Digitale Signaturen. GHR-und Chamäleon-Signaturen Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
|
|
- Chantal Schenck
- vor 6 Jahren
- Abrufe
Transkript
1 Digitale Signaturen GHR-und Chamäleon-Signaturen Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen KIT Die Forschungsuniversität in der Helmholtz-Gemeinschaft
2 Socrative: Wiederholung B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen Room: SIGNATUREN Eigenschaften von Chamäleon-Hashfkt.? Wie werden Chamäleon-Hashfkt. ausgewertet? Ist die Def. von Kollisionsresistenz von CH-Fkt. identisch zur üblichen Def.? Signaturen können weitergeben werden - ist das problematisch?
3 Evaluation Siehe Evaluations-PDF! B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
4 Socrative-Fragen vom letzten Mal Reicht die Zahlentheorie aus VL/Skript für die Prüfung? Man sollte in der Lage sein, die besprochenen Verfahren (mit Beweis!) zu verstehen und erklären zu können Die dafür nötige Mathematik sollte man verstehen Werden CH-Fkt. in der Praxis angewandt? B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
5 Inhalt Chamäleon-Signaturen (Kap. 3.4) B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
6 Chamäleon-Signaturen: Motivation (Kap. 3.1) (Wdh) Angebot? Händler Kunde 100$, σ 1 100$, σ 1 99$, σ 2 Händler B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
7 Chamäleon-Signaturen: Ziel (Wdh) Frage: Können wir ein Signaturverfahren konstruieren, sodass K die Authentizität des Angebots von H 1 verifizieren kann... K den Händler H 2 nicht davon überzeugen kann, dass das Angebot von H 1 kam. (Man spricht bei Verfahren mit solchen Eigenschaften von Abstreitbarkeit) B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
8 Chamäleon-Hashfunktionen (Definition) (Kap. 3.2) (Wdh) Def. (Chamäleon-Hashfunktion): Eine Chamäleon-Hashfunktion CH besteht aus zwei PPT-Algorithmen (Gen CH, TrapColl CH ): Gen CH (1 k ) : gibt (ch, τ) aus, wobei: ch ist eine Funktion ch : M R N M Nachrichtenraum R Zufallsraum N Zielraum M, R, N abhängig von konkreter CH! τ eine Trapdoor ( Falltür ) ist B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
9 Chamäleon-Hashfunktionen (Definition - II) (Wdh) TrapColl CH (τ, m, r, m ) für (m, r, m ) M R M berechnet r R, sodass ch(m, r) = ch(m, r ) Wer τ kennt, kann Kollisionen berechnen Daher der Name Chamäleon -Hashfunktion Ausgabe wechselt ihr Urbild wechselt ihre Farbe B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
10 Chamäleon-Hashfunktion von DLog (Wdh) Kollisionsresistente CH-Fkt. von DLog: ch = (g, h = g x ), τ = x ch(m, r) = g m h r B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
11 Chamäleon-Hashfunktion von DLog (Wdh) Kollisionsresistente CH-Fkt. von DLog: ch = (g, h = g x ), τ = x ch(m, r) = g m h r Kollisionen berechnen durch Lösen nach r : m + x r = m + x r mod p r = m m x + r mod p B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
12 Chamäleon-Hashfunktion von DLog (Wdh) Kollisionsresistente CH-Fkt. von DLog: ch = (g, h = g x ), τ = x ch(m, r) = g m h r Kollisionen berechnen durch Lösen nach r : m + x r = m + x r mod p r = m m x + r mod p (Es gibt auch eine CH-Fkt. basierend auf dem RSA-Problem) B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
13 Kollisionsresistenz (Wdh) Def. 39 (Kollisionsresistenz für Chamäleon-Hashfkt.): Eine Chamäelon-Hashfunktion CH = (Gen CH, TrapColl CH ) ist kollisionsresistent, falls für alle PPT A gilt, dass [ (ch, τ) GenCH (1 Pr k ) A(1 k, ch) = (m, r, m, r ) : ch(m, r) = ch(m, r ] ) (m, r) = (m, r negl(k) ) für eine im Sicherheitsparameter k vernachlässigbare Funktion negl B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
14 Chamäleon-Signaturen (Kap. 3.4) CH = (Gen CH, TrapColl CH ) CH-Fkt., ch : M R N Signatur Σ = (Gen, Sign, Vfy ) Konstruiere Chamäleon-Signatur Σ = (Gen, Sign, Vfy) B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
15 Chamäleon-Signaturen (Kap. 3.4) CH = (Gen CH, TrapColl CH ) CH-Fkt., ch : M R N Signatur Σ = (Gen, Sign, Vfy ) Konstruiere Chamäleon-Signatur Σ = (Gen, Sign, Vfy) Gen(1 k ) : (pk, sk ) Gen (1 k ) pk := pk, sk := sk B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
16 Chamäleon-Signaturen (Kap. 3.4) Sign(sk, m, ch) : (ch ist CH-Fkt. des Empfängers) r R, ch(m, r) =: y σ := Sign (sk, y) σ := (σ, r) B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
17 Chamäleon-Signaturen (Kap. 3.4) Sign(sk, m, ch) : (ch ist CH-Fkt. des Empfängers) r R, ch(m, r) =: y σ := Sign (sk, y) σ := (σ, r) Vfy(pk, m, σ, ch) : Vfy (pk, ch(m, r), σ )? = B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
18 EUF-CMA für Chamäleon-Signaturen C EUF-CMA A B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
19 EUF-CMA für Chamäleon-Signaturen C EUF-CMA (pk, sk) Gen(1 k ) (ch, τ) Gen CH (1 k ) pk, ch A B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
20 EUF-CMA für Chamäleon-Signaturen C EUF-CMA (pk, sk) Gen(1 k ) (ch, τ) Gen CH (1 k ) σ i Sign(sk, m i, ch) pk, ch m i σ i A Anfragen nacheinander q = q(k) Anfragen q Polynom B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
21 EUF-CMA für Chamäleon-Signaturen C EUF-CMA (pk, sk) Gen(1 k ) (ch, τ) Gen CH (1 k ) σ i Sign(sk, m i, ch) pk, ch m i σ i A Anfragen nacheinander q = q(k) Anfragen q Polynom m, σ Vfy(pk, m, σ, ch) = 1? m / {m 1,..., m q }? B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
22 EUF-CMA für Chamäleon-Signaturen C EUF-CMA (pk, sk) Gen(1 k ) (ch, τ) Gen CH (1 k ) σ i Sign(sk, m i, ch) pk, ch m i σ i A Anfragen nacheinander q = q(k) Anfragen q Polynom m, σ Vfy(pk, m, σ, ch) = 1? m / {m 1,..., m q }? A gewinnt, falls Vfy(pk, m, σ, ch) = 1 und m / {m 1,..., m q } B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
23 EUF-CMA für Chamäleon-Signaturen C EUF-CMA (pk, sk) Gen(1 k ) (ch, τ) Gen CH (1 k ) σ i Sign(sk, m i, ch) pk, ch m i σ i A Anfragen nacheinander q = q(k) Anfragen q Polynom m, σ Vfy(pk, m, σ, ch) = 1? m / {m 1,..., m q }? A gewinnt, falls Vfy(pk, m, σ, ch) = 1 und m / {m 1,..., m q } Frage: Ist dieses Sicherheitsmodell stark genug? B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
24 CH-Sig: Sicherheitsmodell (Skript) Frage: Ist dieses Sicherheitsmodell stark genug? B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
25 CH-Sig: Sicherheitsmodell (Skript) Frage: Ist dieses Sicherheitsmodell stark genug? Antwort: Nein! Angreifer hat beim Signieren keine Kontrolle über die Chamäleon-Hashfunktion. Dies kann ihm aber evtl. beim Fälschen helfen! Echter Angreifer könnten eigene CH-Fkt. erstellen & verwenden B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
26 Angriff bei DLog-CH-Fkt. (Skript) Angenommen, A könnte CH-Fkt. beim Signieren selbst wählen: Es wird die DLog-CH-Fkt. verwendet. A erhält ch = (g, h) vom Challenger B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
27 Angriff bei DLog-CH-Fkt. (Skript) Angenommen, A könnte CH-Fkt. beim Signieren selbst wählen: Es wird die DLog-CH-Fkt. verwendet. A erhält ch = (g, h) vom Challenger. A generiert ch A = (g a, h), a = 1 selbst gewählt Dies ist eine gültige CH-Fkt.! A lässt m mit ch A signieren und erhält Signatur σ = (σ, r) B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
28 Angriff bei DLog-CH-Fkt. (Skript) Dann gilt: 1 = Vfy(pk, m, σ = (σ, r), ch A ) = Vfy (pk, ch A (m, r), σ ) = Vfy (pk, ch(a m, r), σ ) = Vfy(pk, a m, σ, ch) B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
29 Angriff bei DLog-CH-Fkt. (Skript) Dann gilt: 1 = Vfy(pk, m, σ = (σ, r), ch A ) = Vfy (pk, ch A (m, r), σ ) = Vfy (pk, ch(a m, r), σ ) = Vfy(pk, a m, σ, ch) Da a = 1 gilt auch m = a m. Somit ist (a m, σ) eine gültige Fälschung bzgl. ch! Anm.: Bei der RSA-CH-Fkt. ist ein ähnlicher Angriff möglich B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
30 EUF-CMA für Chamäleon-Signaturen 2 (Skript) C EUF-CMA (pk, sk) Gen(1 k ) (ch, τ) Gen CH (1 k ) σ i Sign(sk, m i, ch) EUF-CMA Variante 1 A pk, ch m i σ i Anfragen nacheinander q = q(k) Anfragen q Polynom m, σ Vfy(pk, m, σ, ch) = 1? m / {m 1,..., m q }? A gewinnt, falls Vfy(pk, m, σ, ch) = 1 und m / {m 1,..., m q } B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
31 EUF-CMA für Chamäleon-Signaturen 2 (Skript) C EUF-CMA (pk, sk) Gen(1 k ) (ch, τ) Gen CH (1 k ) σ i Sign(sk, m i, ch i ) EUF-CMA Variante 2 A pk, ch m i, ch i σ i Anfragen nacheinander q = q(k) Anfragen q Polynom m, σ Vfy(pk, m, σ, ch) = 1? m / {m 1,..., m q }? A gewinnt, falls Vfy(pk, m, σ, ch) = 1 und m / {m 1,..., m q } B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
32 EUF-CMA Im Folgenden beschränken wir uns auf Variante 1! Variante 2 auch erreichbar, ist aber etwas schwieriger B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
33 CH-Sig: Sicherheit Theorem 45: Für jeden PPT-Angreifer A(pk, ch), der die EUF-CMA-Sicherheit von Σ bricht in Zeit t A mit Erfolgswahrscheinlichkeit ɛ A, existiert ein PPT-Angreifer B, der in Zeit t B t A läuft und entweder die Kollisionsresistenz von ch bricht mit Wkt. ɛ ch ɛ A 2, oder die EUF-naCMA-Sicherheit von Σ bricht mit Wkt. ɛ ɛ A B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
34 Chamäleon-Signaturen: Beweis EUF-CMA: Seien m 1,..., m q die Anfragen, σ i = (σ i, r i) die Antworten und (m, σ = (σ, r )) die Ausgabe von A B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
35 Chamäleon-Signaturen: Beweis EUF-CMA: Seien m 1,..., m q die Anfragen, σ i = (σ i, r i) die Antworten und (m, σ = (σ, r )) die Ausgabe von A. Zwei Ereignisse: E 0 : Es existiert i mit ch(m i, r i ) = ch(m, r ). E 1 : Für alle i {1,..., q} gilt ch(m i, r i ) = ch(m, r ) B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
36 Chamäleon-Signaturen: Beweis EUF-CMA: Seien m 1,..., m q die Anfragen, σ i = (σ i, r i) die Antworten und (m, σ = (σ, r )) die Ausgabe von A. Zwei Ereignisse: E 0 : Es existiert i mit ch(m i, r i ) = ch(m, r ). E 1 : Für alle i {1,..., q} gilt ch(m i, r i ) = ch(m, r ). A ruft E 0 oder E 1 hervor, also gilt ɛ A Pr[E 0 ] + Pr[E 1 ] Pr[E 0 ] ɛ A /2 oder Pr[E 1 ] ɛ A / B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
37 Chamäleon-Signaturen: Beweis E 0 : Reduktion auf Kollisionsresistenz von CH Standard, Vorgehen wie immer E 1 : Reduktion auf EUF-naCMA-Sicherheit von Σ Details: siehe Tafel B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
38 Socrative: Chamäleon-Signaturen B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen Room: SIGNATUREN Warum sind Chamäleon-Signaturen abstreitbar? Warum ist der Empfänger von einer CH-Sig. überzeugt? Welche Sicherheitseigenschaft hat die CH-Sig.? Wie werden im Beweis die adaptiven Anfragen von A auf eine einzige nicht-adaptive Anfrage übersetzt?
Digitale Signaturen. GHR-und Chamäleon-Signaturen Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen GHR-und Chamäleon-Signaturen Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen KIT
MehrDigitale Signaturen. Sicherheitsdefinitionen Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Sicherheitsdefinitionen Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-10-28 B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen
MehrDigitale Signaturen. Einmalsignaturen Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Einmalsignaturen Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-11-04 B. Kaidel Digitale Signaturen: Einmalsignaturen KIT Die Forschungsuniversität
MehrDigitale Signaturen. Anwendung von Einmalsignaturen Gunnar Hartung, Björn Kaidel.
Digitale Signaturen Anwendung von Einmalsignaturen Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-11-18 G. Hartung Digitale Signaturen: Anwendung von
MehrDigitale Signaturen. Sicherheitsdefinitionen Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Sicherheitsdefinitionen Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-10-27 B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen KIT Die Forschungsuniversität
MehrDigitale Signaturen. seuf-cma & Pairings Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen seuf-cma & Pairings Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2018-01-19 B. Kaidel Digitale Signaturen: seuf-cma & Pairings KIT Die Forschungsuniversität
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Einmalsignaturen Björn Kaidel (Vertretung für Prof. Müller-Quade) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2018-02-01 B. Kaidel Asymmetrische
MehrDigitale Signaturen. RSA-FDH & das Random Oracle Model Jiaxin Pan (Slides from Björn Kaidel and Gunnar Hartung)
Digitale Signaturen RSA-FDH & das Random Oracle Model Jiaxin Pan (Slides from Björn Kaidel and Gunnar Hartung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2018-10-26 B. Kaidel Digitale
MehrDigitale Signaturen. seuf-cma & Pairings Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen seuf-cma & Pairings Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-01-20 B. Kaidel Digitale Signaturen: seuf-cma & Pairings KIT Die
MehrDigitale Signaturen. RSA-FDH & das Random Oracle Model Björn Kaidel (mit Folien von Gunnar Hartung)
Digitale Signaturen RSA-FDH & das Random Oracle Model Björn Kaidel (mit Folien von Gunnar Hartung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-12-01 B. Kaidel Digitale Signaturen:
MehrDigitale Signaturen. Wiederholung Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Wiederholung Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung KIT Die Forschungsuniversität
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Digitale Signaturen Prof. Jörn Müller-Quade mit Folien von G. Hartung und B. Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2018-01-25 J.
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Digitale Signaturen Björn Kaidel - Vertretung für Prof. Müller-Quade FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-01-19 B. Kaidel Asymmetrische
MehrDigitale Signaturen. Einführung Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Einführung Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-10-21 G. Hartung, B. Kaidel Digitale Signaturen: Einführung KIT Die Forschungsuniversität
MehrDigitale Signaturen. Einführung Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Einführung Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-10-20 B. Kaidel Digitale Signaturen: Einführung KIT Die Forschungsuniversität in der Helmholtz-Gemeinschaft
MehrDigitale Signaturen. Anwendung von Einmalsignaturen Björn Kaidel (mit Folien von Gunnar Hartung)
Digitale Signaturen Anwendung von Einmalsignaturen Björn Kaidel (mit Folien von Gunnar Hartung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-11-24 B. Kaidel Digitale Signaturen:
MehrVorlesung Digitale Signaturen im Wintersemester 2017/-18. Socrative-Fragen aus der Vorlesung vom
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Dozenten: Björn Kaidel Vorlesung Digitale Signaturen im Wintersemester 2017/-18 Socrative-Fragen aus der Vorlesung vom 17.11.2017 1 Quiz 1:
MehrDigitale Signaturen. Anwendung von Einmalsignaturen Gunnar Hartung, Björn Kaidel.
Digitale Signaturen Anwendung von Einmalsignaturen Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-11-15 G. Hartung Digitale Signaturen: Anwendung von
MehrDigitale Signaturen. Parameterwahl & RSA-PSS Björn Kaidel (mit Folien von Gunnar Hartung)
Digitale Signaturen Parameterwahl & RSA-PSS Björn Kaidel (mit Folien von Gunnar Hartung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-11-15 B. Kaidel Digitale Signaturen: RSA-PSS
MehrVorlesung Digitale Signaturen im Wintersemester 2016/-17. Socrative-Fragen aus der Vorlesung vom
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Dozenten: Gunnar Hartung, Björn Kaidel Vorlesung Digitale Signaturen im Wintersemester 2016/-17 Socrative-Fragen aus der Vorlesung vom 25.11.2016
MehrVorlesung Sicherheit
Vorlesung Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 23.05.2016 1 / 32 Überblick 1 Symmetrische Authentifikation von Nachrichten Ziel Konstruktionen MACs
MehrÜbung zur Vorlesung. Sicherheit Übungsblatt 5 Björn Kaidel
Übung zur Vorlesung Sicherheit 30.06.2016 Übungsblatt 5 Björn Kaidel bjoern.kaidel@kit.edu https://b.socrative.com/login/student/ Room: SICHERHEIT Bitte gleich einloggen! 1 / 55 Evaluation (siehe Evaluations-PDF)
MehrÜbung zur Vorlesung Sicherheit Übungsblatt 3. Björn Kaidel 1 / 52
Übung zur Vorlesung Sicherheit 21.05.2014 Übungsblatt 3 Björn Kaidel bjoern.kaidel@kit.edu 1 / 52 Kummerkasten Bitte helleren Laserpointer verwenden. Sind die Skriptlinks vertauscht? Nein! Wegen allgemeiner
MehrHomomorphe Verschlüsselung
Homomorphe Verschlüsselung Definition Homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : G G für Gruppen G, G. Π heißt homomorph, falls Enc(m 1 ) G Enc(m 2 ) eine gültige Verschlüsselung
MehrVoll homomorpe Verschlüsselung
Voll homomorpe Verschlüsselung Definition Voll homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : R R für Ringe R, R. Π heißt voll homomorph, falls 1 Enc(m 1 ) + Enc(m 2 ) eine gültige
MehrVorlesung Sicherheit
Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 18.05.2015 1 / 30 Überblick 1 Asymmetrische Authentifikation von Nachrichten Erinnerung
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Vorlesung 4 Alexander Koch (Vertretung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-11-10 Alexander Koch Asymmetrische Verschlüsselungsverfahren
MehrHomomorphe Verschlüsselung
Homomorphe Verschlüsselung Definition Homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : G G für Gruppen G, G. Π heißt homomorph, falls Enc(m 1 ) G Enc(m 2 ) eine gültige Verschlüsselung
MehrRSA Full Domain Hash (RSA-FDH) Signaturen
RSA Full Domain Hash (RSA-FDH) Signaturen Signatur RSA-FDH Sei H : {0, 1} Z N ein Random-Oracle. 1 Gen: (N, e, d) GenRSA(1 n ) mit pk = (N, e) und sk = (N, d). 2 Sign: Für eine Nachricht m {0, 1} berechne
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Vorlesung 4 Alexander Koch (Vertretung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 KIT 2015-11-12 Universität desalexander Landes Baden-Württemberg
MehrInstitut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Nachklausur Hinweise
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2016 Nachklausur 12.10.2016 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung
MehrInstitut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Nachklausur. Lösung Hinweise
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2016 Nachklausur Lösung 12.10.2016 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung
MehrInstitut für Theoretische Informatik Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Klausur. Lösung
Institut für Theoretische Informatik Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2017 Klausur Lösung 02.08.2017 Vorname: Nachname: Matrikelnummer: Klausur-ID: Hinweise - Schreiben
MehrRSA Full Domain Hash (RSA-FDH) Signaturen
RSA Full Domain Hash (RSA-FDH) Signaturen Signatur RSA-FDH Sei H : {0, 1} Z N ein Random-Oracle. 1 Gen: (N, e, d) GenRSA(1 n ) mit pk = (N, e) und sk = (N, d). 2 Sign: Für eine Nachricht m {0, 1} berechne
MehrPrivacy-Preserving Authentication 2 Kryptografische Bausteine WS 2015/2016
Privacy-Preserving Authentication 2 Kryptografische Bausteine WS 2015/2016 Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum Übersicht 1 Vorteil und Sicherheit 2 Hash Funktionen 3 Digitale
Mehrhttps://b.socrative.com/login/student/
Übung zur Vorlesung Sicherheit 23.06.2016 Übungsblatt 4 Björn Kaidel bjoern.kaidel@kit.edu https://b.socrative.com/login/student/ Room: SICHERHEIT Bitte gleich einloggen! 1 / 62 Feedback: Kummerkasten/Feedback
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 30.04.2018 1 / 35 Überblick 1 Hashfunktionen Motivation Formalisierung Die Merkle-Damgård-Konstruktion (Weitere) Angriffe auf Hashfunktionen Zusammenfassung
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 23.06.2014 1 / 26 Überblick 1 Zero-Knowledge-Protokolle Erinnerung Beispiel für Zero-Knowledge-Protokoll Analyse des Beispiel-Zero-Knowledge-Protokolls Proof-of-Knowledge-Eigenschaft
Mehrhttps://b.socrative.com/login/student/
Übung zur Vorlesung Sicherheit 23.06.2016 Übungsblatt 4 Björn Kaidel bjoern.kaidel@kit.edu https://b.socrative.com/login/student/ Room: SICHERHEIT Bitte gleich einloggen! 1 / 62 Feedback: Kummerkasten/Feedback
MehrBeliebige Anzahl von Signaturen
Beliebige Anzahl von Signaturen Algorithmus Signaturketten Sei Π = (Gen, Sign, Vrfy) ein Einwegsignaturverfahren. 1 Gen : (pk 1, sk 1 ) Gen(1 n ) 2 Sign : Signieren der Nachricht m i. Verwende gemerkten
MehrZiel: Zertifiziere Pfad von Wurzel zu m mittels Signaturen. Signieren Public-Keys auf Pfad inklusive der Nachbarknoten.
Merkle-Baum Idee: Konstruktion von Merkle-Bäumen Ersetze Signaturkette durch Baum (sogenannter Merkle-Baum). Verwenden Baum der Tiefe n für Nachrichten der Länge n. Die Wurzel erhält Label ɛ. Die Kinder
MehrIch bedanke mich bei Florian Böhl, Benny Fuhry, Gunnar Hartung, Jan Holz, Björn Kaidel, Eike Kiltz, Evgheni Kirzner, Jessica Koch, Julia Rohlfing,
Digitale Signaturen Tibor Jager tibor.jager@rub.de Horst Görtz Institut für IT-Sicherheit Lehrstuhl für Netz- und Datensicherheit Ruhr-Universität Bochum Letzte Aktualisierung: 6. Oktober 2015 Ich bedanke
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 12.05.2014 1 / 26 Überblick 1 Hashfunktionen Erinnerung Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel:
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 15.05.2017 1 / 25 Überblick 1 Hashfunktionen Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel: RSA
MehrVIII. Digitale Signaturen
VIII. Digitale Signaturen Bob Eve Eve möchte - lauschen - ändern - personifizieren Alice 1 Aufgaben - Vertraulichkeit - Lauschen - Authentizität - Tauschen des Datenursprungs - Integrität - Änderung der
MehrInstitut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Klausur Hinweise
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Klausur 21.07.2015 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen
MehrDefinition Message Authentication Code (MAC) Ein Message Authentication Code (MAC) bzgl. des Nachrichtenraumen M besteht aus den ppt Alg.
Message Authentication Code (MAC) Szenario: Integrität und Authentizität mittels MACs. Alice und Bob besitzen gemeinsamen Schlüssel k. Alice berechnet für m einen MAC-Tag t als Funktion von m und k. Alice
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 29.04.2013 1 / 22 Überblick 1 Zusammenfassung und Korrektur Zusammenfassung Korrektur Definition semantische Sicherheit 2 Hashfunktionen Motivation Formalisierung
MehrÜbung zur Vorlesung Sicherheit Übungsblatt 2. Alexander Koch Björn Kaidel
Übung zur Vorlesung Sicherheit 07.05.2014 Übungsblatt 2 Alexander Koch alexander.koch@kit.edu Björn Kaidel bjoern.kaidel@kit.edu 1 / 39 Werbung: KASTEL-Zertifikat Nachweis für Spezialisierung in IT-Sicherheit
MehrInstitut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Nachklausur. Lösungsvorschlag Hinweise
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Nachklausur Lösungsvorschlag 29.09.2015 Vorname: Nachname: Matrikelnummer: Hinweise - Für
MehrSicherheit von Merkle Signaturen
Sicherheit von Merkle Signaturen Algorithmus Angreifer A für die Einwegsignatur EINGABE: pk, Zugriff auf eine Anfrage an Orakel Sign sk ( ) 1 Berechne (pk (i), sk (i) ) Gen(1 n ) für i = 1,...,l. Wähle
MehrInstitut für Theoretische Informatik Prof. Dr. Dennis Hofheinz Übungsleiter: Thomas Agrikola. Stammvorlesung Sicherheit im Sommersemester 2017
Institut für Theoretische Informatik Prof. Dr. Dennis Hofheinz Übungsleiter: Thomas Agrikola Stammvorlesung Sicherheit im Sommersemester 2017 Übungsblatt 4 Aufgabe 1. Wir instanziieren das ElGamal-Verschlüsselungsverfahren
MehrÜbung zur Vorlesung Sicherheit Übungsblatt 2. Alexander Koch Björn Kaidel
Übung zur Vorlesung Sicherheit 07.05.2014 Übungsblatt 2 Alexander Koch alexander.koch@kit.edu Björn Kaidel bjoern.kaidel@kit.edu 1 / 32 Kummerkasten In der Übung lauter und deutlicher sprechen: Wir geben
MehrÜbung zur Vorlesung Sicherheit Übungsblatt 2. Alexander Koch Björn Kaidel
Übung zur Vorlesung Sicherheit 07.05.2014 Übungsblatt 2 Alexander Koch alexander.koch@kit.edu Björn Kaidel bjoern.kaidel@kit.edu 1 / 32 Kummerkasten In der Übung lauter und deutlicher sprechen: Wir geben
MehrDigitale Signaturen. Kapitel 8
Digitale Signaturen Kapitel 8 Handschriftliche vs. digitale Unterschrift digitalisieren mp3 Unterschrift digitale Unterschrift von D.H. für mp3? (Scannen und als Bitmap anhängen z.b. zu leicht zu fälschen)
MehrInstitut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Nachklausur
Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz IKS Institut für Kryptographie und Sicherheit Stammvorlesung Sicherheit im Sommersemester 2013 Nachklausur 07.10.2013 Vorname: Nachname:
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 26.06.2017 1 / 41 Überblick 1 Identifikationsprotokolle Erinnerung Sicherheitsmodell Ein sicheres Protokoll Noch ein sicheres Protokoll 2 Zero-Knowledge-Protokolle
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 13.05.2013 1 / 16 Überblick 1 Asymmetrische Verschlüsselung Erinnerung Andere Verfahren Demonstration Zusammenfassung 2 Symmetrische Authentifikation von Nachrichten
MehrHashfunktionen und Kollisionen
Hashfunktionen und Kollisionen Definition Hashfunktion Eine Hashfunktion ist ein Paar (Gen, H) von pt Algorithmen mit 1 Gen: s Gen(1 n ). Gen ist probabilistisch. 2 H: H s berechnet Funktion {0, 1} {0,
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Björn Kaidel - Vertretung für Prof. J. Müller-Quade (Folien von A. Koch) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 17.11.2016 Björn Kaidel
MehrVorlesung Sicherheit
Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 02.05.2016 1 / 22 Überblick 1 Hashfunktionen Erinnerung Formalisierung Die Merkle-Damgård-Konstruktion
MehrÜbung zur Vorlesung Sicherheit Übungsblatt 2. Alexander Koch Björn Kaidel
Übung zur Vorlesung Sicherheit 07.05.2014 Übungsblatt 2 Alexander Koch alexander.koch@kit.edu Björn Kaidel bjoern.kaidel@kit.edu 1 / 39 Werbung: KASTEL-Zertifikat Nachweis für Spezialisierung in IT-Sicherheit
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 26.05.2014 1 / 32 Überblick 1 Hinweis 2 Asymmetrische Authentifikation von Nachrichten Erinnerung RSA als Signaturschema ElGamal-Signaturen Hash-Then-Sign
MehrInstitut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Klausur Hinweise
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Klausur 22.07.2014 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen
MehrDigitale Unterschriften. Angriffe und Sicherheitsmodelle. Bemerkungen. Angriffe und Sicherheitsmodelle
Digitale Unterschriften Auch digitale Signaturen genannt. Nachrichten aus Nachrichtenraum: M M. Signaturen aus Signaturenraum: σ S. Schlüssel sind aus Schlüsselräumen: d K 1, e K 2. SignierungsverfahrenS
MehrBlinde Signaturen, geheime Abstimmungen und digitale Münzen
Blinde Signaturen, geheime Abstimmungen und digitale Münzen Claus Diem Im Wintersemester 2017 / 18 Crypto 1982 Geheime Abstimmungen Eine geheime Abstimmung Problem. Eine Gruppe von Personen will per Brief
MehrÜbung zur Vorlesung Sicherheit Übungsblatt 4. Björn Kaidel 1 / 70
Übung zur Vorlesung Sicherheit 18.06.2015 Übungsblatt 4 Björn Kaidel bjoern.kaidel@kit.edu 1 / 70 RSA: Warnung! Mehrere Nachfragen nach der letzten Übung: Wir wollen zu e ein d berechnen mit e d = 1 mod
MehrEinführung in digitale Signaturen
Einführung in digitale Signaturen Hannes Thalheim Universität Leipzig 8. Januar 2018 Zusammenfassung Für eine sichere Kommunikation im Web ist die Geheimhaltung von Nachrichten so wichtig wie das Wissen,
MehrBemerkungen. Orientierung. Digitale Unterschriften. Angriffe und Sicherheitsmodelle
Orientierung Haben bisher im Public-Key Bereich nur Verschlüsselung betrachtet. Haben dafür geeignete mathematische Strukturen und ihre Eigenschaften diskutiert. RSA, Rabin: Restklassenringe modulo n,
MehrDigitale Unterschriften Grundlagen der digitalen Unterschriften Hash-Then-Sign Unterschriften Public-Key Infrastrukturen (PKI) Digitale Signaturen
Sommersemester 2008 Digitale Unterschriften Unterschrift von Hand : Physikalische Verbindung mit dem unterschriebenen Dokument (beides steht auf dem gleichen Blatt). Fälschen erfordert einiges Geschick
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 06.05.2013 1 / 25 Überblick 1 Hashfunktionen Erinnerung Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel:
MehrHybride Verschlüsselungsverfahren
Hybride Verschlüsselungsverfahren Ziel: Flexibilität von asym. Verfahren und Effizienz von sym. Verfahren. Szenario: Sei Π = (Gen, Enc, Dec) ein PK-Verschlüsselungsverfahren und Π = (Gen, Enc, Dec ) ein
MehrVorlesung Sicherheit
Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 08.06.2015 1 / 34 Überblick 1 Schlüsselaustauschprotokolle Erinnerung Weitere Schlüsselaustauschtypen
MehrHardcore-Prädikat. Definition Hardcore-Prädikat. Ziel: Destilliere Komplexität des Invertierens auf ein Bit.
Hardcore-Prädikat Ziel: Destilliere Komplexität des Invertierens auf ein Bit. Definition Hardcore-Prädikat Sei Π f eine Einwegfunktion. Sei hc ein deterministischer pt Alg mit Ausgabe eines Bits hc(x)
MehrKryptographie II Asymmetrische Kryptographie
Kryptographie II Asymmetrische Kryptographie Christopher Wolf Fakultät für Mathematik Ruhr-Universität Bochum Sommersemester 2010 Krypto II - Vorlesung 01-14.04.2010 () Schlüsselverteil-Center, Diffie-Hellman
MehrUnunterscheidbarkeit von Chiffretexten
Ununterscheidbarkeit von Chiffretexten Spiel Ununterscheidbarkeit von Chiffretexten PrivK eav A,Π (n) Sei Π ein Verschlüsselungsverfahren und A ein Angreifer. 1 (m 0, m 1 ) A. 2 k Gen(1 n ). 3 Wähle b
MehrInstitut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Übungsblatt 5. pk = (g, y) und sk = (g, x). ? = y H(t m) t. g s
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Übungsblatt 5 Hinweis: Übungsblätter können freiwillig bei Jessica Koch, Raum 256, Geb.
MehrUnunterscheidbarkeit von Chiffretexten
Ununterscheidbarkeit von Chiffretexten Spiel Ununterscheidbarkeit von Chiffretexten PrivK eav A,Π (n) Sei Π ein Verschlüsselungsverfahren und A ein Angreifer. (m 0, m ) A. 2 k Gen( n ). 3 Wähle b R {0,
MehrMerkle-Damgard Transformation
Merkle-Damgard Transformation Ziel: Konstruiere H : {0, 1} {0, 1} l aus h : {0, 1} 2l {0, 1} l. Algorithmus Merkle-Damgard Konstruktion Sei (Gen, h) eine kollisionsresistente Hashfunktion mit h : {0, 1}
MehrKryptographie und Komplexität
Kryptographie und Komplexität Einheit 6.2 Digitale Signaturen 1. Sicherheitsanforderungen 2. RSA Signaturen 3. ElGamal Signaturen Wozu Unterschriften? Verbindliche Urheberschaft von Dokumenten Unterschrift
MehrCPA-Sicherheit ist ungenügend
CPA-Sicherheit ist ungenügend Definition CCA CCA (=Chosen Ciphertext Attack) ist ein Angriff, bei dem der Angreifer sich Chiffretext seiner Wahl entschlüsseln lassen kann. Beispiele in denen CPA nicht
MehrUnunterscheidbarkeit von Chiffretexten
Ununterscheidbarkeit von Chiffretexten Spiel Ununterscheidbarkeit von Chiffretexten PrivK eav A,Π (n) Sei Π ein Verschlüsselungsverfahren und A ein Angreifer. 1 (m 0, m 1 ) A. 2 k Gen(1 n ). 3 Wähle b
MehrÜbungsblatt 3. Stammvorlesung Sicherheit im Sommersemester Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Übungsblatt 3 Aufgabe 1. Beurteilen Sie für die folgenden Konstruktionen jeweils, ob es sich
MehrSignaturtransformationen
Signaturtransformationen Ruhr-Universität Bochum Christian Mainka 25. Januar 2011 Inhaltsverzeichnis 1 Einleitung 3 2 Grundlagen 5 2.1 Definitionen.................................. 5 2.1.1 Signatur................................
MehrInstitut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Klausur
Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz IKS Institut für Kryptographie und Sicherheit Stammvorlesung Sicherheit im Sommersemester 2013 Klausur 26.07.2013 Vorname: Nachname:
MehrSicherer MAC für Nachrichten beliebiger Länge
Sicherer MAC für Nachrichten beliebiger Länge Korollar Sicherer MAC für Nachrichten beliebiger Länge Sei F eine Pseudozufallsfunktion. Dann ist Π MAC2 für Π = Π MAC sicher. Nachteile: Für m ({0, 1} n 4
MehrSicherheit von ElGamal
Sicherheit von ElGamal Satz CPA-Sicherheit ElGamal ElGamal Π ist CPA-sicher unter der DDH-Annahme. Beweis: Sei A ein Angreifer auf ElGamal Π mit Erfolgsws ɛ(n) := Ws[PubK cpa A,Π (n) = 1]. Wir konstruieren
MehrIn beiden Fällen auf Datenauthentizität und -integrität extra achten.
Stromchiffren Verschlüsseln eines Stroms von Daten m i (Bits/Bytes) mithilfe eines Schlüsselstroms k i in die Chiffretexte c i. Idee: Im One-Time Pad den zufälligen Schlüssel durch eine pseudo-zufällige
MehrDigitale Signaturen. Proseminar Kryptographie und Datensicherheit SoSe Sandra Niemeyer
Digitale Signaturen Proseminar Kryptographie und Datensicherheit SoSe 2009 Sandra Niemeyer 24.06.2009 Inhalt 1. Signaturgesetz 2. Ziele 3. Sicherheitsanforderungen 4. Erzeugung digitaler Signaturen 5.
MehrÜbungsblatt 4. Stammvorlesung Sicherheit im Sommersemester Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Übungsblatt 4 Aufgabe 1. Wir instanziieren das ElGamal-Verschlüsselungsverfahren aus der
MehrVII. Hashfunktionen und Authentifizierungscodes
VII. Hashfunktionen und Authentifizierungscodes Bob Eve Eve möchte - lauschen - ändern - personifizieren Alice 1 Aufgaben - Vertraulichkeit Lauschen - Authentizität Tauschen des Datenursprungs - Integrität
MehrExistenz von Einwegfunktionen
Existenz von Einwegfunktionen Satz Einweg-Eigenschaft von f FO Unter der Faktorisierungsannahme ist f FO eine Einwegfunktion. Beweis: f FO ist mittels FACTOR-ONEWAY effizient berechenbar. z.z.: Invertierer
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 17.06.2013 1 / 33 Überblick 1 Zero-Knowledge-Protokolle Erinnerung Analyse des Beispiel-Zero-Knowledge-Protokolls Proof-of-Knowledge-Eigenschaft Beziehung
MehrKap. 2: Fail-Stop Unterschriften
Stefan Lucks 2: Fail-Stop Unterschriften 17 Digital Unterschreiben und Bezahlen Kap. 2: Fail-Stop Unterschriften Digitale Unterschriften (Synomym: Digitale Signaturen ): Fälschen mutmaßlich hart (RSA-Wurzeln,
MehrVerteilte Kyroptographie
Verteilte Kyroptographie Klassische kryptographische Verfahren Kryptographische Hash-Funktionen Public-Key-Signaturen Verteilte Mechanismen Schwellwert-Signaturen Verteilt generierte Zufallszahlen Verteilte
MehrElGamal Verschlüsselungsverfahren (1984)
ElGamal Verschlüsselungsverfahren (1984) Definition ElGamal Verschlüsselungsverfahren Sei n ein Sicherheitsparameter. 1 Gen : (q, g) G(1 n ), wobei g eine Gruppe G der Ordnung q generiert. Wähle x R Z
MehrAlgorithmische Methoden für schwere Optimierungsprobleme
Algorithmische Methoden für schwere Optimierungsprobleme Prof. Dr. Henning Meyerhenke Institut für Theoretische Informatik 1 KIT Henning Universität desmeyerhenke, Landes Baden-Württemberg Institutund
MehrAlgorithmische Methoden zur Netzwerkanalyse
Algorithmische Methoden zur Netzwerkanalyse Juniorprof. Dr. Henning Meyerhenke Institut für Theoretische Informatik 1 KIT Henning Universität desmeyerhenke, Landes Baden-Württemberg Institutund für Theoretische
Mehr