Digitale Signaturen. RSA-FDH & das Random Oracle Model Björn Kaidel (mit Folien von Gunnar Hartung)

Save this PDF as:
 WORD  PNG  TXT  JPG

Größe: px
Ab Seite anzeigen:

Download "Digitale Signaturen. RSA-FDH & das Random Oracle Model Björn Kaidel (mit Folien von Gunnar Hartung)"

Transkript

1 Digitale Signaturen RSA-FDH & das Random Oracle Model Björn Kaidel (mit Folien von Gunnar Hartung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model KIT Die Forschungsuniversität in der Helmholtz-Gemeinschaft

2 Socrative: Wiederholung Room: SIGNATUREN Bitte jetzt einloggen, falls ihr mitmachen wollt :) Bleibt am Besten einfach während der VL eingeloggt. Erstes Quiz läuft bereits & kann ausgefüllt werden! B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

3 Socrative vom letzten Mal Müssen wir bei Sicherheitsbeweisen nicht zeigen, das wir die Spiele richtig simulieren? Ja! Ansonsten: Unklar, wie sich verwendeter Angreifer verhält. Bei den Beweisen in dieser VL ist es aber meist recht leicht einzusehen Werde versuchen, dass aber etwas deutlicher hervorzuheben! B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

4 Socrative vom letzten Mal Müssen wir bei Sicherheitsbeweisen nicht zeigen, das wir die Spiele richtig simulieren? Ja! Ansonsten: Unklar, wie sich verwendeter Angreifer verhält. Bei den Beweisen in dieser VL ist es aber meist recht leicht einzusehen Werde versuchen, dass aber etwas deutlicher hervorzuheben! Kann der PKCS-Signaturpräfix beliebig sein? (Präfix = Nachrichtencodierung?) Nein, ist vom Standard fesgelegt wir wissen aber nichts über Sicherheit des Verfahrens Änderung führt im Prinzip zu einem neuen Verfahren B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

5 Socrative vom letzten Mal Müssen wir bei Sicherheitsbeweisen nicht zeigen, das wir die Spiele richtig simulieren? Ja! Ansonsten: Unklar, wie sich verwendeter Angreifer verhält. Bei den Beweisen in dieser VL ist es aber meist recht leicht einzusehen Werde versuchen, dass aber etwas deutlicher hervorzuheben! Kann der PKCS-Signaturpräfix beliebig sein? (Präfix = Nachrichtencodierung?) Nein, ist vom Standard fesgelegt wir wissen aber nichts über Sicherheit des Verfahrens Änderung führt im Prinzip zu einem neuen Verfahren Leicht: Codierung, mit der das Verfahren unsicher ist Aber: Vielleicht gibt es bessere Codierungen?! B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

6 Socrative vom letzten Mal Müssen wir bei Sicherheitsbeweisen nicht zeigen, das wir die Spiele richtig simulieren? Ja! Ansonsten: Unklar, wie sich verwendeter Angreifer verhält. Bei den Beweisen in dieser VL ist es aber meist recht leicht einzusehen Werde versuchen, dass aber etwas deutlicher hervorzuheben! Kann der PKCS-Signaturpräfix beliebig sein? (Präfix = Nachrichtencodierung?) Nein, ist vom Standard fesgelegt wir wissen aber nichts über Sicherheit des Verfahrens Änderung führt im Prinzip zu einem neuen Verfahren Leicht: Codierung, mit der das Verfahren unsicher ist Aber: Vielleicht gibt es bessere Codierungen?! (Spoiler: gibt es! ;) ) B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

7 Inhalt RSA-Full Domain Hash (Kap. 4.2) Random-Oracle-Modell (Kap ) RSA-FDH: Sicherheitsbeweis (Kap ) B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

8 Wiederholung: RSA-Annahme RSA-Problem: Geg. N, e (geeignet gewählt) und y Z N, finde x Z N : x e y mod N. RSA-Annahme: PPT A gilt: [ Pr A(1 k, N, e, y) = x : für eine in k vernachlässigbare Funktion negl. x e ] y mod N negl(k) N, e, y wie oben B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

9 Wiederholung: Textbook-RSA Gen(1 k ) : B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

10 Wiederholung: Textbook-RSA Gen(1 k ) : wähle N = P Q, e geeignet d := e 1 mod ϕ(n) pk = (N, e) sk = d B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

11 Wiederholung: Textbook-RSA Gen(1 k ) : wähle N = P Q, e geeignet d := e 1 mod ϕ(n) pk = (N, e) sk = d Sign(sk, m) : B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

12 Wiederholung: Textbook-RSA Gen(1 k ) : wähle N = P Q, e geeignet d := e 1 mod ϕ(n) pk = (N, e) sk = d Sign(sk, m) : σ := m d (mod N) B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

13 Wiederholung: Textbook-RSA Gen(1 k ) : wähle N = P Q, e geeignet d := e 1 mod ϕ(n) pk = (N, e) sk = d Sign(sk, m) : σ := m d (mod N) Vfy(pk, m, σ) : B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

14 Wiederholung: Textbook-RSA Gen(1 k ) : wähle N = P Q, e geeignet d := e 1 mod ϕ(n) pk = (N, e) sk = d Sign(sk, m) : σ := m d (mod N) Vfy(pk, m, σ) : σ e? = m (mod N) B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

15 Wiederholung: Textbook-RSA Gen(1 k ) : wähle N = P Q, e geeignet d := e 1 mod ϕ(n) pk = (N, e) sk = d Sign(sk, m) : σ := m d (mod N) Vfy(pk, m, σ) : σ e? = m (mod N) Sicherheit: B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

16 Wiederholung: Textbook-RSA Gen(1 k ) : wähle N = P Q, e geeignet d := e 1 mod ϕ(n) pk = (N, e) sk = d Sign(sk, m) : σ := m d (mod N) Vfy(pk, m, σ) : σ e? = m (mod N) Sicherheit: verschiedene Angriffe UUF-NMA-sicher B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

17 Sichere RSA-basierte Signaturen Vorverarbeitung von Nachrichten Letzte VL: RSA PKCS #1 v1.5 Heute: RSA Full Domain Hash (FDH) B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

18 RSA-FDH sei H := {0, 1} Z N eine kollisionsresistente Hash-Funktion Idee: Signiere H(m) mit Textbook-RSA Nachrichtenraum/ Domäne bei Textbook-RSA: Z N H soll auf die gesamte Domäne Z N abbilden full domain hash B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

19 RSA-FDH sei H := {0, 1} Z N eine kollisionsresistente Hash-Funktion Idee: Signiere H(m) mit Textbook-RSA Nachrichtenraum/ Domäne bei Textbook-RSA: Z N H soll auf die gesamte Domäne Z N abbilden full domain hash Konkret: Gen(1 k ) : wie bei Textbook-RSA Sign(sk, m) : B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

20 RSA-FDH sei H := {0, 1} Z N eine kollisionsresistente Hash-Funktion Idee: Signiere H(m) mit Textbook-RSA Nachrichtenraum/ Domäne bei Textbook-RSA: Z N H soll auf die gesamte Domäne Z N abbilden full domain hash Konkret: Gen(1 k ) : wie bei Textbook-RSA Sign(sk, m) : σ := H(m) d (mod N) B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

21 RSA-FDH sei H := {0, 1} Z N eine kollisionsresistente Hash-Funktion Idee: Signiere H(m) mit Textbook-RSA Nachrichtenraum/ Domäne bei Textbook-RSA: Z N H soll auf die gesamte Domäne Z N abbilden full domain hash Konkret: Gen(1 k ) : wie bei Textbook-RSA Sign(sk, m) : σ := H(m) d (mod N) Vfy(pk, m, σ) : B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

22 RSA-FDH sei H := {0, 1} Z N eine kollisionsresistente Hash-Funktion Idee: Signiere H(m) mit Textbook-RSA Nachrichtenraum/ Domäne bei Textbook-RSA: Z N H soll auf die gesamte Domäne Z N abbilden full domain hash Konkret: Gen(1 k ) : wie bei Textbook-RSA Sign(sk, m) : σ := H(m) d (mod N) Vfy(pk, m, σ) : σ e? H(m) (mod N) B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

23 RSA-FDH sei H := {0, 1} Z N eine kollisionsresistente Hash-Funktion Idee: Signiere H(m) mit Textbook-RSA Nachrichtenraum/ Domäne bei Textbook-RSA: Z N H soll auf die gesamte Domäne Z N abbilden full domain hash Konkret: Gen(1 k ) : wie bei Textbook-RSA Sign(sk, m) : σ := H(m) d (mod N) Vfy(pk, m, σ) : σ e? H(m) (mod N) Korrektheit: wie immer (Übung) B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

24 Sicherheit von RSA-FDH Theorem Wenn die RSA-Annahme gilt, dann ist das RSA-FDH-Signaturverfahren EUF-CMA-sicher B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

25 Sicherheit von RSA-FDH Theorem Wenn die RSA-Annahme gilt, dann ist das RSA-FDH-Signaturverfahren EUF-CMA-sicher im Random-Oracle-Modell B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

26 Sicherheit von RSA-FDH Theorem Wenn die RSA-Annahme gilt, dann ist das RSA-FDH-Signaturverfahren EUF-CMA-sicher im Random-Oracle-Modell. Random-Oracle-Modell? B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

27 Gliederung RSA-Full Domain Hash (Kap. 4.2) Random-Oracle-Modell (Kap ) RSA-FDH: Sicherheitsbeweis (Kap ) B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

28 Random-Oracle-Modell (ROM) Heuristik betrachte idealisierte Hash-Funktion H Ausgabe von H(m) gleichverteilt zufällig für jede Eingabe m H modelliert als Orakel, das die Hashwerte ausgibt ( Random Oracle ) Alle Parteien verwenden das gleiche Orakel B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

29 Random-Oracle-Modell (ROM) Heuristik betrachte idealisierte Hash-Funktion H Ausgabe von H(m) gleichverteilt zufällig für jede Eingabe m H modelliert als Orakel, das die Hashwerte ausgibt ( Random Oracle ) Alle Parteien verwenden das gleiche Orakel Das H-Orakel: besitzt einen internen Key-Value-Store T implementiert folgenden Algorithmus : if m in T : return T [m] else: y Z N T [m] := y return y B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

30 Random-Oracle-Modell (ROM): Diskussion Fakt: Es existiert kein Random-Oracle in der realen Welt B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

31 Random-Oracle-Modell (ROM): Diskussion Fakt: Es existiert kein Random-Oracle in der realen Welt Konsens: Sicherheitsbeweis im Standardmodell besser als Sicherheitsbeweis im ROM B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

32 Random-Oracle-Modell (ROM): Diskussion Fakt: Es existiert kein Random-Oracle in der realen Welt Konsens: Sicherheitsbeweis im Standardmodell besser als Sicherheitsbeweis im ROM Fakt: manche kryptographischen Probleme nur im ROM lösbar (Bem. 63) B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

33 Random-Oracle-Modell (ROM): Diskussion Fakt: Es existiert kein Random-Oracle in der realen Welt Konsens: Sicherheitsbeweis im Standardmodell besser als Sicherheitsbeweis im ROM Fakt: manche kryptographischen Probleme nur im ROM lösbar (Bem. 63) Fakt: Lösungen im ROM oft effizienter als Lösungen im Standardmodell Beispiel: RSA-basierte Signaturen B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

34 Random-Oracle-Modell (ROM): Diskussion Fakt: Es existiert kein Random-Oracle in der realen Welt Konsens: Sicherheitsbeweis im Standardmodell besser als Sicherheitsbeweis im ROM Fakt: manche kryptographischen Probleme nur im ROM lösbar (Bem. 63) Fakt: Lösungen im ROM oft effizienter als Lösungen im Standardmodell Beispiel: RSA-basierte Signaturen Fakt: Lösungen im ROM oft einfacher zu konstruieren Vorstufe zur Lösung im Standardmodell B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

35 Random-Oracle-Modell (ROM): Diskussion Fakt: Es existiert kein Random-Oracle in der realen Welt Konsens: Sicherheitsbeweis im Standardmodell besser als Sicherheitsbeweis im ROM Fakt: manche kryptographischen Probleme nur im ROM lösbar (Bem. 63) Fakt: Lösungen im ROM oft effizienter als Lösungen im Standardmodell Beispiel: RSA-basierte Signaturen Fakt: Lösungen im ROM oft einfacher zu konstruieren Vorstufe zur Lösung im Standardmodell = ROM vereinfacht Sicherheitsbeweise oder ermöglicht sie erst B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

36 Random-Oracle-Modell (ROM): Diskussion Fakt: für viele Konstruktionen im ROM sind keine realen Angriffe bekannt B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

37 Random-Oracle-Modell (ROM): Diskussion Fakt: für viele Konstruktionen im ROM sind keine realen Angriffe bekannt Fakt: Es existieren kryptographische Konstruktionen, die im ROM als sicher bewiesen werden können, aber mit jeder realen Hash-Funktion unsicher sind. Aber: diese Konstruktionen sind sehr künstlich B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

38 Random-Oracle-Modell (ROM): Diskussion Fakt: für viele Konstruktionen im ROM sind keine realen Angriffe bekannt Fakt: Es existieren kryptographische Konstruktionen, die im ROM als sicher bewiesen werden können, aber mit jeder realen Hash-Funktion unsicher sind. Aber: diese Konstruktionen sind sehr künstlich Fakt: Was genau ein Sicherheitsbeweis im ROM für die Sicherheit in der Praxis bedeutet ist unklar Grundidee: Verfahren ist sicher, solang die Hashfunktion gut ist B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

39 Random-Oracle-Modell (ROM): Diskussion Zusammenfassung: ROM liefert effiziente Konstruktionen funktioniert (bisher) in der Praxis gut ist (Über-)Idealisierung ROM insgesamt umstritten B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

40 Socrative Room: SIGNATUREN Was ist das Random Oracle Modell? Gibt es Verfahren, die im ROM und Standardmodell sicher sind? Gibt es Verfahren, die im ROM, aber nicht im Standardmodell sicher sind? B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

41 Gliederung RSA-Full Domain Hash (Kap. 4.2) Random-Oracle-Modell (Kap ) RSA-FDH: Sicherheitsbeweis (Kap ) B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

42 RSA-FDH: Sicherheitsbeweis Theorem (64) Wenn H als Random Oracle modelliert wird, dann existiert für jeden Angreifer A, der die EUF-CMA-Sicherheit von RSA-FDH in Zeit t A mit Erfolgswahrscheinlichkeit ɛ A bricht und dabei höchstens q H Anfragen an das H-Orakel stellt ein Angreifer B der das RSA-Problem in Zeit t B t A mit Erfolgswahrscheinlichkeit löst. ɛ B ɛ A 1/N q H B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

43 RSA-FDH: Sicherheitsbeweis Beweisidee: A muss Hashwert-Anfragen an das RO stellen auch für m Fange diese Anfragen ab und simuliere RO B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

44 RSA-FDH: Sicherheitsbeweis Beweisidee: A muss Hashwert-Anfragen an das RO stellen auch für m Fange diese Anfragen ab und simuliere RO B kann das RO für A implementieren = ersetze Random-Oracle-Implementierung: rate Index i der Nachricht, für die A eine Signatur fälschen wird wähle alle anderen Hash-Werte h j (j = i) so, dass eine Signatur bekannt ist wähle h i = y B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

45 RSA-FDH: Sicherheitsbeweis Angenommen, A ist erfolgreich und gibt gültige Fälschung (m, σ ) aus. Dann trifft eins der folgenden Ereignisse ein: E 0 : A fragt nie H(m ) beim RO an E 1 : A fragt H(m ) beim RO an B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

46 RSA-FDH: Sicherheitsbeweis Angenommen, A ist erfolgreich und gibt gültige Fälschung (m, σ ) aus. Dann trifft eins der folgenden Ereignisse ein: E 0 : A fragt nie H(m ) beim RO an E 1 : A fragt H(m ) beim RO an Es gilt ɛ A Pr[E 0 ] + Pr[E 1 ] B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

47 RSA-FDH: Ereignis E 0 E 0 : A fragt nie H(m ) beim RO an RO wählt H(m ) echt zufällig aus Z N Abb. h h d mod N ist eine Bijektion Damit ist σ = H(m ) d ebenfalls echt zufällig aus Z N D.h. A kann in diesem Fall nur Raten B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

48 RSA-FDH: Ereignis E 0 E 0 : A fragt nie H(m ) beim RO an RO wählt H(m ) echt zufällig aus Z N Abb. h h d mod N ist eine Bijektion Damit ist σ = H(m ) d ebenfalls echt zufällig aus Z N D.h. A kann in diesem Fall nur Raten = Pr[E 0 ] 1 N B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

49 RSA-FDH: Beweisübersicht für E 1 RSA-Problem EUF-CMA C RSA B A B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

50 RSA-FDH: Beweisübersicht für E 1 RSA-Problem EUF-CMA C RSA B A wähle N, e, y N, e, y B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

51 RSA-FDH: Beweisübersicht für E 1 RSA-Problem EUF-CMA C RSA B A wähle N, e, y N, e, y pk B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

52 RSA-FDH: Beweisübersicht für E 1 RSA-Problem EUF-CMA C RSA B A wähle N, e, y N, e, y pk H(m) =? B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

53 RSA-FDH: Beweisübersicht für E 1 RSA-Problem EUF-CMA C RSA B A wähle N, e, y N, e, y pk H(m) =? wähle H(m) geeignet H(m) B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

54 RSA-FDH: Beweisübersicht für E 1 RSA-Problem EUF-CMA C RSA B A wähle N, e, y N, e, y pk H(m) =? wähle H(m) geeignet H(m) 1 Sign(sk, m) =? B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

55 RSA-FDH: Beweisübersicht für E 1 RSA-Problem EUF-CMA C RSA B A wähle N, e, y N, e, y pk H(m) =? wähle H(m) geeignet H(m) 1 Sign(sk, m) =? berechne σ geeignet σ B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

56 RSA-FDH: Beweisübersicht für E 1 RSA-Problem EUF-CMA C RSA B A wähle N, e, y N, e, y pk H(m) =? wähle H(m) geeignet H(m) 1 Sign(sk, m) =? berechne σ geeignet σ 2 m, σ B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

57 RSA-FDH: Beweisübersicht für E 1 RSA-Problem EUF-CMA C RSA B A wähle N, e, y N, e, y pk H(m) =? wähle H(m) geeignet H(m) 1 Sign(sk, m) =? berechne σ geeignet σ 2 x m, σ B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

58 RSA-FDH: Erfolgswkt. Erinnerung: ɛ A Pr[E 0 ] + Pr [ E 1 ] Bisher gezeigt: Pr[E 0 ] 1/N und ɛ B Pr[E 1 ]/q H B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

59 RSA-FDH: Erfolgswkt. Erinnerung: ɛ A Pr[E 0 ] + Pr [ E 1 ] Bisher gezeigt: Pr[E 0 ] 1/N und ɛ B Pr[E 1 ]/q H Daraus folgt: ɛ B q H Pr[E 1 ] ɛ A Pr[E 0 ] ɛ A 1/N B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

60 RSA-FDH: Erfolgswkt. Erinnerung: ɛ A Pr[E 0 ] + Pr [ E 1 ] Bisher gezeigt: Pr[E 0 ] 1/N und ɛ B Pr[E 1 ]/q H Daraus folgt: ɛ B q H Pr[E 1 ] ɛ A Pr[E 0 ] ɛ A 1/N ɛ B ɛ A 1/N q H B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

61 RSA-FDH: Diskussion (Skript) Konstruierter Angreifer B hat Erfolgswahrscheinlichkeit ɛ B ɛ A 1/N q H schwaches Ergebnis zwar ausreichend, um EUF-CMA-Sicherheit zu zeigen aber: ɛ B ɛ A wäre stärkeres/besseres Ergebnis B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

62 RSA-FDH: Diskussion (Skript) Konstruierter Angreifer B hat Erfolgswahrscheinlichkeit ɛ B ɛ A 1/N q H schwaches Ergebnis zwar ausreichend, um EUF-CMA-Sicherheit zu zeigen aber: ɛ B ɛ A wäre stärkeres/besseres Ergebnis Frage: Hat diese Schwäche Auswirkungen? B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

63 RSA-FDH: Diskussion (Skript) Ja! (Wenn man auf beweisbarer Sicherheit besteht.) Nächste Vorlesung: Welche Auswirkungen hat der Verlust bei der Erfolgswahrscheinlichkeit? RSA-PSS: Signaturverfahren mit deutlich kleinerem Verlust B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

64 Socrative Room: SIGNATUREN Sicherheit von RSA-FDH? Ist RSA-FDH homomorph? Was nutzen wir im Beweis aus? B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

Digitale Signaturen. Einmalsignaturen Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Digitale Signaturen. Einmalsignaturen Gunnar Hartung, Björn Kaidel.  FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK Digitale Signaturen Einmalsignaturen Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-11-04 B. Kaidel Digitale Signaturen: Einmalsignaturen KIT Die Forschungsuniversität

Mehr

Digitale Signaturen. Sicherheitsdefinitionen Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Digitale Signaturen. Sicherheitsdefinitionen Björn Kaidel.  FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK Digitale Signaturen Sicherheitsdefinitionen Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-10-27 B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen KIT Die Forschungsuniversität

Mehr

Digitale Signaturen. Wiederholung Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Digitale Signaturen. Wiederholung Gunnar Hartung, Björn Kaidel.  FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK Digitale Signaturen Wiederholung Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung KIT Die Forschungsuniversität

Mehr

Digitale Signaturen. Einführung Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Digitale Signaturen. Einführung Gunnar Hartung, Björn Kaidel.  FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK Digitale Signaturen Einführung Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-10-21 G. Hartung, B. Kaidel Digitale Signaturen: Einführung KIT Die Forschungsuniversität

Mehr

Digitale Signaturen. Einführung Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Digitale Signaturen. Einführung Björn Kaidel.  FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK Digitale Signaturen Einführung Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-10-20 B. Kaidel Digitale Signaturen: Einführung KIT Die Forschungsuniversität in der Helmholtz-Gemeinschaft

Mehr

Digitale Signaturen. seuf-cma & Pairings Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Digitale Signaturen. seuf-cma & Pairings Gunnar Hartung, Björn Kaidel.  FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK Digitale Signaturen seuf-cma & Pairings Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-01-20 B. Kaidel Digitale Signaturen: seuf-cma & Pairings KIT Die

Mehr

Vorlesung Digitale Signaturen im Wintersemester 2017/-18. Socrative-Fragen aus der Vorlesung vom

Vorlesung Digitale Signaturen im Wintersemester 2017/-18. Socrative-Fragen aus der Vorlesung vom Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Dozenten: Björn Kaidel Vorlesung Digitale Signaturen im Wintersemester 2017/-18 Socrative-Fragen aus der Vorlesung vom 17.11.2017 1 Quiz 1:

Mehr

Homomorphe Verschlüsselung

Homomorphe Verschlüsselung Homomorphe Verschlüsselung Definition Homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : G G für Gruppen G, G. Π heißt homomorph, falls Enc(m 1 ) G Enc(m 2 ) eine gültige Verschlüsselung

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 23.05.2016 1 / 32 Überblick 1 Symmetrische Authentifikation von Nachrichten Ziel Konstruktionen MACs

Mehr

RSA Full Domain Hash (RSA-FDH) Signaturen

RSA Full Domain Hash (RSA-FDH) Signaturen RSA Full Domain Hash (RSA-FDH) Signaturen Signatur RSA-FDH Sei H : {0, 1} Z N ein Random-Oracle. 1 Gen: (N, e, d) GenRSA(1 n ) mit pk = (N, e) und sk = (N, d). 2 Sign: Für eine Nachricht m {0, 1} berechne

Mehr

RSA Full Domain Hash (RSA-FDH) Signaturen

RSA Full Domain Hash (RSA-FDH) Signaturen RSA Full Domain Hash (RSA-FDH) Signaturen Signatur RSA-FDH Sei H : {0, 1} Z N ein Random-Oracle. 1 Gen: (N, e, d) GenRSA(1 n ) mit pk = (N, e) und sk = (N, d). 2 Sign: Für eine Nachricht m {0, 1} berechne

Mehr

Voll homomorpe Verschlüsselung

Voll homomorpe Verschlüsselung Voll homomorpe Verschlüsselung Definition Voll homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : R R für Ringe R, R. Π heißt voll homomorph, falls 1 Enc(m 1 ) + Enc(m 2 ) eine gültige

Mehr

Übung zur Vorlesung Sicherheit Übungsblatt 3. Björn Kaidel 1 / 52

Übung zur Vorlesung Sicherheit Übungsblatt 3. Björn Kaidel 1 / 52 Übung zur Vorlesung Sicherheit 21.05.2014 Übungsblatt 3 Björn Kaidel bjoern.kaidel@kit.edu 1 / 52 Kummerkasten Bitte helleren Laserpointer verwenden. Sind die Skriptlinks vertauscht? Nein! Wegen allgemeiner

Mehr

Homomorphe Verschlüsselung

Homomorphe Verschlüsselung Homomorphe Verschlüsselung Definition Homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : G G für Gruppen G, G. Π heißt homomorph, falls Enc(m 1 ) G Enc(m 2 ) eine gültige Verschlüsselung

Mehr

Digitale Signaturen. Kapitel 8

Digitale Signaturen. Kapitel 8 Digitale Signaturen Kapitel 8 Handschriftliche vs. digitale Unterschrift digitalisieren mp3 Unterschrift digitale Unterschrift von D.H. für mp3? (Scannen und als Bitmap anhängen z.b. zu leicht zu fälschen)

Mehr

8: Zufallsorakel. Wir suchen: Einfache mathematische Abstraktion für Hashfunktionen

8: Zufallsorakel. Wir suchen: Einfache mathematische Abstraktion für Hashfunktionen Stefan Lucks 8: Zufallsorakel 139 Kryptogr. Hashfunkt. (WS 08/09) 8: Zufallsorakel Unser Problem: Exakte Eigenschaften von effizienten Hashfunktionen nur schwer erfassbar (z.b. MD5, Tiger, RipeMD, SHA-1,...)

Mehr

Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Klausur Hinweise

Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Klausur Hinweise Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Klausur 21.07.2015 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 12.05.2014 1 / 26 Überblick 1 Hashfunktionen Erinnerung Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel:

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 06.05.2013 1 / 25 Überblick 1 Hashfunktionen Erinnerung Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel:

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 15.05.2017 1 / 25 Überblick 1 Hashfunktionen Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel: RSA

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 13.05.2013 1 / 16 Überblick 1 Asymmetrische Verschlüsselung Erinnerung Andere Verfahren Demonstration Zusammenfassung 2 Symmetrische Authentifikation von Nachrichten

Mehr

Digitale Unterschriften. Angriffe und Sicherheitsmodelle. Bemerkungen. Angriffe und Sicherheitsmodelle

Digitale Unterschriften. Angriffe und Sicherheitsmodelle. Bemerkungen. Angriffe und Sicherheitsmodelle Digitale Unterschriften Auch digitale Signaturen genannt. Nachrichten aus Nachrichtenraum: M M. Signaturen aus Signaturenraum: σ S. Schlüssel sind aus Schlüsselräumen: d K 1, e K 2. SignierungsverfahrenS

Mehr

Hybride Verschlüsselungsverfahren

Hybride Verschlüsselungsverfahren Hybride Verschlüsselungsverfahren Ziel: Flexibilität von asym. Verfahren und Effizienz von sym. Verfahren. Szenario: Sei Π = (Gen, Enc, Dec) ein PK-Verschlüsselungsverfahren und Π = (Gen, Enc, Dec ) ein

Mehr

Bemerkungen. Orientierung. Digitale Unterschriften. Angriffe und Sicherheitsmodelle

Bemerkungen. Orientierung. Digitale Unterschriften. Angriffe und Sicherheitsmodelle Orientierung Haben bisher im Public-Key Bereich nur Verschlüsselung betrachtet. Haben dafür geeignete mathematische Strukturen und ihre Eigenschaften diskutiert. RSA, Rabin: Restklassenringe modulo n,

Mehr

Asymmetrische Verschlüsselungsverfahren

Asymmetrische Verschlüsselungsverfahren Asymmetrische Verschlüsselungsverfahren Vorlesung 4 Alexander Koch (Vertretung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 KIT 2015-11-12 Universität desalexander Landes Baden-Württemberg

Mehr

Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Nachklausur

Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Nachklausur Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz IKS Institut für Kryptographie und Sicherheit Stammvorlesung Sicherheit im Sommersemester 2013 Nachklausur 07.10.2013 Vorname: Nachname:

Mehr

Asymmetrische Verschlüsselungsverfahren

Asymmetrische Verschlüsselungsverfahren Asymmetrische Verschlüsselungsverfahren Björn Kaidel - Vertretung für Prof. J. Müller-Quade (Folien von A. Koch) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 17.11.2016 Björn Kaidel

Mehr

CPA-Sicherheit ist ungenügend

CPA-Sicherheit ist ungenügend CPA-Sicherheit ist ungenügend Definition CCA CCA (=Chosen Ciphertext Attack) ist ein Angriff, bei dem der Angreifer sich Chiffretext seiner Wahl entschlüsseln lassen kann. Beispiele in denen CPA nicht

Mehr

Definition Message Authentication Code (MAC) Ein Message Authentication Code (MAC) bzgl. des Nachrichtenraumen M besteht aus den ppt Alg.

Definition Message Authentication Code (MAC) Ein Message Authentication Code (MAC) bzgl. des Nachrichtenraumen M besteht aus den ppt Alg. Message Authentication Code (MAC) Szenario: Integrität und Authentizität mittels MACs. Alice und Bob besitzen gemeinsamen Schlüssel k. Alice berechnet für m einen MAC-Tag t als Funktion von m und k. Alice

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 26.05.2014 1 / 32 Überblick 1 Hinweis 2 Asymmetrische Authentifikation von Nachrichten Erinnerung RSA als Signaturschema ElGamal-Signaturen Hash-Then-Sign

Mehr

Blinde Signaturen, geheime Abstimmungen und digitale Münzen

Blinde Signaturen, geheime Abstimmungen und digitale Münzen Blinde Signaturen, geheime Abstimmungen und digitale Münzen Claus Diem Im Wintersemester 2017 / 18 Crypto 1982 Geheime Abstimmungen Eine geheime Abstimmung Problem. Eine Gruppe von Personen will per Brief

Mehr

Digitale Unterschriften Grundlagen der digitalen Unterschriften Hash-Then-Sign Unterschriften Public-Key Infrastrukturen (PKI) Digitale Signaturen

Digitale Unterschriften Grundlagen der digitalen Unterschriften Hash-Then-Sign Unterschriften Public-Key Infrastrukturen (PKI) Digitale Signaturen Sommersemester 2008 Digitale Unterschriften Unterschrift von Hand : Physikalische Verbindung mit dem unterschriebenen Dokument (beides steht auf dem gleichen Blatt). Fälschen erfordert einiges Geschick

Mehr

Sicherheit von hybrider Verschlüsselung

Sicherheit von hybrider Verschlüsselung Sicherheit von hybrider Verschlüsselung Satz Sicherheit hybrider Verschlüsselung Sei Π ein CPA-sicheres PK-Verschlüsselungsverfahren und Π ein KPA-sicheres SK-Verschlüsselungsverfahren. Dann ist das hybride

Mehr

Ich bedanke mich bei Florian Böhl, Benny Fuhry, Gunnar Hartung, Jan Holz, Björn Kaidel, Eike Kiltz, Evgheni Kirzner, Jessica Koch, Julia Rohlfing,

Ich bedanke mich bei Florian Böhl, Benny Fuhry, Gunnar Hartung, Jan Holz, Björn Kaidel, Eike Kiltz, Evgheni Kirzner, Jessica Koch, Julia Rohlfing, Digitale Signaturen Tibor Jager tibor.jager@rub.de Horst Görtz Institut für IT-Sicherheit Lehrstuhl für Netz- und Datensicherheit Ruhr-Universität Bochum Letzte Aktualisierung: 6. Oktober 2015 Ich bedanke

Mehr

Prinzipien der modernen Kryptographie Sicherheit

Prinzipien der modernen Kryptographie Sicherheit Prinzipien der modernen Kryptographie Sicherheit Prinzip 1 Sicherheitsmodell Das Sicherheitsmodell (Berechnungsmodell, Angriffstypen, Sicherheitsziele) muss präzise definiert werden. Berechnungsmodell:

Mehr

Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Klausur Hinweise

Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Klausur Hinweise Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Klausur 22.07.2014 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 08.05.2017 1 / 32 Überblick 1 Blockchiffren Erinnerung Varianten von DES Beispiel: AES Angriffe auf Blockchiffren 2 Formalisierung von Sicherheit (symmetrischer

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 20.04.2014 1 / 28 Überblick 1 Blockchiffren Erinnerung Angriffe auf Blockchiffren 2 Formalisierung

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 02.05.2016 1 / 22 Überblick 1 Hashfunktionen Erinnerung Formalisierung Die Merkle-Damgård-Konstruktion

Mehr

Verteilte Kyroptographie

Verteilte Kyroptographie Verteilte Kyroptographie Klassische kryptographische Verfahren Kryptographische Hash-Funktionen Public-Key-Signaturen Verteilte Mechanismen Schwellwert-Signaturen Verteilt generierte Zufallszahlen Verteilte

Mehr

Rabin Verschlüsselung 1979

Rabin Verschlüsselung 1979 Rabin Verschlüsselung 1979 Idee: Rabin Verschlüsselung Beobachtung: Berechnen von Wurzeln in Z p ist effizient möglich. Ziehen von Quadratwurzeln in Z N ist äquivalent zum Faktorisieren. Vorteil: CPA-Sicherheit

Mehr

Prinzipien der modernen Kryptographie Sicherheit

Prinzipien der modernen Kryptographie Sicherheit Prinzipien der modernen Kryptographie Sicherheit Prinzip 1 Sicherheitsziel Die Sicherheitsziele müssen präzise definiert werden. Beispiele für ungenügende Definitionen von Sicherheit Kein Angreifer kann

Mehr

ElGamal Verschlüsselungsverfahren (1984)

ElGamal Verschlüsselungsverfahren (1984) ElGamal Verschlüsselungsverfahren (1984) Definition ElGamal Verschlüsselungsverfahren Sei n ein Sicherheitsparameter. 1 Gen : (q, g) G(1 n ), wobei g eine Gruppe G der Ordnung q generiert. Wähle x R Z

Mehr

Sicherheit von ElGamal

Sicherheit von ElGamal Sicherheit von ElGamal Satz CPA-Sicherheit ElGamal ElGamal Π ist CPA-sicher unter der DDH-Annahme. Beweis: Sei A ein Angreifer auf ElGamal Π mit Erfolgsws ɛ(n) := Ws[PubK cpa A,Π (n) = 1]. Wir konstruieren

Mehr

Institut für Theoretische Informatik Prof. Dr. Dennis Hofheinz Übungsleiter: Thomas Agrikola. Stammvorlesung Sicherheit im Sommersemester 2017

Institut für Theoretische Informatik Prof. Dr. Dennis Hofheinz Übungsleiter: Thomas Agrikola. Stammvorlesung Sicherheit im Sommersemester 2017 Institut für Theoretische Informatik Prof. Dr. Dennis Hofheinz Übungsleiter: Thomas Agrikola Stammvorlesung Sicherheit im Sommersemester 2017 Übungsblatt 5 Aufgabe 1. (1.) In der Vorlesung wurde gezeigt,

Mehr

Verschlüsselung. Chiffrat. Eve

Verschlüsselung. Chiffrat. Eve Das RSA Verfahren Verschlüsselung m Chiffrat m k k Eve? Verschlüsselung m Chiffrat m k k Eve? Aber wie verteilt man die Schlüssel? Die Mafia-Methode Sender Empfänger Der Sender verwendet keine Verschlüsselung

Mehr

Stromchiffre. Algorithmus Stromchiffre

Stromchiffre. Algorithmus Stromchiffre Stromchiffre Algorithmus Stromchiffre Sei G ein Pseudozufallsgenerator mit Expansionsfaktor l(n). Wir definieren Π s = (Gen, Enc, Dec) mit Sicherheitsparameter n für Nachrichten der Länge l(n). 1 Gen:

Mehr

Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Übungsblatt 5

Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Übungsblatt 5 Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Übungsblatt 5 Aufgabe 1. (1.) In der Vorlesung wurde gezeigt, dass Lehrbuch-RSA-Signaturen

Mehr

https://b.socrative.com/login/student/

https://b.socrative.com/login/student/ Übung zur Vorlesung Sicherheit 23.06.2016 Übungsblatt 4 Björn Kaidel bjoern.kaidel@kit.edu https://b.socrative.com/login/student/ Room: SICHERHEIT Bitte gleich einloggen! 1 / 62 Feedback: Kummerkasten/Feedback

Mehr

Mitschrift Vorlesung Einführung in die Kryptographie vom 18. Januar 2011

Mitschrift Vorlesung Einführung in die Kryptographie vom 18. Januar 2011 Mitschrift Vorlesung Einführung in die Kryptographie vom 18. Januar 2011 Dominic Scheurer 6. Februar 2012 Inhaltsverzeichnis 30 Digitale Signaturen (cont'd) - One-Time-Signaturen (OTS) 1 31 Public-Key-Verschlüsselung

Mehr

Effizienten MAC-Konstruktion aus der Praxis: NMAC Idee von NMAC:

Effizienten MAC-Konstruktion aus der Praxis: NMAC Idee von NMAC: Effizienten MAC-Konstruktion aus der Praxis: NMAC Idee von NMAC: Hashe m {0, 1} auf einen Hashwert in {0, 1} n. Verwende Π MAC3 für Nachrichten fixer Länge auf dem Hashwert. Wir konstruieren Π MAC3 mittels

Mehr

Theoretische Grundlagen der Informatik

Theoretische Grundlagen der Informatik Theoretische Grundlagen der Informatik Vorlesung am 5. Dezember 2017 INSTITUT FÜR THEORETISCHE 0 05.12.2017 Dorothea Wagner - Theoretische Grundlagen der Informatik INSTITUT FÜR THEORETISCHE KIT Die Forschungsuniversität

Mehr

Kap. 2: Fail-Stop Unterschriften

Kap. 2: Fail-Stop Unterschriften Stefan Lucks 2: Fail-Stop Unterschriften 17 Digital Unterschreiben und Bezahlen Kap. 2: Fail-Stop Unterschriften Digitale Unterschriften (Synomym: Digitale Signaturen ): Fälschen mutmaßlich hart (RSA-Wurzeln,

Mehr

3: Zahlentheorie / Primzahlen

3: Zahlentheorie / Primzahlen Stefan Lucks Diskrete Strukturen (WS 2009/10) 96 3: Zahlentheorie / Primzahlen 3: Zahlentheorie / Primzahlen Stefan Lucks Diskrete Strukturen (WS 2009/10) 97 Definition 37 (Teiler, Vielfache, Primzahlen,

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 10.06.2013 1 / 26 Überblick 1 Schlüsselaustauschprotokolle Transport Layer Security (TLS) Weitere Schlüsselaustauschtypen Zusammenfassung 2 Identifikationsprotokolle

Mehr

Sicherer MAC für Nachrichten beliebiger Länge

Sicherer MAC für Nachrichten beliebiger Länge Sicherer MAC für Nachrichten beliebiger Länge Korollar Sicherer MAC für Nachrichten beliebiger Länge Sei F eine Pseudozufallsfunktion. Dann ist Π MAC2 für Π = Π MAC sicher. Nachteile: Für m ({0, 1} n 4

Mehr

Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Klausur

Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Klausur Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz IKS Institut für Kryptographie und Sicherheit Stammvorlesung Sicherheit im Sommersemester 2013 Klausur 26.07.2013 Vorname: Nachname:

Mehr

Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Klausur Hinweise

Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Klausur Hinweise Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Klausur 22.07.2014 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen

Mehr

13. Woche: NP-Vollständigkeit Satz von Cook-Levin Anwendungen in der Kryptographie

13. Woche: NP-Vollständigkeit Satz von Cook-Levin Anwendungen in der Kryptographie 13 Woche: NP-Vollständigkeit Satz von Cook-Levin Anwendungen in der Kryptographie 13 Woche: NP-Vollständigkeit, Satz von Cook-Levin, Anwendungen 276/ 333 N P-Vollständigkeit Ḋefinition NP-vollständig Sei

Mehr

Beweisbar sichere Verschlüsselung

Beweisbar sichere Verschlüsselung Beweisbar sichere Verschlüsselung ITS-Wahlpflichtvorlesung Dr. Bodo Möller Ruhr-Universität Bochum Horst-Görtz-Institut für IT-Sicherheit Lehrstuhl für Kommunikationssicherheit bmoeller@crypto.rub.de 1

Mehr

Hardcore-Prädikat. Definition Hardcore-Prädikat. Ziel: Destilliere Komplexität des Invertierens auf ein Bit.

Hardcore-Prädikat. Definition Hardcore-Prädikat. Ziel: Destilliere Komplexität des Invertierens auf ein Bit. Hardcore-Prädikat Ziel: Destilliere Komplexität des Invertierens auf ein Bit. Definition Hardcore-Prädikat Sei Π f eine Einwegfunktion. Sei hc ein deterministischer pt Alg mit Ausgabe eines Bits hc(x)

Mehr

Einwegfunktionen. Problemseminar. Komplexitätstheorie und Kryptographie. Martin Huschenbett. 30. Oktober 2008

Einwegfunktionen. Problemseminar. Komplexitätstheorie und Kryptographie. Martin Huschenbett. 30. Oktober 2008 Problemseminar Komplexitätstheorie und Kryptographie Martin Huschenbett Student am Institut für Informatik an der Universität Leipzig 30. Oktober 2008 1 / 33 Gliederung 1 Randomisierte Algorithmen und

Mehr

Einführung in die Kryptographie. 20.6.2011, www.privacyfoundation.ch

Einführung in die Kryptographie. 20.6.2011, www.privacyfoundation.ch Einführung in die Kryptographie 20.6.2011, www.privacyfoundation.ch Kryptographie Name kryptós: verborgen, geheim gráphein: schreiben Verschlüsselung Text so umwandeln, dass man ihn nur noch entziffern/lesen

Mehr

Digitale Signaturen. Einführung und das Schnorr Signatur Schema. 1 Digitale Signaturen Einführung & das Schnorr Signatur Schema.

Digitale Signaturen. Einführung und das Schnorr Signatur Schema. 1 Digitale Signaturen Einführung & das Schnorr Signatur Schema. Digitale Signaturen Einführung und das Schnorr Signatur Schema 1 Übersicht 1. Prinzip der digitalen Signatur 2. Grundlagen Hash Funktionen Diskreter Logarithmus 3. ElGamal Signatur Schema 4. Schnorr Signatur

Mehr

Algorithmische Methoden für schwere Optimierungsprobleme

Algorithmische Methoden für schwere Optimierungsprobleme Algorithmische Methoden für schwere Optimierungsprobleme Prof. Dr. Henning Meyerhenke Institut für Theoretische Informatik 1 KIT Henning Universität desmeyerhenke, Landes Baden-Württemberg Institutund

Mehr

Einführung in die Theoretische Informatik

Einführung in die Theoretische Informatik Technische Universität München Fakultät für Informatik Prof. Tobias Nipkow, Ph.D. Sascha Böhme, Lars Noschinski Sommersemester 2011 Lösungsblatt 9 25. Juli 2011 Einführung in die Theoretische Informatik

Mehr

Beweisbar sichere Verschlüsselung

Beweisbar sichere Verschlüsselung Beweisbar sichere Verschlüsselung ITS-Wahlpflichtvorlesung Dr. Bodo Möller Ruhr-Universität Bochum Horst-Görtz-Institut für IT-Sicherheit Lehrstuhl für Kommunikationssicherheit bmoeller@crypto.rub.de 6

Mehr

Wann sind Codes eindeutig entschlüsselbar?

Wann sind Codes eindeutig entschlüsselbar? Wann sind Codes eindeutig entschlüsselbar? Definition Suffix Sei C ein Code. Ein Folge s {0, 1} heißt Suffix in C falls 1 c i, c j C : c i = c j s oder 2 c C und einen Suffix s in C: s = cs oder 3 c C

Mehr

Digitale Signaturen. Proseminar Kryptographie und Datensicherheit SoSe Sandra Niemeyer

Digitale Signaturen. Proseminar Kryptographie und Datensicherheit SoSe Sandra Niemeyer Digitale Signaturen Proseminar Kryptographie und Datensicherheit SoSe 2009 Sandra Niemeyer 24.06.2009 Inhalt 1. Signaturgesetz 2. Ziele 3. Sicherheitsanforderungen 4. Erzeugung digitaler Signaturen 5.

Mehr

Das RSA-Verfahren. Proseminar Kryptographische Protokolle SS Armin Litzel

Das RSA-Verfahren. Proseminar Kryptographische Protokolle SS Armin Litzel in der Praxis Proseminar Kryptographische Protokolle SS 2009 5.5.2009 in der Praxis Gliederung 1 Grundlegendes über RSA 2 in der Praxis Allgemeine Vorgehensweise zur Verschlüsselung Signieren mit RSA 3

Mehr

Existenz von Einwegfunktionen

Existenz von Einwegfunktionen Existenz von Einwegfunktionen Satz Einweg-Eigenschaft von f FO Unter der Faktorisierungsannahme ist f FO eine Einwegfunktion. Beweis: f FO ist mittels FACTOR-ONEWAY effizient berechenbar. z.z.: Invertierer

Mehr

Übungsblatt 4. Stammvorlesung Sicherheit im Sommersemester Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade

Übungsblatt 4. Stammvorlesung Sicherheit im Sommersemester Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Übungsblatt 4 Aufgabe 1. Wir instanziieren das ElGamal-Verschlüsselungsverfahren aus der

Mehr

Theoretische Grundlagen der Informatik

Theoretische Grundlagen der Informatik Theoretische Grundlagen der Informatik 0 KIT 10.11.2011 Universität des Dorothea Landes Baden-Württemberg Wagner - Theoretische und Grundlagen der Informatik nationales Forschungszentrum Vorlesung in am

Mehr

Lösung zur Klausur zu Krypographie Sommersemester 2005

Lösung zur Klausur zu Krypographie Sommersemester 2005 Lösung zur Klausur zu Krypographie Sommersemester 2005 1. Bestimmen Sie die zwei letzten Ziffern der Dezimaldarstellung von 12 34 Es gilt: 12 34 = 12 32+2 = 12 32 12 2 = 12 (25) 12 2 = ((((12 2 ) 2 ) 2

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 23.05.2013 1 / 26 Überblick 1 Einschub: Seitenkanalangriffe Demonstration Simple Power Attacks (SPAs) (Weitere) Beispiele für Seitenkanäle Gegenmaßnahmen gegen

Mehr

Message Authentication Codes. Konstruktion von MACs. Hash-then-Encrypt. Sicherheitsmodell

Message Authentication Codes. Konstruktion von MACs. Hash-then-Encrypt. Sicherheitsmodell Message Authentication Codes Entspricht Hashfunktionen mit geheimen Schlüsseln. h : K M H, MAC = h k (m). h parametrisierte Hashfunktion. m Nachricht. k geheimer Schlüssel. Mit der Nachricht m wird h k

Mehr

Seminar Kryptographie und Datensicherheit

Seminar Kryptographie und Datensicherheit Andere Protokolle für digitale Unterschriften Wintersemester 2006/2007 Gliederung 1 Provably Secure Signature Schemes Lamport Signature Scheme Full Domain Hash 2 Undeniable Signatures 3 Fail-stop Signature

Mehr

Socrative-Fragen aus der Übung vom

Socrative-Fragen aus der Übung vom Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Übungsleiter: Björn Kaidel, Alexander Koch Stammvorlesung Sicherheit im Sommersemester 2016 Socrative-Fragen aus der Übung vom 28.04.2016

Mehr

Die Logik der Sicherheit

Die Logik der Sicherheit Die Logik der Sicherheit Seminar im Sommersemester 2016 Vorbesprechung, 20.04.2016 FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 20.04.2016 Gunnar Hartung, Julia Hesse, Alexander Koch

Mehr

Urbild Angriff auf Inkrementelle Hashfunktionen

Urbild Angriff auf Inkrementelle Hashfunktionen Urbild Angriff auf Inkrementelle Hashfunktionen AdHash Konstruktion: (Bellare, Micciancio 1997) Hashe Nachricht x = (x 1,..., x k ) als H(x) = k i=1 h(i, x i) mod M. Inkrementell: Block x i kann leicht

Mehr

Theoretische Grundlagen der Informatik

Theoretische Grundlagen der Informatik Theoretische Grundlagen der Informatik Vorlesung am 23. November 2017 INSTITUT FÜR THEORETISCHE 0 23.11.2017 Dorothea Wagner - Theoretische Grundlagen der Informatik INSTITUT FÜR THEORETISCHE KIT Die Forschungsuniversität

Mehr

6.3 Authentizität. Geheimhaltung: nur der Empfänger kann die Nachricht lesen. die Nachricht erreicht den Empfänger so, wie sie abgeschickt wurde

6.3 Authentizität. Geheimhaltung: nur der Empfänger kann die Nachricht lesen. die Nachricht erreicht den Empfänger so, wie sie abgeschickt wurde 6.3 Authentizität Zur Erinnerung: Geheimhaltung: nur der Empfänger kann die Nachricht lesen Integrität: die Nachricht erreicht den Empfänger so, wie sie abgeschickt wurde Authentizität: es ist sichergestellt,

Mehr

Kryptographische Protokolle

Kryptographische Protokolle Kryptographische Protokolle Lerneinheit 4: Schlüsselvereinbarung Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen Sommersemester 2017 8.5.2017 Einleitung Einleitung In dieser Lerneinheit

Mehr

Message Authentication Codes

Message Authentication Codes Message Authentication Codes Martin Schütte 30. Nov. 2004 Gliederung Denitionen Grundlegende Begrie Konstruktion von MACs häug benutzte MACs Einschätzung der Sicherheit Bedingungslos sichere MACs zusätzliche

Mehr

Beweisbar sichere Verschlüsselung

Beweisbar sichere Verschlüsselung Beweisbar sichere Verschlüsselung ITS-Wahlpflichtvorlesung Dr. Bodo Möller Ruhr-Universität Bochum Horst-Görtz-Institut für IT-Sicherheit Lehrstuhl für Kommunikationssicherheit bmoeller@crypto.rub.de 11

Mehr

Algorithmen II Vorlesung am

Algorithmen II Vorlesung am Algorithmen II Vorlesung am 24.01.2013 Online Algorithmen INSTITUT FÜR THEORETISCHE INFORMATIK PROF. DR. DOROTHEA WAGNER KIT Universität des Landes Baden-Württemberg und Algorithmen nationales Forschungszentrum

Mehr

Digitale Unterschriften mit ElGamal

Digitale Unterschriften mit ElGamal Digitale Unterschriften mit ElGamal Seminar Kryptographie und Datensicherheit Institut für Informatik Andreas Havenstein Inhalt Einführung RSA Angriffe auf Signaturen und Verschlüsselung ElGamal Ausblick

Mehr

Lineare Kongruenzgeneratoren und Quicksort

Lineare Kongruenzgeneratoren und Quicksort Seminar Perlen der theoretischen Informatik Dozenten: Prof. Johannes Köbler und Olaf Beyersdorff Lineare Kongruenzgeneratoren und Quicksort Ausarbeitung zum Vortrag Mia Viktoria Meyer 12. November 2002

Mehr

Probeklausur zur Vorlesung Berechenbarkeit und Komplexität

Probeklausur zur Vorlesung Berechenbarkeit und Komplexität RWTH Aachen Lehrgebiet Theoretische Informatik Reidl Ries Rossmanith Sanchez Tönnis WS 2012/13 Probeklausur 25.01.2013 Probeklausur zur Vorlesung Berechenbarkeit und Komplexität Aufgabe 1 (1+2+6+3 Punkte)

Mehr

Digitale Signaturen. Kapitel 10 p. 178

Digitale Signaturen. Kapitel 10 p. 178 Digitale Signaturen Realisierung der digitalen Signaturen ist eng verwandt mit der Public-Key-Verschlüsselung. Idee: Alice will Dokument m signieren. Sie berechnet mit dem privaten Schlüssel d die digitale

Mehr

Theoretische Grundlagen der Informatik

Theoretische Grundlagen der Informatik Theoretische Grundlagen der Informatik Vorlesung am 17. Januar 2012 INSTITUT FÜR THEORETISCHE 0 KIT 18.01.2012 Universität des Dorothea Landes Baden-Württemberg Wagner - Theoretische und Grundlagen der

Mehr

Aufgabe der Kryptografie

Aufgabe der Kryptografie Aufgabe der Kryptografie Eve möchte die Unterhaltung mithören und/oder ausgetauschte Informationen ändern. Alice & Bob kommunzieren über einen unsicheren Kanal. Alice & Bob nutzen Verschlüsselung und digitale

Mehr

durch Einfügen von Knoten konstruiert werden kann.

durch Einfügen von Knoten konstruiert werden kann. Satz von Kuratowski Definition Unterteilung eines Graphen Sei G = (V, E) und e = {u, v} E. 1 Das Einfügen eines neuen Knoten w in die Kante e führt zum Graphen G = (V {w}, E \ e {{u, w}, {w, v}}). 2 Der

Mehr

Hashfunktionen. Roman Brunnemann Stephan Müller. 23. November Einleitung Anforderungen Konstruktion Beispiel MD5 MD5 vs.

Hashfunktionen. Roman Brunnemann Stephan Müller. 23. November Einleitung Anforderungen Konstruktion Beispiel MD5 MD5 vs. 23. November 2004 Einleitung Sicherheitsanforderungen Konstruktion von Präsentation einer eigenen Hashfunktion MD5 MD5 vs. SHA1 Angriffe auf Einteilung Kryptographische schlüssellos symmetrisch MDC andere

Mehr

Übung zur Vorlesung. Sicherheit Übungsblatt 6 Alexander Koch

Übung zur Vorlesung. Sicherheit Übungsblatt 6 Alexander Koch Übung zur Vorlesung Sicherheit 14.07.2015 Übungsblatt 6 Alexander Koch alexander.koch@kit.edu https://b.socrative.com/login/student/ Room: SICHERHEIT Bitte gleich einloggen! 1 / 26 Sicherheit Übungsblatt

Mehr

Pseudo-Zufallsgeneratoren basierend auf dem DLP

Pseudo-Zufallsgeneratoren basierend auf dem DLP Seminar Codes und Kryptografie SS 2004 Struktur des Vortrags Struktur des Vortrags Ziel Motivation 1 Einleitung Ziel Motivation 2 Grundlegende Definitionen Zufallsgeneratoren 3 Generator Sicherheit 4 Generator

Mehr

Kombinatorische Optimierung

Kombinatorische Optimierung Juniorprof. Dr. Henning Meyerhenke 1 Henning Meyerhenke: KIT Universität des Landes Baden-Württemberg und nationales Forschungszentrum in der Helmholtz-Gemeinschaft www.kit.edu Vorlesung 4 Programm des

Mehr

Erinnerung VL vom

Erinnerung VL vom Erinnerung VL vom 09.05.2016 Analyse von Hashtabellen mit verketteten Listen Erwartete Laufzeit O(1) bei zuf. Hashfkt. und falls M O(m) Guter Ersatz (hier) für zuf. Hashfkt.: universelle Hashfunktionen

Mehr

Kryptosystem von Paillier: Analyse und Verbesserungen

Kryptosystem von Paillier: Analyse und Verbesserungen Kryptosystem von Paillier: Analyse und Verbesserungen Andreas Kumlehn 31. März 2006 Inhalt 1 Einleitung 3 2 Grundlagen 4 2.1 Laufzeiten........................................... 4 2.2 Sicherheit...........................................

Mehr

In beiden Fällen auf Datenauthentizität und -integrität extra achten.

In beiden Fällen auf Datenauthentizität und -integrität extra achten. Stromchiffren Verschlüsseln eines Stroms von Daten m i (Bits/Bytes) mithilfe eines Schlüsselstroms k i in die Chiffretexte c i. Idee: Im One-Time Pad den zufälligen Schlüssel durch eine pseudo-zufällige

Mehr