Chr.Nelius: Kryptographie (SS 2011) 31 11. Das RSA Verfahren und andere Verfahren Eine konkrete Realisierung eines Public Key Kryptosystems ist das sog. RSA Verfahren, das im Jahre 1978 von den drei Wissenschaftlern
MehrEinführung in die Kryptographie
Einführung in die Kryptographie Stefan Katzenbeisser Institut für Informatik Technische Universität München skatzenbeisser@acm.org Kryptographie p.1/54 Vom Zeichen zum Code Älteste Form: Codes repräsentieren
MehrRSA Verfahren. Kapitel 7 p. 103
RSA Verfahren RSA benannt nach den Erfindern Ron Rivest, Adi Shamir und Leonard Adleman war das erste Public-Key Verschlüsselungsverfahren. Sicherheit hängt eng mit der Schwierigkeit zusammen, große Zahlen
MehrKryptograhie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik
Kryptograhie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik Übersicht Zwecke der Krytographie Techniken Symmetrische Verschlüsselung( One-time Pad,
MehrGedächtnisprotokoll zur Diplomprüfung in Theoretischer Informatik
Gedächtnisprotokoll zur Diplomprüfung in Theoretischer Informatik Fächer: Algorithmische Kryptographie (nach Buch Delfs/Knebl), Eziente Algorithmen (nach der 2. Auage des Buches) und Angewandte Automatentheorie
MehrPseudozufallsgeneratoren
Pseudozufallsgeneratoren In welchen kryptographischen Verfahren werden keine Zufallszahlen benötigt? Wie generiert man Zufallszahlen in einer deterministischen Maschine wie dem Computer? Wenn man eine
MehrIT-Sicherheit: Kryptographie. Asymmetrische Kryptographie
IT-Sicherheit: Kryptographie Asymmetrische Kryptographie Fragen zur Übung 5 C oder Java? Ja (gerne auch Python); Tips waren allerdings nur für C Wie ist das mit der nonce? Genau! (Die Erkennung und geeignete
MehrAsymmetrische Kryptographie u
Asymmetrische Kryptographie u23 2015 Simon, Florob e.v. https://koeln.ccc.de Cologne 2015-10-05 1 Zahlentheorie Modulare Arithmetik Algebraische Strukturen Referenzprobleme 2 Diffie-Hellman Diffie-Hellman-Schlüsselaustausch
MehrQuadrate und Wurzelziehen modulo p
Quadrate und Wurzelziehen modulo p Sei im Folgenden p eine Primzahl größer als. Wir möchten im Körper Z p Quadratwurzeln ziehen. Die Quadrierabbildung Q :Z p Z p ist aber nicht surjektiv, daher gibt es
MehrRandomisierte Algorithmen 2. Erste Beispiele
Randomisierte Algorithmen Randomisierte Algorithmen 2. Erste Beispiele Thomas Worsch Fakultät für Informatik Karlsruher Institut für Technologie Wintersemester 2016/2017 1 / 35 Randomisierter Identitätstest
MehrZero-Knowledge-Verfahren
Kapitel 1 Zero-Knowledge-Verfahren Bei den Zero-Knowledge-Verfahren handelt es sich um eine Form von interaktiven Beweisen, bei denen kein Wissen übertragen wird. Für die Kryptographie haben diese Verfahren
MehrDas RSA Kryptosystem
Kryptografie Grundlagen RSA Institut für Mathematik Technische Universität Berlin Kryptografie Grundlagen RSA mit geheimem mit öffentlichem Schlüssel Realisierung Kryptografie mit geheimem Schlüssel Alice
MehrDLP. Adolphe Kankeu Tamghe papibobo@informatik.uni-bremen.de ALZAGK SEMINAR. Bremen, den 18. Januar 2011. Fachbereich Mathematik und Informatik 1 / 27
DLP Adolphe Kankeu Tamghe papibobo@informatik.uni-bremen.de Fachbereich Mathematik und Informatik ALZAGK SEMINAR Bremen, den 18. Januar 2011 1 / 27 Inhaltsverzeichnis 1 Der diskrete Logarithmus Definition
MehrWiederholung Symmetrische Verschlüsselung klassische Verfahren: Substitutionschiffren Transpositionschiffren Vigenère-Chiffre One-Time-Pad moderne
Wiederholung Symmetrische Verschlüsselung klassische Verfahren: Substitutionschiffren Transpositionschiffren Vigenère-Chiffre One-Time-Pad moderne Verfahren: DES (Feistel-Chiffre) mehrfache Wiederholung
MehrKryptographie Reine Mathematik in den Geheimdiensten
Kryptographie Reine Mathematik in den Geheimdiensten Priska Jahnke 10. Juli 2006 Kryptographie Reine Mathematik in den Geheimdiensten Kryptographie (Kryptologie) = Lehre von den Geheimschriften Kaufleute,
MehrKryptographie und Komplexität
Kryptographie und Komplexität Einheit 4 Public Key Kryptographie mit RSA 1. Ver- und Entschlüsselung 2. Schlüsselerzeugung und Primzahltests 3. Angriffe auf das RSA Verfahren 4. Sicherheit von RSA Probleme
Mehr7 Asymmetrische Kryptosysteme
10 7 Asymmetrische Kryptosysteme 7 Asymmetrische Kryptosysteme Diffie und Hellman kamen 1976 auf die Idee, dass die Geheimhaltung des Chiffrierschlüssels keine notwendige Voraussetzung für die Sicherheit
MehrComputeralgebra in der Lehre am Beispiel Kryptografie
Kryptografie Grundlagen RSA KASH Computeralgebra in der Lehre am Beispiel Kryptografie Institut für Mathematik Technische Universität Berlin Kryptografie Grundlagen RSA KASH Überblick Kryptografie mit
MehrLiteratur. ISM SS 2017 Teil 8/Asymmetrische Verschlüsselung
Literatur [8-1] Beutelspacher, A.; Schwenk, J.; Wolfenstetter, K.-D.: Moderne Verfahren der Kryptographie. 4. Auflage, Vieweg 2001 [8-2] Schmeh, Klaus: Kryptografie. dpunkt, 4. Auflage, 2009 [8-3] Schneier,
Mehr31 Polynomringe Motivation Definition: Polynomringe
31 Polynomringe 31.1 Motivation Polynome spielen eine wichtige Rolle in vielen Berechnungen, einerseits weil oftmals funktionale Zusammenhänge durch Polynome beschrieben werden, andererseits weil Polynome
MehrKapitel 3 Elementare Zahletheorie
Kapitel 3 Elementare Zahletheorie 89 Kapitel 3.1 Ganze Zahlen, Gruppen und Ringe 90 Die ganzen Zahlen Menge der ganzen Zahlen Z={..., 3, 2, 1,0,1,2,3,...} Es gibt zwei Operationen Addition: Z Z Z, (a,b)
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 06.05.2013 1 / 25 Überblick 1 Hashfunktionen Erinnerung Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel:
MehrAES und Public-Key-Kryptographie
Jens Kubieziel jens@kubieziel.de Friedrich-Schiller-Universität Jena Fakultät für Mathem atik und Informatik 22. Juni 2009 Beschreibung des Algorithmus Angriffe gegen AES Wichtige Algorithmen im 20. Jahrhundert
MehrMusterlösung der Hauptklausur zur Vorlesung Theoretische Grundlagen der Informatik Wintersemester 2012/13
Institut für Kryptographie und Sicherheit Prof. Dr. Jörn Müller-Quade Musterlösung der Hauptklausur zur Vorlesung Theoretische Grundlagen der Informatik Wintersemester 22/3 Vorname Nachname Matrikelnummer
MehrVorlesung Diskrete Strukturen Gruppe und Ring
Vorlesung Diskrete Strukturen Gruppe und Ring Bernhard Ganter Institut für Algebra TU Dresden D-01062 Dresden bernhard.ganter@tu-dresden.de WS 2009/10 1 Bernhard Ganter, TU Dresden Modul Einführung in
MehrErste Vorlesung Kryptographie
Erste Vorlesung Kryptographie Andre Chatzistamatiou October 14, 2013 Anwendungen der Kryptographie: geheime Datenübertragung Authentifizierung (für uns = Authentisierung) Daten Authentifizierung/Integritätsprüfung
MehrGrundlagen und Diskrete Strukturen Wiederholungsaufgaben
TU Ilmenau Institut für Mathematik Dr. Jens Schreyer Teil 1: Aussagenlogik Aufgabe 1 Grundlagen und Diskrete Strukturen Wiederholungsaufgaben Stellen Sie die Wahrheitstafel für die aussagelogische Formel
Mehrn ϕ n
1 3. Teiler und teilerfremde Zahlen Euler (1707-1783, Gymnasium und Universität in Basel, Professor für Physik und Mathematik in Petersburg und Berlin) war nicht nur einer der produktivsten Mathematiker
MehrVortrag zum Proseminar: Kryptographie
Vortrag zum Proseminar: Kryptographie Thema: Oliver Czernik 6.12.2005 Historie Michael Rabin Professor für Computerwissenschaft Miller-Rabin-Primzahltest Januar 1979 April 1977: RSA Asymmetrisches Verschlüsselungssystem
MehrKryptographie. ein erprobter Lehrgang. AG-Tagung Informatik, April 2011 Alfred Nussbaumer, LSR für NÖ. LSR für NÖ, 28. April 2011 Alfred Nussbaumer
Kryptographie ein erprobter Lehrgang AG-Tagung Informatik, April 2011 Alfred Nussbaumer, LSR für NÖ 1 Variante: Kryptographie in 5 Tagen Ein kleiner Ausflug in die Mathematik (Primzahlen, Restklassen,
MehrEntwicklung der Asymmetrischen Kryptographie und deren Einsatz
Entwicklung der Asymmetrischen Kryptographie und deren Einsatz Peter Kraml, 5a hlw Facharbeit Mathematik Schuljahr 2013/14 Caesar-Verschlüsselung Beispiel Verschiebung der Buchstaben im Alphabet sehr leicht
Mehr8 Der Kompaktheitssatz und der Satz von Löwenheim und Skolem
8 Der Kompaktheitssatz und der Satz von Löwenheim und Skolem 8.1 Der Kompaktheitssatz Kompaktheitssatz Endlichkeitssatz Der Kompaktheitssatz ist auch unter dem Namen Endlichkeitssatz bekannt. Unter Verwendung
MehrMathematische Grundlagen der Kryptografie (1321)SoSe 06
Mathematische Grundlagen der Kryptografie (1321)SoSe 06 Nachklausur am 30.9.2006: Lösungsvorschläge zu den Aufgaben zu Aufgabe I.1 (a) Der Geheimtext als Folge von Elementen aus Z/26Z ist [13, 0, 22, 3].
MehrOnline-Aufgaben Statistik (BIOL, CHAB) Auswertung und Lösung
Online-Aufgaben Statistik (BIOL, CHAB) Auswertung und Lösung Abgaben: 92 / 234 Maximal erreichte Punktzahl: 7 Minimal erreichte Punktzahl: 1 Durchschnitt: 4 Frage 1 (Diese Frage haben ca. 0% nicht beantwortet.)
MehrDatensicherheit durch Kryptographie
Datensicherheit durch Kryptographie Dr. Michael Hortmann Fachbereich Mathematik, Universität Bremen T-Systems Michael.Hortmann@gmx.de 1 Kryptographie: Klassisch: Wissenschaft und Praxis der Datenverschlüsselung
Mehr3. Vortrag: Das RSA-Verschlüsselungsverfahren
Westfälische Wilhelms-Universität Münster Mathematik Sommersemester 2017 Seminar: Verschlüsselungs- und Codierungstheorie Leitung: Thomas Timmermann 3. Vortrag: Das RSA-Verschlüsselungsverfahren Hendrik
MehrZufallsprimzahlen und eine Revolution in der Kryptographie Stefan Edelkamp
Zufallsprimzahlen und eine Revolution in der Kryptographie Stefan Edelkamp Fakultät für Mathematik und Informatik Universität of Bremen Übersicht des Vortrags 1 Einfache Kryptosysteme 2 Einmalschlüssel
MehrGrundlagen der Kryptographie
Grundlagen der Kryptographie Seminar zur Diskreten Mathematik SS2005 André Latour a.latour@fz-juelich.de 1 Inhalt Kryptographische Begriffe Primzahlen Sätze von Euler und Fermat RSA 2 Was ist Kryptographie?
Mehr$Id: ring.tex,v /05/03 15:13:26 hk Exp $
$Id: ring.tex,v 1.13 2012/05/03 15:13:26 hk Exp $ 3 Ringe 3.1 Der Ring Z m In der letzten Sitzung hatten wir die sogenannten Ringe eingeführt, dies waren Mengen A versehen mit einer Addition + und einer
MehrEinführung in die Kryptographie
Ä Johannes Buchmann Einführung in die Kryptographie Dritte, erweiterte Auflage Inhaltsverzeichnis 1. Einleitung 1 2. Ganze Zahlen 3 2.1 Grundlagen 3 2.2 Teilbarkeit 4 2.3 Darstellung ganzer Zahlen 5 2.4
MehrTechnikseminar SS2012
Technikseminar SS2012 ECC - Elliptic Curve Cryptography Kryptosysteme basierend auf elliptischen Kurven 11.06.2012 Gliederung Was ist ECC? ECC und andere Verfahren Diffie-Hellman-Schlüsselaustausch Funktionsweise
MehrNetzwerktechnologien 3 VO
Netzwerktechnologien 3 VO Univ.-Prof. Dr. Helmut Hlavacs helmut.hlavacs@univie.ac.at Dr. Ivan Gojmerac gojmerac@ftw.at Bachelorstudium Medieninformatik SS 2012 Kapitel 8 - Netzwerksicherheit 8.1 Was ist
MehrKryptographie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik
Kryptographie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik Übersicht Zwecke der Kryptographie Techniken Symmetrische Verschlüsselung (One-time Pad,
Mehra i x i, (1) Ein Teil der folgenden Betrachtungen gilt auch, wenn man den Körper durch einen Ring ersetzt.
Polynome Definition 1. Ein Polynom f über einem Körper K mit der Unbestimmten x ist eine formale Summe f(x) = i 0 a i x i, (1) wobei nur endlich viele der Koeffizienten a i K von Null verschieden sind.
MehrProseminar Datensicherheit & Versicherungsmathematik RSA-Verfahren
Proseminar Datensicherheit & Versicherungsmathematik RSA-Verfahren Herwig Stütz 2007-11-23 1 Inhaltsverzeichnis 1 Einführung 2 2 Das RSA-Verfahren 2 2.1 Schlüsselerzeugung.................................
Mehr1. Welche Eigenschaften sollte ein Pseudo-Random Generator haben?
Die Themen 1. Welche Eigenschaften sollte ein Pseudo-Random Generator haben? Er sollte von wirklichen Zufallsgeneratoren nicht unterscheidbar sein?! Eine viel zu starke Forderung: Stattdessen sollte ein
MehrExtremwerte von Funktionen mehrerer reeller Variabler
Extremwerte von Funktionen mehrerer reeller Variabler Bei der Bestimmung der Extrema von (differenzierbaren) Funktionen f : R n R ist es sinnvoll, zuerst jene Stellen zu bestimmen, an denen überhaupt ein
MehrEinführung in die Kryptographie. 20.6.2011, www.privacyfoundation.ch
Einführung in die Kryptographie 20.6.2011, www.privacyfoundation.ch Kryptographie Name kryptós: verborgen, geheim gráphein: schreiben Verschlüsselung Text so umwandeln, dass man ihn nur noch entziffern/lesen
MehrPrimzahlen. Herbert Koch Mathematisches Institut Universität Bonn Die Primfaktorzerlegung. a = st
Primzahlen Herbert Koch Mathematisches Institut Universität Bonn 12.08.2010 1 Die Primfaktorzerlegung Wir kennen die natürlichen Zahlen N = 1, 2,..., die ganzen Zahlen Z, die rationalen Zahlen (Brüche
MehrPublic-Key Kryptographie mit dem RSA Schema. Torsten Büchner
Public-Key Kryptographie mit dem RSA Schema Torsten Büchner 7.12.2004 1.Einleitung 1. symmetrische-, asymmetrische Verschlüsselung 2. RSA als asymmetrisches Verfahren 2.Definition von Begriffen 1. Einwegfunktionen
MehrSicherheit von ElGamal
Sicherheit von ElGamal Satz CPA-Sicherheit ElGamal ElGamal Π ist CPA-sicher unter der DDH-Annahme. Beweis: Sei A ein Angreifer auf ElGamal Π mit Erfolgsws ɛ(n) := Ws[PubK cpa A,Π (n) = 1]. Wir konstruieren
MehrVarianz und Kovarianz
KAPITEL 9 Varianz und Kovarianz 9.1. Varianz Definition 9.1.1. Sei (Ω, F, P) ein Wahrscheinlichkeitsraum und X : Ω eine Zufallsvariable. Wir benutzen die Notation (1) X L 1, falls E[ X ]
MehrKommunikationsalgorithmus RSA
Kommunikationsalgorithmus RSA Herr Maue Ergänzungsfach Informatik Neue Kantonsschule Aarau Früjahrsemester 2015 24.04.2015 EFI (Hr. Maue) Kryptographie 24.04.2015 1 / 26 Programm heute 1. Verschlüsselungsverfahren
MehrKryptographische Algorithmen
Kryptographische Algorithmen Lerneinheit 6: Public Key Kryptosysteme Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen Wintersemester 2016/2017 19.9.2016 Public Key Kryptosysteme Einleitung
Mehr. Dann hat die Gleichung [X 2 ] p k = [a] p k in ( Z/p k Z )
Aufgabe 57 a) Seien p Primzahl, p 2, k N und [a] p k ( Z/p k Z ). Dann hat die Gleichung [X 2 ] p k = [a] p k in ( Z/p k Z ) genau zwei oder gar keine Lösung. Beweis: Sei [x] p k ( Z/p k Z ) eine Lösung
MehrAlgorithmen mit konstantem Platzbedarf: Die Klasse REG
Algorithmen mit konstantem Platzbedarf: Die Klasse REG Sommerakademie Rot an der Rot AG 1 Wieviel Platz brauchen Algorithmen wirklich? Daniel Alm Institut für Numerische Simulation Universität Bonn August
MehrIT-Sicherheitsmanagement. Teil 12: Asymmetrische Verschlüsselung
IT-Sicherheitsmanagement Teil 12: Asymmetrische Verschlüsselung 10.12.15 1 Literatur [12-1] Beutelspacher, A.; Schwenk, J.; Wolfenstetter, K.-D.: Moderne Verfahren der Kryptographie. 4. Auflage, Vieweg
Mehr6 Polynominterpolation
Vorlesungsskript HM-Numerik (SS 2014): Kapitel 6 Version: 1 Juli 2014 6 Polynominterpolation Gegeben: Wertepaare { (x i,f i ) R 2 i = 0,,n } Gesucht: Einfache Funktion g : R R mit g(x i ) = f i i {0,1,,n}
MehrStreaming Data: Das Modell
Streaming Data: Das Modell Berechnungen, bei fortlaufend einströmenden Daten (x t t 0), sind in Echtzeit zu erbringen. Beispiele sind: - Verkehrsmessungen im Internet, - Datenanalyse in der Abwehr einer
MehrVorkurs für. Studierende in Mathematik und Physik. Einführung in Kryptographie Kurzskript 2015
Vorkurs für Studierende in Mathematik und Physik Einführung in Kryptographie Kurzskript 2015 Felix Fontein Institut für Mathematik Universität Zürich Winterthurerstrasse 190 8057 Zürich 11. September 2015
MehrReduktionen. Algorithmen und Datenstrukturen Kapitel 6.2 Komplexitätstheorie. Exkurs: Reduktionen allgemein. Reduktionen: Erläuterungen
en Algorithmen und Datenstrukturen Kapitel 6.2 Komplexitätstheorie P, und C Definition () Seien L 1, L 2 {0, 1} zwei Sprachen. Wir sagen, dass L 1 auf L 2 in polynomialer Zeit reduziert wird, wenn eine
MehrHast du auch wirklich versucht, die Aufgaben einmal selbständig zu lösen? Wenn nicht, tue es, bevor du dir die Lösungen anschaust!
Chr.Nelius: Zahlentheorie (SoSe 2016) 1 14. Aufgabenblatt ZAHLENTHEORIE (für Master G und HRG) Lösungen Hast du auch wirklich versucht, die Aufgaben einmal selbständig zu lösen? Wenn nicht, tue es, bevor
MehrLösungen der Aufgaben
Lösungen der Aufgaben Aufgabe 1.3.1 Es gibt 42 mögliche Verschlüsselungen. Aufgabe 2.3.4 Ergebnisse sind 0, 4 und 4 1 = 4. Aufgabe 2.3.6 Da in Z 9 10 = 1 ist, erhalten wir x = c 0 + + c m = c 0 + + c m.
MehrDiskrete Strukturen. Abgabetermin: 20. September 2011, 14 Uhr in die DS Briefkästen
Technische Universität München Fakultät für Informatik Lehrstuhl für Effiziente Algorithmen Prof. Dr. Ernst W. Mayr Dr. Werner Meixner Sommersemester 2011 Übungsblatt 5 12. September 2011 Diskrete Strukturen
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Björn Kaidel - Vertretung für Prof. J. Müller-Quade (Folien von A. Koch) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 17.11.2016 Björn Kaidel
Mehr8 Komplexitätstheorie und Kryptologie
8 Komplexitätstheorie und Kryptologie Verschlüsselung, Authentisierung,... müssen schnell berechenbar sein. Formal: polynomiell zeitbeschränkte Funktionen/Algorithmen Angreifer hat beschränkte Ressourcen.
MehrKryptografische Protokolle
Kryptografische Protokolle Lerneinheit 6: Elektronisches Geld Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen Sommersemester 2016 14.6.2016 Anforderungen an elektronisches Geld Sicherheit:
MehrProbabilistische Primzahltests
Probabilistische Primzahltests Daniel Tanke 11. Dezember 2007 In dieser Arbeit wird ein Verfahren vorgestellt, mit welchem man relativ schnell testen kann, ob eine ganze Zahl eine Primzahl ist. Für einen
MehrRabin Verschlüsselung 1979
Rabin Verschlüsselung 1979 Idee: Rabin Verschlüsselung Beobachtung: Berechnen von Wurzeln in Z p ist effizient möglich. Ziehen von Quadratwurzeln in Z N ist äquivalent zum Faktorisieren. Vorteil: CPA-Sicherheit
MehrKapitel 3: Die Sätze von Euler, Fermat und Wilson. 8 Der Satz von Euler
Kapitel 3: Die Sätze von Euler, Fermat und Wilson In diesem Kapitel wollen wir nun die eulersche -Funktion verwenden, um einen berühmten Satz von Euler zu formulieren, aus dem wir dann mehrere interessante
Mehr5 Interpolation und Approximation
5 Interpolation und Approximation Problemstellung: Es soll eine Funktion f(x) approximiert werden, von der die Funktionswerte nur an diskreten Stellen bekannt sind. 5. Das Interpolationspolynom y y = P(x)
MehrPraktikum Diskrete Optimierung (Teil 11) 17.07.2006 1
Praktikum Diskrete Optimierung (Teil 11) 17.07.2006 1 1 Primzahltest 1.1 Motivation Primzahlen spielen bei zahlreichen Algorithmen, die Methoden aus der Zahlen-Theorie verwenden, eine zentrale Rolle. Hierzu
MehrExkurs Modelle und Algorithmen
Exkurs Modelle und Algorithmen Ansatz künstlich neuronaler Netze (KNN) Versuch, die Wirkungsweise menschlicher Gehirnzellen nachzubilden dabei wird auf formale mathematische Beschreibungen und Algorithmen
Mehr12. Hashing. Hashing einfache Methode um Wörtebücher zu implementieren, d.h. Hashing unterstützt die Operationen Search, Insert, Delete.
Hashing einfache Methode um Wörtebücher zu implementieren, d.h. Hashing unterstützt die Operationen Search, Insert, Delete. Worst-case Zeit für Search: Θ(n). In der Praxis jedoch sehr gut. Unter gewissen
MehrKRYPTOSYSTEME & RSA IM SPEZIELLEN
KRYPTOSYSTEME & RSA IM SPEZIELLEN Kryptosysteme allgemein Ein Kryptosystem ist eine Vorrichtung oder ein Verfahren, bei dem ein Klartext mithilfe eines Schlüssels in einen Geheimtext umgewandelt wird (Verschlüsselung)
MehrDatenschutzfreundliche Terminplanung
Datenschutzfreundliche Terminplanung Benjamin.Kellermann@tu-dresden.de 3. Dezember 2009 Terminplanungstools sind vielen vielleicht aus Groupwaresystemen bekannt. Ein in letzter Zeit sehr beliebtes Beispiel,
MehrVorlesung Algorithmische Geometrie Konvexe Hülle im R 3
Vorlesung Algorithmische Geometrie Konvexe Hülle im R 3 LEHRSTUHL FÜR ALGORITHMIK I INSTITUT FÜR THEORETISCHE INFORMATIK FAKULTÄT FÜR INFORMATIK Andreas Gemsa 26.06.2012 Prüfung! Termine: 20. Juli 27.
MehrThema 10 Gewöhnliche Differentialgleichungen
Thema 10 Gewöhnliche Differentialgleichungen Viele Naturgesetze stellen eine Beziehung zwischen einer physikalischen Größe und ihren Ableitungen (etwa als Funktion der Zeit dar: 1. ẍ = g (freier Fall;
MehrGleichungen und Ungleichungen
Gleichung Eine Gleichung erhalten wir durch Gleichsetzen zweier Terme. Kapitel 3 Gleichungen und Ungleichungen linke Seite = rechte Seite Grundmenge: Menge aller Zahlen, die wir als Lösung der Gleichung
Mehr9 Schlüsseleinigung, Schlüsselaustausch
9 Schlüsseleinigung, Schlüsselaustausch Ziel: Sicherer Austausch von Schlüsseln über einen unsicheren Kanal initiale Schlüsseleinigung für erste sichere Kommunikation Schlüsselerneuerung für weitere Kommunikation
MehrÜbung GSS Blatt 6. SVS Sicherheit in Verteilten Systemen
Übung GSS Blatt 6 SVS Sicherheit in Verteilten Systemen 1 Einladung zum SVS-Sommerfest SVS-Sommerfest am 12.07.16 ab 17 Uhr Ihr seid eingeladen! :-) Es gibt Thüringer Bratwürste im Brötchen oder Grillkäse
MehrMaike Buchin 18. Februar 2016 Stef Sijben. Probeklausur. Theoretische Informatik. Bearbeitungszeit: 3 Stunden
Maike Buchin 8. Februar 26 Stef Sijben Probeklausur Theoretische Informatik Bearbeitungszeit: 3 Stunden Name: Matrikelnummer: Studiengang: Geburtsdatum: Hinweise: Schreibe die Lösung jeder Aufgabe direkt
MehrA : z z A : z z : ( z, x, z ) δ
Informatik IV, SoS2003 1 Definition 1.1 Ein Quintupel A =(X,Z,z 0,δ,Z f )heißt nichtdeterministischer endlicher Automat (NEA): 1. X, Z sind endliche nichtleere Mengen. 2. z 0 Z 4. δ Z X Z Informatik IV,
Mehr