Übung zur Vorlesung. Sicherheit Übungsblatt 5 Björn Kaidel

Save this PDF as:
 WORD  PNG  TXT  JPG

Größe: px
Ab Seite anzeigen:

Download "Übung zur Vorlesung. Sicherheit Übungsblatt 5 Björn Kaidel"

Transkript

1 Übung zur Vorlesung Sicherheit Übungsblatt 5 Björn Kaidel Room: SICHERHEIT Bitte gleich einloggen! 1 / 55

2 Evaluation (siehe Evaluations-PDF) 2 / 55

3 Evaluation: Kommentare Positiv: Demos Socrative Zeiteinteilung Socrative: 78% bevorzugen aktuelle Zeiteinteilung (An alle anderen: Bei offenen Fragen sind wir immer per Mail, Sprechstunde, nach der Übung etc. erreichbar.) Ausführliche Erklärungen 3 / 55

4 Evaluation: Kommentare Negativ: Aussprache undeutlich/zu leise/... Beamerbild zu klein Schwierige Aufgaben Socrative-Fragen werden nicht per Beamer gezeigt 4 / 55

5 Kummerkasten VL 07: H(K, M) = H(K M)? Antwort: Ja. Ist noch ein Artefakt von früher 5 / 55

6 Socrative: Signaturen & Schlüsselaustausch Room: SICHERHEIT App um Quizze durchzuführen Zugang durch Browser oder App Als Quizteilnehmer kein Account notwendig. 6 / 55

7 Socrative: Signaturen & Schlüsselaustausch Room: SICHERHEIT Frage 1: Das ElGamal-Signaturverfahren ist EUF-CMA-sicher. A) Wahr B) Falsch 7 / 55

8 Socrative: Signaturen & Schlüsselaustausch Room: SICHERHEIT Frage 2: Auch deterministische Signatuverfahren können EUF- CMA-sicher sein. A) Wahr B) Falsch 8 / 55

9 Socrative: Signaturen & Schlüsselaustausch Room: SICHERHEIT Frage 3: Wir betrachten einen modifizierten EUF-CMA-Begriff: Gibt man dem Angreifer eine Nachricht vor, zu der er eine Signatur fälschen muss (anstatt das er diese selbst wählen darf), so erfüllen Textbook-RSA-Signaturen diesen Sicherheitsbegriff. A) Wahr B) Falsch 9 / 55

10 Socrative: Signaturen & Schlüsselaustausch Room: SICHERHEIT Frage 4: Der Diffie-Hellman-Schlüsselaustausch ist sicher gegen Man-in-the-Middle-Angriffe. A) Wahr B) Falsch 10 / 55

11 Sicherheit Übungsblatt 5 Aufgabe 1 (1) Lehrbuch-RSA-Signaturen sind nicht EUF-CMA-sicher. Betrachte schwächeren Sicherheitsbegriff: Wie EUF-CMA, aber... Angreifer muss zu einer vorgegebenen Nachricht m eine Fälschung berechnen. Angreifer darf keine Sign-Anfragen für m stellen. Frage: Erfüllen die Lehrbuch-RSA-Signaturen diesen Sicherheitsbegriff? 11 / 55

12 Neue Sicherheitsbegriff: Ablauf Herausforderer C führt (pk, sk) Gen(1 k ) aus. C stellt Sign(sk, )-Orakel für A bereit. C A Orakel pk, M M σ = Sign(sk, M i ) σ (Poly. viele Anfragen erlaubt!) Ver(pk, M, σ ) = 1? M / {M 1,..., M n }? 12 / 55

13 Sicherheit Übungsblatt 5 Aufgabe 1 (1) Antwort: Nein! Betrachte folgenden Angreifer A: A erhält den PK (e, N = P Q) (P, Q prim) und m. Annahme: m ist invertierbar Ist m nicht invertierbar, so gilt ggt (m, N) = P ggt (m, N) = Q und wir könnten N faktorisieren..... und damit auch leicht Signaturen fälschen. Ziel: berechne σ mit (σ ) e = m mod N A zieht x Z N \ {1} und berechnet y := x e mod N. Beobachtung: y 1 mod N 13 / 55

14 Sicherheit Übungsblatt 5 Aufgabe 1 (1) A setzt m 1 := m y mod N. m 1 m mod N, da y 1 mod N und m invertierbar. A schickt m 1 an das Sign-Orakel und erhält σ 1. Er gibt σ = σ 1 x 1 mod N als Fälschung aus. (x 1 existiert, da x invertierbar) 14 / 55

15 Sicherheit Übungsblatt 5 Aufgabe 1 (1) σ ist eine gültige Fälschung, denn es gilt: (σ ) e = (σ 1 x 1 ) e mod N = σ1 e (x e ) 1 mod N = m 1 y 1 mod N = (m y) y 1 mod N = m mod N Erfolgswkt. = 1 Laufzeit: Polynomiell (simple Berechnungen & nur eine Sign-Anfrage) 15 / 55

16 Sicherheit Übungsblatt 5 Aufgabe 1 (1) Fazit: Lehrbuch-RSA-Signaturen erfüllen auch schwache Sicherheitsbegriffe nicht. Sicherheitsbegriff: UUF-CMA (universal unforgeable...) Problem: Homomorphie Lehrbuch-RSA-Signaturen nicht verwenden! 16 / 55

17 Sicherheit Übungsblatt 5 Aufgabe 1 (2) Digital-Signature-Algorithmus (DSA) über G = Q(Z p), für ungerades primes p N. Q(Z p) := {x 2 : x Z p} ist Menge der Quadrate in Z p. Q(Z p) ist eine Gruppe! Genauer: Untergruppe von Z p. Es sei p = 2q + 1 mit q = / 55

18 Sicherheit Übungsblatt 5 Aufgabe 1 (2 (a)) (a) Berechnen Sie einen DSA-Public-Key pk := (G, g, g x, (H, h 1, h 2 )), sowie den DSA-Secret-Key sk := (G, g, x, (H, h 1, h 2 )) Wir verwenden die folgende Hashfunktion: H : Z q Z q Z q (x 1, x 2 ) h x 1 1 hx 2 2 mod q 18 / 55

19 Sicherheit Übungsblatt 5 Aufgabe 1 (2 (a)) Für p = 2q + 1 = 23 ergibt sich: G := Q(Z 23) = {1, 2, 3, 4, 6, 8, 9, 12, 13, 16, 18}. G = 11. Ziehe x {0,..., q 1}, z.b. x := 10. Vorgegeben waren: g := 8 h 1 := 4 h 2 := 2 Fehlt noch: g x 19 / 55

20 Sicherheit Übungsblatt 5 Aufgabe 1 (2 (a)) Wir berechnen g x = 8 10 mod 23 = (8 2 ) mod 23 = (64) 4 64 mod 23 = (18) 4 18 mod 23 = ( 5) 4 18 mod 23 = (2) 2 18 mod 23 = 4 18 mod 23 = 72 mod 23 = 3 mod / 55

21 Sicherheit Übungsblatt 5 Aufgabe 1 (2 (a)) Damit ergibt sich insgesamt: pk = (Q(Z 23), 8, 3, (H, 4, 2)) sk = (Q(Z 23), 8, 10, (H, 4, 2)) 21 / 55

22 Sicherheit Übungsblatt 5 Aufgabe 1 (2 (b)) Signieren Sie die Nachricht M = (7, 3) mithilfe des Secret-Keys aus (a). Wähle e {0,..., q 1}, z.b. e := 5. Berechne a := g e mod p = 8 5 mod 23 = mod 23 = (64) 2 8 mod 23 = ( 5) 2 8 mod 23 = 2 8 mod 23 = 16 mod / 55

23 Sicherheit Übungsblatt 5 Aufgabe 1 (2 (b)) Als Hashwert ergibt sich: H(M) = H(7, 3) = h1h mod 11 = mod 11 =... = 7 mod 11. Löse nun nach b und erhalte ax + eb = H(M) mod q b = 9 mod q. 23 / 55

24 Sicherheit Übungsblatt 5 Aufgabe 1 (2 (b)) Die Signatur zur Nachricht M = (7, 3) lautet σ := (a, b) = (16, 9). 24 / 55

25 Sicherheit Übungsblatt 5 Aufgabe 1 (2 (c)) Verifizieren Sie die Signatur zur Nachricht M aus (b) mittels des Public-Keys aus (a). 25 / 55

26 Sicherheit Übungsblatt 5 Aufgabe 1 (2 (c)) Die Signatur ist σ = (16, 9) =: (a, b). Überprüfe, ob (g x ) a a b mod p = g H(M) mod p. 26 / 55

27 Sicherheit Übungsblatt 5 Aufgabe 1 (2 (c)) Es ergibt sich (g x ) a a b = mod 23 = 12 mod 23, sowie: g H(M) = 8 7 mod 23 = 12 mod 23. Somit: Signatur gültig. 27 / 55

28 Sicherheit Übungsblatt 5 Aufgabe 1 (2) Fazit: DSA Teil des Digital-Signature-Standards, gilt z.b. für US-Behörden. Als mögliche Hashfkts. werden dort Algorithmen der SHA-Familie empfohlen. 28 / 55

29 Sicherheit Übungsblatt 5 Aufgabe 2 Betrachten Sie den Diffie-Hellman-Schlüsselaustausch in G: A x {0,..., G 1} y {0,..., G 1} X := g x Y := g Y X B Y K := Y x = g xy K := X y = g xy 29 / 55

30 Sicherheit Übungsblatt 5 Aufgabe 2 Es seien G = Q(Z p) (also Untergruppe von Z p), p = 23, g = 18, x = 6, y = 8. Zusatzinfo: G = 11 Berechnen Sie X, Y, K. 30 / 55

31 Sicherheit Übungsblatt 5 Aufgabe 2 X = g x mod 23 = 18 6 mod 23 = (18 23) 6 mod 23 = (( 5) 2 ) 3 mod 23 = 25 3 mod 23 = 2 3 mod 23 = 8 mod / 55

32 Sicherheit Übungsblatt 5 Aufgabe 2 Y = g y mod 23 = 18 8 mod 23 = (( 5) 2 ) 4 mod 23 = 2 4 mod 23 = 16 mod / 55

33 Sicherheit Übungsblatt 5 Aufgabe 2 K = g xy mod 23 = mod 23 = mod 11 mod 23 = ( 5) 4 mod 23 = 2 2 mod 23 = 4 mod 23 Wir verwenden, dass 18 G und G = 11 Wir könnten auch mit der Ordnung der Obergruppe (Z 23, Ordnung 22) arbeiten. 33 / 55

34 Sicherheit Übungsblatt 5 Aufgabe 2 Fazit: Diffie-Hellman-Schlüsselaustausch geübt DH-Schlüsselaustausch wird z.b. bei TLS verwendet. (Auf vielfachen Wunsch auch nochmal Beispiel für Modulo-Rechnen) 34 / 55

35 Sicherheit Übungsblatt 5 Aufgabe 3 Geg.: 2-Parteien-2-Nachrichten-Schlüsselaustauschverf. KE: KE.Gen(1 k ): Gibt State s und X aus (X ist erste Nachricht im Schlüsselaustausch). KE.Encap(X ): Gibt Y und K aus (Y ist zweite Nachricht im Austausch). KE.Decap(s, Y ): Gibt einen Schlüssel K aus. Korrektheit: k N, (s, X ) KE.Gen(1 k ) gilt für (K, Y ) KE.Encap(X ), dass KE.Decap(s, Y ) = K. 35 / 55

36 Sicherheit Übungsblatt 5 Aufgabe 3 Diffie-Hellman so geschrieben: KE.Gen(1 k ): s := x Z p, X := g x KE.Encap(X ): Zieht y Z p K = X y = g xy Y = g y KE.Decap(s, Y ): Berechnet K := Y s = Y x = g xy. 36 / 55

37 Sicherheit Übungsblatt 5 Aufgabe 3 Aufgabe: Konstruieren Sie ein Public-Key-Verschlüsselungsverfahren PKE = (PKE.Gen, PKE.Enc, PKE.Dec) aus dem Schlüsselaustauschverfahren KE. Hinweis: Denken Sie an die Beziehung zwischen DH-Schlüsselaustausch und ElGamal-Verschl. 37 / 55

38 Sicherheit Übungsblatt 5 Aufgabe 3 Schlüsselerzeugung PKE.Gen(1 k ) : Ziehe (s, X ) KE.Gen(1 k ) Setze pk := X Setze sk := s gebe (pk, sk) aus Diffie-Hellman/ElGamal: DH: s = x, X = g x ElGamal: sk = x, pk = g x 38 / 55

39 Sicherheit Übungsblatt 5 Aufgabe 3 Verschlüsselung PKE.Enc(pk, M) : Berechne (Y, K) KE.Encap(pk). C := (Y, K M). gebe C aus. Y entspricht hier Zufall, da KE.Encap(pk) probabilistisch. Diffie-Hellman/ElGamal: DH: ziehe y, Y := g y, K = g xy ElGamal: ziehe y, C := (g y, g xy M) 39 / 55

40 Sicherheit Übungsblatt 5 Aufgabe 3 Entschlüsselung PKE.Dec(sk, C = (C 1, C 2 )) : C 1 = Y, C 2 = K M, sk = s K := KE.Decap(sk, C 1 ) = KE.Decap(s, Y ) M := C 2 K Korrektheit folgt aus Korrektheit von KE (K = K ) Diffie-Hellman/ElGamal: DH: erhalte Y, K = Y x = g xy ElGamal: M = C 2 /C x 1 = (g xy M)/g xy 40 / 55

41 Sicherheit Übungsblatt 5 Aufgabe 3 Fazit: Zusammenhang zwischen Schlüsselaustausch und Verschlüsselung Auch historisch interessant... (DH/ElGamal) Sicherheit noch unklar Sicherheitsdef. für Schlüsselaustausch wurde in VL aber auch nicht besprochen! 41 / 55

42 Socrative: CRIME Room: SICHERHEIT App um Quizze durchzuführen Zugang durch Browser oder App Als Quizteilnehmer kein Account notwendig. 42 / 55

43 Socrative: CRIME Room: SICHERHEIT Frage 1: TLS ist ein Schlüsselaustauschprotokoll. A) Wahr B) Falsch 43 / 55

44 Socrative: CRIME Room: SICHERHEIT Frage 2: Nachrichten sollte man vor dem Versenden immer Komprimieren. A) Ja, dies spart Bandbreite. B) Ja, dies spart Bandbreite und erhöht die Sicherheit. C) Nein, nicht immer, dies kann je nach Protokoll zu Sicherheitsproblemen führen. 44 / 55

45 Socrative: CRIME Room: SICHERHEIT Frage 3: Laufzeitoptimierungen an kryptographischen Algorithmen können zu Sicherheitslücken führen. A) Wahr B) Falsch 45 / 55

46 Socrative: CRIME Room: SICHERHEIT Frage 4: Man kann davon ausgehen, dass Chiffrate eines IND- CPA-sicheren Verschlüsselungsverfahrens keine Rückschlüsse über die Länge der verschlüsselten Nachricht zulassen. A) Wahr B) Falsch 46 / 55

47 Sicherheit Übungsblatt 5 Aufgabe 4 Doktor Meta Aufgabe (Story siehe Blatt) Theoretische und praktische Untersuchung von CRIME Angriff auf TLS Nutzt aus, dass Klartexte vor der Verschlüsselung komprimiert werden 47 / 55

48 Sicherheit Übungsblatt 5 Aufgabe 4 (a) PKE = (Gen, Enc, Dec) IND-CPA-sicher. Zu PKE ist PPT L bekannt, sodass für alle M Pr [ L(pk, C) = M (pk, sk) Gen(1 k ), C Enc(pk, M) ] gleich 1. D.h. L kann die Länge des Klartextes in einem Chiffrat bestimmen. C = (Comp, Decomp) Kompressionsalgorithmus M = M bedeutet nicht Comp(M) = Comp(M )! redundante Nachrichten = stärkere Kompression 48 / 55

49 Sicherheit Übungsblatt 5 Aufgabe 4 (a) Es sei nun PKE = (Gen, Enc, Dec ) gegeben durch: Gen (1 k ) = Gen(1 k ) Enc (pk, M) = Enc(pk, Comp(M)) Dec (sk, C) = Decomp(Dec(sk, C)) Zeigen Sie: PKE ist nicht IND-CPA-sicher. 49 / 55

50 Sicherheit Übungsblatt 5 Aufgabe 4 Betrachte folgenden PPT A: A erhält pk und wählt M 0, M 1 mit M0 = M 1, aber Comp(M0 ) Comp(M 1 ). A schickt M 0, M 1 als Challenge. A erhält C und führt L(pk, C ) =: x aus. Er überprüft, ob x = Comp(M 0 ), wenn ja, gebe 0 aus, sonst überprüfe, ob x = Comp(M 1 ), wenn ja, gebe 1 aus, sonst... gebe ein zufälliges Bit aus. 50 / 55

51 Sicherheit Übungsblatt 5 Aufgabe 4 Sei E das Ereignis, dass L die Länge des Klartextes in C richtig bestimmt. Dann ist: Pr[A gew.] 1/2 = Pr[(A gew. E) (A gew. E)] 1/2 = Pr[E] Pr[A gew. E] + Pr[E] Pr[A gew. E] 1/2 = 1 Pr[A gew. E] + 0 1/2 = 1 1/2 = 1/2. 1/2 ist nicht vernachlässigbar, d.h. PKE ist nicht IND-CPAsicher. 51 / 55

52 Sicherheit Übungsblatt 5 Aufgabe 4 Bonus: Pr[L(pk, C) = M...] = 1 f (k) mit f vernachlässigbar in k. Pr[A gew.] 1/2 = Pr[E] Pr[A gew. E] + Pr[E] Pr[A gew. E] 1/2 Pr[E] Pr[A gew. E] 1/2 = (1 f (k)) 1 1/2 = 1/2 f (k). 52 / 55

53 Sicherheit Übungsblatt 5 Aufgabe 4 Frage: g(k) := 1/2 f (k) nicht vernachlässigbar? Antwort: Ja! Für k gehen vern. Fkt. gegen 0. Aber: lim g(k) = lim 1/2 f (k) = 1/2 0 k k Also g(k) nicht vernachlässigbar. Achtung: Um zu zeigen, dass eine Funktion f vernachlässigbar ist, genügt es nicht zu zeigen, dass sie gegen Null geht! 53 / 55

54 Sicherheit Übungsblatt 5 Aufgabe 4 Fazit: CRIME: Theorie & Praxis angedeutet Ausgenutzt: Komprimierung ändert Nachrichtenlänge Angriff zeigt einen Grund, wieso gleiche Nachrichtenlänge gefordert wird (bei IND-CPA etc.) 54 / 55

55 Sicherheit Übungsblatt 5 Aufgabe 4 Fazit: Problem: Chiffrate können Nachrichtenlänge nicht verstecken. Für Angriff/Problem muss nicht unbedingt die exakte Nachrichtenlänge ablesbar sein Es genügt, wenn verschieden lange Nachrichten zu verschieden langen Chiffraten führen. Komprimierung & Verschlüsselung verträgt sich nicht Klartext komprimieren Angriff Chiffrat komprimieren wird nichts bringen, da nicht redundant (wegen Zufall etc.) (abhängig vom Anwendungsfall) 55 / 55

Institut für Theoretische Informatik Prof. Dr. Dennis Hofheinz Übungsleiter: Thomas Agrikola. Stammvorlesung Sicherheit im Sommersemester 2017

Institut für Theoretische Informatik Prof. Dr. Dennis Hofheinz Übungsleiter: Thomas Agrikola. Stammvorlesung Sicherheit im Sommersemester 2017 Institut für Theoretische Informatik Prof. Dr. Dennis Hofheinz Übungsleiter: Thomas Agrikola Stammvorlesung Sicherheit im Sommersemester 2017 Übungsblatt 5 Aufgabe 1. (1.) In der Vorlesung wurde gezeigt,

Mehr

Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Übungsblatt 5

Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Übungsblatt 5 Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Übungsblatt 5 Aufgabe 1. (1.) In der Vorlesung wurde gezeigt, dass Lehrbuch-RSA-Signaturen

Mehr

Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Klausur Hinweise

Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Klausur Hinweise Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Klausur 21.07.2015 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen

Mehr

Digitale Signaturen. Einführung Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Digitale Signaturen. Einführung Gunnar Hartung, Björn Kaidel.  FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK Digitale Signaturen Einführung Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-10-21 G. Hartung, B. Kaidel Digitale Signaturen: Einführung KIT Die Forschungsuniversität

Mehr

Digitale Signaturen. Einführung Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Digitale Signaturen. Einführung Björn Kaidel.  FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK Digitale Signaturen Einführung Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-10-20 B. Kaidel Digitale Signaturen: Einführung KIT Die Forschungsuniversität in der Helmholtz-Gemeinschaft

Mehr

Übung zur Vorlesung Sicherheit Übungsblatt 3. Björn Kaidel 1 / 52

Übung zur Vorlesung Sicherheit Übungsblatt 3. Björn Kaidel 1 / 52 Übung zur Vorlesung Sicherheit 21.05.2014 Übungsblatt 3 Björn Kaidel bjoern.kaidel@kit.edu 1 / 52 Kummerkasten Bitte helleren Laserpointer verwenden. Sind die Skriptlinks vertauscht? Nein! Wegen allgemeiner

Mehr

Digitale Signaturen. Einmalsignaturen Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Digitale Signaturen. Einmalsignaturen Gunnar Hartung, Björn Kaidel.  FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK Digitale Signaturen Einmalsignaturen Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-11-04 B. Kaidel Digitale Signaturen: Einmalsignaturen KIT Die Forschungsuniversität

Mehr

https://b.socrative.com/login/student/

https://b.socrative.com/login/student/ Übung zur Vorlesung Sicherheit 23.06.2016 Übungsblatt 4 Björn Kaidel bjoern.kaidel@kit.edu https://b.socrative.com/login/student/ Room: SICHERHEIT Bitte gleich einloggen! 1 / 62 Feedback: Kummerkasten/Feedback

Mehr

Digitale Signaturen. seuf-cma & Pairings Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Digitale Signaturen. seuf-cma & Pairings Gunnar Hartung, Björn Kaidel.  FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK Digitale Signaturen seuf-cma & Pairings Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-01-20 B. Kaidel Digitale Signaturen: seuf-cma & Pairings KIT Die

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 23.05.2016 1 / 32 Überblick 1 Symmetrische Authentifikation von Nachrichten Ziel Konstruktionen MACs

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 15.05.2017 1 / 25 Überblick 1 Hashfunktionen Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel: RSA

Mehr

Digitale Signaturen. Sicherheitsdefinitionen Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Digitale Signaturen. Sicherheitsdefinitionen Björn Kaidel.  FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK Digitale Signaturen Sicherheitsdefinitionen Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-10-27 B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen KIT Die Forschungsuniversität

Mehr

Homomorphe Verschlüsselung

Homomorphe Verschlüsselung Homomorphe Verschlüsselung Definition Homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : G G für Gruppen G, G. Π heißt homomorph, falls Enc(m 1 ) G Enc(m 2 ) eine gültige Verschlüsselung

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 12.05.2014 1 / 26 Überblick 1 Hashfunktionen Erinnerung Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel:

Mehr

Asymmetrische Verschlüsselungsverfahren

Asymmetrische Verschlüsselungsverfahren Asymmetrische Verschlüsselungsverfahren Vorlesung 4 Alexander Koch (Vertretung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 KIT 2015-11-12 Universität desalexander Landes Baden-Württemberg

Mehr

Vorlesung Digitale Signaturen im Wintersemester 2017/-18. Socrative-Fragen aus der Vorlesung vom

Vorlesung Digitale Signaturen im Wintersemester 2017/-18. Socrative-Fragen aus der Vorlesung vom Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Dozenten: Björn Kaidel Vorlesung Digitale Signaturen im Wintersemester 2017/-18 Socrative-Fragen aus der Vorlesung vom 17.11.2017 1 Quiz 1:

Mehr

Hybride Verschlüsselungsverfahren

Hybride Verschlüsselungsverfahren Hybride Verschlüsselungsverfahren Ziel: Flexibilität von asym. Verfahren und Effizienz von sym. Verfahren. Szenario: Sei Π = (Gen, Enc, Dec) ein PK-Verschlüsselungsverfahren und Π = (Gen, Enc, Dec ) ein

Mehr

Voll homomorpe Verschlüsselung

Voll homomorpe Verschlüsselung Voll homomorpe Verschlüsselung Definition Voll homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : R R für Ringe R, R. Π heißt voll homomorph, falls 1 Enc(m 1 ) + Enc(m 2 ) eine gültige

Mehr

Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Klausur Hinweise

Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Klausur Hinweise Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Klausur 22.07.2014 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 06.05.2013 1 / 25 Überblick 1 Hashfunktionen Erinnerung Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel:

Mehr

Digitale Signaturen. Wiederholung Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Digitale Signaturen. Wiederholung Gunnar Hartung, Björn Kaidel.  FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK Digitale Signaturen Wiederholung Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung KIT Die Forschungsuniversität

Mehr

Homomorphe Verschlüsselung

Homomorphe Verschlüsselung Homomorphe Verschlüsselung Definition Homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : G G für Gruppen G, G. Π heißt homomorph, falls Enc(m 1 ) G Enc(m 2 ) eine gültige Verschlüsselung

Mehr

Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Nachklausur

Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Nachklausur Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz IKS Institut für Kryptographie und Sicherheit Stammvorlesung Sicherheit im Sommersemester 2013 Nachklausur 07.10.2013 Vorname: Nachname:

Mehr

Socrative-Fragen aus der Übung vom

Socrative-Fragen aus der Übung vom Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Übungsleiter: Björn Kaidel, Alexander Koch Stammvorlesung Sicherheit im Sommersemester 2016 Socrative-Fragen aus der Übung vom 28.04.2016

Mehr

Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Klausur Hinweise

Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Klausur Hinweise Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Klausur 22.07.2014 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen

Mehr

Rabin Verschlüsselung 1979

Rabin Verschlüsselung 1979 Rabin Verschlüsselung 1979 Idee: Rabin Verschlüsselung Beobachtung: Berechnen von Wurzeln in Z p ist effizient möglich. Ziehen von Quadratwurzeln in Z N ist äquivalent zum Faktorisieren. Vorteil: CPA-Sicherheit

Mehr

Kryptographie - eine mathematische Einführung

Kryptographie - eine mathematische Einführung Kryptographie - eine mathematische Einführung Rosa Freund 28. Dezember 2004 Überblick Grundlegende Fragestellungen Symmetrische Verschlüsselung: Blockchiffren, Hashfunktionen

Mehr

Digitale Signaturen. Einführung und das Schnorr Signatur Schema. 1 Digitale Signaturen Einführung & das Schnorr Signatur Schema.

Digitale Signaturen. Einführung und das Schnorr Signatur Schema. 1 Digitale Signaturen Einführung & das Schnorr Signatur Schema. Digitale Signaturen Einführung und das Schnorr Signatur Schema 1 Übersicht 1. Prinzip der digitalen Signatur 2. Grundlagen Hash Funktionen Diskreter Logarithmus 3. ElGamal Signatur Schema 4. Schnorr Signatur

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 26.05.2014 1 / 32 Überblick 1 Hinweis 2 Asymmetrische Authentifikation von Nachrichten Erinnerung RSA als Signaturschema ElGamal-Signaturen Hash-Then-Sign

Mehr

Kryptographie und Komplexität

Kryptographie und Komplexität Kryptographie und Komplexität Einheit 5.2 ElGamal Systeme 1. Verschlüsselungsverfahren 2. Korrektheit und Komplexität 3. Sicherheitsaspekte Das ElGamal Verschlüsselungsverfahren Public-Key Verfahren von

Mehr

RSA Full Domain Hash (RSA-FDH) Signaturen

RSA Full Domain Hash (RSA-FDH) Signaturen RSA Full Domain Hash (RSA-FDH) Signaturen Signatur RSA-FDH Sei H : {0, 1} Z N ein Random-Oracle. 1 Gen: (N, e, d) GenRSA(1 n ) mit pk = (N, e) und sk = (N, d). 2 Sign: Für eine Nachricht m {0, 1} berechne

Mehr

Gruppenbasierte Kryptographie. ElGamal Sicherheit. Drei Probleme. ElGamal Verschlüsselung. Benutzt zyklische Gruppen von (fast) Primzahlordnung:

Gruppenbasierte Kryptographie. ElGamal Sicherheit. Drei Probleme. ElGamal Verschlüsselung. Benutzt zyklische Gruppen von (fast) Primzahlordnung: Gruppenbasierte Kryptographie Benutzt zyklische Gruppen von (fast) Primzahlordnung: G = g und #G = l = cl 0 mit c klein und l 0 prim. b G : x Z : b = g x. Das Element x heißt diskreter Logarithmus von

Mehr

Bemerkungen. Orientierung. Digitale Unterschriften. Angriffe und Sicherheitsmodelle

Bemerkungen. Orientierung. Digitale Unterschriften. Angriffe und Sicherheitsmodelle Orientierung Haben bisher im Public-Key Bereich nur Verschlüsselung betrachtet. Haben dafür geeignete mathematische Strukturen und ihre Eigenschaften diskutiert. RSA, Rabin: Restklassenringe modulo n,

Mehr

Sicherheit von hybrider Verschlüsselung

Sicherheit von hybrider Verschlüsselung Sicherheit von hybrider Verschlüsselung Satz Sicherheit hybrider Verschlüsselung Sei Π ein CPA-sicheres PK-Verschlüsselungsverfahren und Π ein KPA-sicheres SK-Verschlüsselungsverfahren. Dann ist das hybride

Mehr

Übungsblatt 4. Stammvorlesung Sicherheit im Sommersemester Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade

Übungsblatt 4. Stammvorlesung Sicherheit im Sommersemester Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Übungsblatt 4 Aufgabe 1. Wir instanziieren das ElGamal-Verschlüsselungsverfahren aus der

Mehr

Asymmetrische Verschlüsselungsverfahren

Asymmetrische Verschlüsselungsverfahren Asymmetrische Verschlüsselungsverfahren Björn Kaidel - Vertretung für Prof. J. Müller-Quade (Folien von A. Koch) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 17.11.2016 Björn Kaidel

Mehr

Das Rucksackproblem. Definition Sprache Rucksack. Satz

Das Rucksackproblem. Definition Sprache Rucksack. Satz Das Rucksackproblem Definition Sprache Rucksack Gegeben sind n Gegenstände mit Gewichten W = {w 1,...,w n } N und Profiten P = {p 1,...,p n } N. Seien ferner b, k N. RUCKSACK:= {(W, P, b, k) I [n] : i

Mehr

CPA-Sicherheit ist ungenügend

CPA-Sicherheit ist ungenügend CPA-Sicherheit ist ungenügend Definition CCA CCA (=Chosen Ciphertext Attack) ist ein Angriff, bei dem der Angreifer sich Chiffretext seiner Wahl entschlüsseln lassen kann. Beispiele in denen CPA nicht

Mehr

Sicherheit von ElGamal

Sicherheit von ElGamal Sicherheit von ElGamal Satz CPA-Sicherheit ElGamal ElGamal Π ist CPA-sicher unter der DDH-Annahme. Beweis: Sei A ein Angreifer auf ElGamal Π mit Erfolgsws ɛ(n) := Ws[PubK cpa A,Π (n) = 1]. Wir konstruieren

Mehr

Kryptographie und Komplexität

Kryptographie und Komplexität Kryptographie und Komplexität Einheit 5 Kryptosysteme auf der Basis diskreter Logarithmen 1. Diffie Hellman Schlüsselaustausch 2. El Gamal Systeme 3. Angriffe auf Diskrete Logarithmen 4. Elliptische Kurven

Mehr

Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Klausur

Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Klausur Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz IKS Institut für Kryptographie und Sicherheit Stammvorlesung Sicherheit im Sommersemester 2013 Klausur 26.07.2013 Vorname: Nachname:

Mehr

Verteilte Kyroptographie

Verteilte Kyroptographie Verteilte Kyroptographie Klassische kryptographische Verfahren Kryptographische Hash-Funktionen Public-Key-Signaturen Verteilte Mechanismen Schwellwert-Signaturen Verteilt generierte Zufallszahlen Verteilte

Mehr

Effizienten MAC-Konstruktion aus der Praxis: NMAC Idee von NMAC:

Effizienten MAC-Konstruktion aus der Praxis: NMAC Idee von NMAC: Effizienten MAC-Konstruktion aus der Praxis: NMAC Idee von NMAC: Hashe m {0, 1} auf einen Hashwert in {0, 1} n. Verwende Π MAC3 für Nachrichten fixer Länge auf dem Hashwert. Wir konstruieren Π MAC3 mittels

Mehr

Digitale Unterschriften. Angriffe und Sicherheitsmodelle. Bemerkungen. Angriffe und Sicherheitsmodelle

Digitale Unterschriften. Angriffe und Sicherheitsmodelle. Bemerkungen. Angriffe und Sicherheitsmodelle Digitale Unterschriften Auch digitale Signaturen genannt. Nachrichten aus Nachrichtenraum: M M. Signaturen aus Signaturenraum: σ S. Schlüssel sind aus Schlüsselräumen: d K 1, e K 2. SignierungsverfahrenS

Mehr

Public Key Kryptographie

Public Key Kryptographie 3. Juni 2006 1 Algorithmen für Langzahlen 1 RSA 1 Das Rabin-Kryptosystem 1 Diskrete Logarithmen Grundlagen der PK Kryptographie Bisher: Ein Schlüssel für Sender und Empfänger ( Secret-Key oder symmetrische

Mehr

Kryptologie. K l a u s u r WS 2006/2007, Prof. Dr. Harald Baier

Kryptologie. K l a u s u r WS 2006/2007, Prof. Dr. Harald Baier Kryptologie K l a u s u r WS 2006/2007, 2007-02-01 Prof. Dr. Harald Baier Name, Vorname: Matrikelnummer: Hinweise: (a) Als Hilfsmittel ist nur der Taschenrechner TI-30 zugelassen. Weitere Hilfsmittel sind

Mehr

9 Schlüsseleinigung, Schlüsselaustausch

9 Schlüsseleinigung, Schlüsselaustausch 9 Schlüsseleinigung, Schlüsselaustausch Ziel: Sicherer Austausch von Schlüsseln über einen unsicheren Kanal initiale Schlüsseleinigung für erste sichere Kommunikation Schlüsselerneuerung für weitere Kommunikation

Mehr

3: Zahlentheorie / Primzahlen

3: Zahlentheorie / Primzahlen Stefan Lucks Diskrete Strukturen (WS 2009/10) 96 3: Zahlentheorie / Primzahlen 3: Zahlentheorie / Primzahlen Stefan Lucks Diskrete Strukturen (WS 2009/10) 97 Definition 37 (Teiler, Vielfache, Primzahlen,

Mehr

Das RSA-Verfahren. Proseminar Kryptographische Protokolle SS Armin Litzel

Das RSA-Verfahren. Proseminar Kryptographische Protokolle SS Armin Litzel in der Praxis Proseminar Kryptographische Protokolle SS 2009 5.5.2009 in der Praxis Gliederung 1 Grundlegendes über RSA 2 in der Praxis Allgemeine Vorgehensweise zur Verschlüsselung Signieren mit RSA 3

Mehr

Kryptographie. Nachricht

Kryptographie. Nachricht Kryptographie Kryptographie Sender Nachricht Angreifer Empfänger Ziele: Vertraulichkeit Angreifer kann die Nachricht nicht lesen (Flüstern). Integrität Angreifer kann die Nachricht nicht ändern ohne dass

Mehr

Digitale Signaturen. Kapitel 8

Digitale Signaturen. Kapitel 8 Digitale Signaturen Kapitel 8 Handschriftliche vs. digitale Unterschrift digitalisieren mp3 Unterschrift digitale Unterschrift von D.H. für mp3? (Scannen und als Bitmap anhängen z.b. zu leicht zu fälschen)

Mehr

RSA Full Domain Hash (RSA-FDH) Signaturen

RSA Full Domain Hash (RSA-FDH) Signaturen RSA Full Domain Hash (RSA-FDH) Signaturen Signatur RSA-FDH Sei H : {0, 1} Z N ein Random-Oracle. 1 Gen: (N, e, d) GenRSA(1 n ) mit pk = (N, e) und sk = (N, d). 2 Sign: Für eine Nachricht m {0, 1} berechne

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 13.05.2013 1 / 16 Überblick 1 Asymmetrische Verschlüsselung Erinnerung Andere Verfahren Demonstration Zusammenfassung 2 Symmetrische Authentifikation von Nachrichten

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 08.05.2017 1 / 32 Überblick 1 Blockchiffren Erinnerung Varianten von DES Beispiel: AES Angriffe auf Blockchiffren 2 Formalisierung von Sicherheit (symmetrischer

Mehr

Public-Key-Verschlüsselung und Diskrete Logarithmen

Public-Key-Verschlüsselung und Diskrete Logarithmen Public-Key-Verschlüsselung und Diskrete Logarithmen Carsten Baum Institut für Informatik Universität Potsdam 10. Juni 2009 1 / 30 Inhaltsverzeichnis 1 Mathematische Grundlagen Gruppen, Ordnung, Primitivwurzeln

Mehr

Übung zur Vorlesung. Sicherheit Übungsblatt 6 Alexander Koch

Übung zur Vorlesung. Sicherheit Übungsblatt 6 Alexander Koch Übung zur Vorlesung Sicherheit 14.07.2015 Übungsblatt 6 Alexander Koch alexander.koch@kit.edu https://b.socrative.com/login/student/ Room: SICHERHEIT Bitte gleich einloggen! 1 / 26 Sicherheit Übungsblatt

Mehr

Diffie-Hellman, ElGamal und DSS. Vortrag von David Gümbel am 28.05.2002

Diffie-Hellman, ElGamal und DSS. Vortrag von David Gümbel am 28.05.2002 Diffie-Hellman, ElGamal und DSS Vortrag von David Gümbel am 28.05.2002 Übersicht Prinzipielle Probleme der sicheren Nachrichtenübermittlung 'Diskreter Logarithmus'-Problem Diffie-Hellman ElGamal DSS /

Mehr

Literatur. ISM SS 2017 Teil 8/Asymmetrische Verschlüsselung

Literatur. ISM SS 2017 Teil 8/Asymmetrische Verschlüsselung Literatur [8-1] Beutelspacher, A.; Schwenk, J.; Wolfenstetter, K.-D.: Moderne Verfahren der Kryptographie. 4. Auflage, Vieweg 2001 [8-2] Schmeh, Klaus: Kryptografie. dpunkt, 4. Auflage, 2009 [8-3] Schneier,

Mehr

Public Key Kryptographie

Public Key Kryptographie 4. Dezember 2007 Outline 1 Einführung 2 3 4 Einführung 1976 Whitefield Diffie und Martin Hellman 2 Schlüsselprinzip Asymmetrische Verschlüsselungsverfahren public Key private Key Anwendung E-Mail PGP openpgp

Mehr

13. Woche: NP-Vollständigkeit Satz von Cook-Levin Anwendungen in der Kryptographie

13. Woche: NP-Vollständigkeit Satz von Cook-Levin Anwendungen in der Kryptographie 13 Woche: NP-Vollständigkeit Satz von Cook-Levin Anwendungen in der Kryptographie 13 Woche: NP-Vollständigkeit, Satz von Cook-Levin, Anwendungen 276/ 333 N P-Vollständigkeit Ḋefinition NP-vollständig Sei

Mehr

6.3 Authentizität. Geheimhaltung: nur der Empfänger kann die Nachricht lesen. die Nachricht erreicht den Empfänger so, wie sie abgeschickt wurde

6.3 Authentizität. Geheimhaltung: nur der Empfänger kann die Nachricht lesen. die Nachricht erreicht den Empfänger so, wie sie abgeschickt wurde 6.3 Authentizität Zur Erinnerung: Geheimhaltung: nur der Empfänger kann die Nachricht lesen Integrität: die Nachricht erreicht den Empfänger so, wie sie abgeschickt wurde Authentizität: es ist sichergestellt,

Mehr

Übung zur Vorlesung Sicherheit Übung 1. Thomas Agrikola

Übung zur Vorlesung Sicherheit Übung 1. Thomas Agrikola Übung zur Vorlesung Sicherheit Übung 1 Thomas Agrikola Thomas.Agrikola@kit.edu 04.05.2017 1 / 36 Literatur zur Vorlesung Jonathan Katz, Yehuda Lindell. Introduction to Modern Cryptography. ISBN 1-584-88551-3.

Mehr

Kryptologie. Bernd Borchert. Univ. Tübingen SS Vorlesung. Teil 10. Signaturen, Diffie-Hellman

Kryptologie. Bernd Borchert. Univ. Tübingen SS Vorlesung. Teil 10. Signaturen, Diffie-Hellman Kryptologie Bernd Borchert Univ. Tübingen SS 2017 Vorlesung Teil 10 Signaturen, Diffie-Hellman Signatur Signatur s(m) einer Nachricht m Alice m, s(m) Bob K priv K pub K pub Signatur Signatur (Thema Integrity

Mehr

Kryptographie und Komplexität

Kryptographie und Komplexität Kryptographie und Komplexität Einheit 4.4 Semantische Sicherheit 1. Sicherheit partieller Informationen 2. Das Verfahren von Rabin 3. Sicherheit durch Randomisierung Semantische Sicherheit Mehr als nur

Mehr

Elliptische Kurven in der Kryptographie. Prusoth Vijayakumar / 16

Elliptische Kurven in der Kryptographie. Prusoth Vijayakumar / 16 1 / 16 06. 06. 2011 2 / 16 Übersicht Motivation Verfahren 3 / 16 Motivation Relativ sicher, da auf der Schwierigkeit mathematischer Probleme beruhend (z.b. Diskreter Logarithmus, Faktorisieren) Schnellere

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 10.06.2013 1 / 26 Überblick 1 Schlüsselaustauschprotokolle Transport Layer Security (TLS) Weitere Schlüsselaustauschtypen Zusammenfassung 2 Identifikationsprotokolle

Mehr

Kryptographische Protokolle

Kryptographische Protokolle Kryptographische Protokolle Lerneinheit 4: Schlüsselvereinbarung Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen Sommersemester 2017 8.5.2017 Einleitung Einleitung In dieser Lerneinheit

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 06.06.2016 1 / 37 Anmeldung Hauptklausur Anmeldung für die Hauptklausur ab jetzt möglich

Mehr

Kryptographie I Symmetrische Kryptographie

Kryptographie I Symmetrische Kryptographie Kryptographie I Symmetrische Kryptographie Alexander May Fakultät für Mathematik Ruhr-Universität Bochum Wintersemester 2012/13 Krypto I - Vorlesung 01-08.10.2012 Verschlüsselung, Kerckhoffs, Angreifer,

Mehr

Der Diskrete Logarithmus [DLOG] Autoren: Christof Paar Jan Pelzl. Ruhr - Universität Bochum

Der Diskrete Logarithmus [DLOG] Autoren: Christof Paar Jan Pelzl. Ruhr - Universität Bochum Der Diskrete Logarithmus [DLOG] Autoren: Christof Paar Jan Pelzl Ruhr - Universität Bochum Der Diskrete Logarithmus [DLOG] Autoren: Christof Paar Jan Pelzl 1. Auflage Ruhr - Universität Bochum 2017 Christof

Mehr

Kryptographie I Symmetrische Kryptographie

Kryptographie I Symmetrische Kryptographie Kryptographie I Symmetrische Kryptographie Eike Kiltz 1 Fakultät für Mathematik Ruhr-Universität Bochum Wintersemester 2011/12 1 Basierend auf Folien von Alexander May. Krypto I - Vorlesung 01-10.10.2011

Mehr

Elliptic Curve Cryptography

Elliptic Curve Cryptography Elliptic Curve Cryptography Institut für Informatik Humboldt-Universität zu Berlin 10. November 2013 ECC 1 Aufbau 1 Asymmetrische Verschlüsselung im Allgemeinen 2 Elliptische Kurven über den reellen Zahlen

Mehr

Hardcore-Prädikat. Definition Hardcore-Prädikat. Ziel: Destilliere Komplexität des Invertierens auf ein Bit.

Hardcore-Prädikat. Definition Hardcore-Prädikat. Ziel: Destilliere Komplexität des Invertierens auf ein Bit. Hardcore-Prädikat Ziel: Destilliere Komplexität des Invertierens auf ein Bit. Definition Hardcore-Prädikat Sei Π f eine Einwegfunktion. Sei hc ein deterministischer pt Alg mit Ausgabe eines Bits hc(x)

Mehr

Blinde Signaturen, geheime Abstimmungen und digitale Münzen

Blinde Signaturen, geheime Abstimmungen und digitale Münzen Blinde Signaturen, geheime Abstimmungen und digitale Münzen Claus Diem Im Wintersemester 2017 / 18 Crypto 1982 Geheime Abstimmungen Eine geheime Abstimmung Problem. Eine Gruppe von Personen will per Brief

Mehr

Einführung in die Kryptographie. 20.6.2011, www.privacyfoundation.ch

Einführung in die Kryptographie. 20.6.2011, www.privacyfoundation.ch Einführung in die Kryptographie 20.6.2011, www.privacyfoundation.ch Kryptographie Name kryptós: verborgen, geheim gráphein: schreiben Verschlüsselung Text so umwandeln, dass man ihn nur noch entziffern/lesen

Mehr

$Id: ring.tex,v /05/03 15:13:26 hk Exp $

$Id: ring.tex,v /05/03 15:13:26 hk Exp $ $Id: ring.tex,v 1.13 2012/05/03 15:13:26 hk Exp $ 3 Ringe 3.1 Der Ring Z m In der letzten Sitzung hatten wir die sogenannten Ringe eingeführt, dies waren Mengen A versehen mit einer Addition + und einer

Mehr

SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites zu beschäftigen

SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites zu beschäftigen SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites zu beschäftigen Immo FaUl Wehrenberg immo@ctdo.de Chaostreff Dortmund 16. Juli 2009 Immo FaUl Wehrenberg immo@ctdo.de (CTDO) SSL/TLS Sicherheit

Mehr

Verschlüsselung. Chiffrat. Eve

Verschlüsselung. Chiffrat. Eve Das RSA Verfahren Verschlüsselung m Chiffrat m k k Eve? Verschlüsselung m Chiffrat m k k Eve? Aber wie verteilt man die Schlüssel? Die Mafia-Methode Sender Empfänger Der Sender verwendet keine Verschlüsselung

Mehr

IT-Sicherheit: Kryptographie. Asymmetrische Kryptographie

IT-Sicherheit: Kryptographie. Asymmetrische Kryptographie IT-Sicherheit: Kryptographie Asymmetrische Kryptographie Fragen zur Übung 5 C oder Java? Ja (gerne auch Python); Tips waren allerdings nur für C Wie ist das mit der nonce? Genau! (Die Erkennung und geeignete

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 23.05.2013 1 / 26 Überblick 1 Einschub: Seitenkanalangriffe Demonstration Simple Power Attacks (SPAs) (Weitere) Beispiele für Seitenkanäle Gegenmaßnahmen gegen

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 18.07.2016 1 / 54 Organisatorisches Wichtig: Klausuranmeldung nur noch bis 21.07 möglich!

Mehr

Einführung in die Kryptographie

Einführung in die Kryptographie Ä Johannes Buchmann Einführung in die Kryptographie Dritte, erweiterte Auflage Inhaltsverzeichnis 1. Einleitung 1 2. Ganze Zahlen 3 2.1 Grundlagen 3 2.2 Teilbarkeit 4 2.3 Darstellung ganzer Zahlen 5 2.4

Mehr

Kryptographie I Symmetrische Kryptographie

Kryptographie I Symmetrische Kryptographie Kryptographie I Symmetrische Kryptographie Alexander May Fakultät für Mathematik Ruhr-Universität Bochum Wintersemester 2009/10 Krypto I - Vorlesung 01-12.10.2009 Verschlüsselung, Kerckhoffs, Angreifer,

Mehr

Björn Kaidel Alexander Koch

Björn Kaidel Alexander Koch Übung zur Vorlesung Sicherheit Übung 1 Björn Kaidel Bjoern.Kaidel@kit.edu Alexander Koch Alexander.Koch@kit.edu 23.04.2015 1 / 31 Sicherheit Literatur zur Vorlesung Jonathan Katz, Yehuda Lindell. Introduction

Mehr

Einführung in die asymmetrische Kryptographie

Einführung in die asymmetrische Kryptographie !"#$$% Einführung in die asymmetrische Kryptographie Dipl.-Inform. Mel Wahl Prof. Dr. Christoph Ruland Universität Siegen Institut für digitale Kommunikationssysteme Grundlagen Verschlüsselung Digitale

Mehr

Aufgabe der Kryptografie

Aufgabe der Kryptografie Aufgabe der Kryptografie Eve möchte die Unterhaltung mithören und/oder ausgetauschte Informationen ändern. Alice & Bob kommunzieren über einen unsicheren Kanal. Alice & Bob nutzen Verschlüsselung und digitale

Mehr

4 Kryptologie. Übersicht

4 Kryptologie. Übersicht 4 Kryptologie Übersicht 4.1 Der erweiterte euklidische Algorithmus................................ 38 4.2 Rechnen mit Restklassen modulo p................................... 39 4.3 Der kleine Satz von

Mehr

Ich bedanke mich bei Florian Böhl, Benny Fuhry, Gunnar Hartung, Jan Holz, Björn Kaidel, Eike Kiltz, Evgheni Kirzner, Jessica Koch, Julia Rohlfing,

Ich bedanke mich bei Florian Böhl, Benny Fuhry, Gunnar Hartung, Jan Holz, Björn Kaidel, Eike Kiltz, Evgheni Kirzner, Jessica Koch, Julia Rohlfing, Digitale Signaturen Tibor Jager tibor.jager@rub.de Horst Görtz Institut für IT-Sicherheit Lehrstuhl für Netz- und Datensicherheit Ruhr-Universität Bochum Letzte Aktualisierung: 6. Oktober 2015 Ich bedanke

Mehr

Digitale Signaturen. Sven Tabbert

Digitale Signaturen. Sven Tabbert Digitale Signaturen Sven Tabbert Inhalt: Digitale Signaturen 1. Einleitung 2. Erzeugung Digitaler Signaturen 3. Signaturen und Einweg Hashfunktionen 4. Digital Signature Algorithmus 5. Zusammenfassung

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 20.04.2014 1 / 28 Überblick 1 Blockchiffren Erinnerung Angriffe auf Blockchiffren 2 Formalisierung

Mehr

El Gamal Verschlüsselung und seine Anwendungen

El Gamal Verschlüsselung und seine Anwendungen El Gamal Verschlüsselung und seine Anwendungen Andrés Guevara July 11, 2005 1 Kurze Einführung in die Kryptographie Situation: Absender will Empfänger eine Nachricht schicken. Einige Ziele der Kryptographie

Mehr

Digitale Signaturen. Kapitel 10 p. 178

Digitale Signaturen. Kapitel 10 p. 178 Digitale Signaturen Realisierung der digitalen Signaturen ist eng verwandt mit der Public-Key-Verschlüsselung. Idee: Alice will Dokument m signieren. Sie berechnet mit dem privaten Schlüssel d die digitale

Mehr

Stromchiffre. Algorithmus Stromchiffre

Stromchiffre. Algorithmus Stromchiffre Stromchiffre Algorithmus Stromchiffre Sei G ein Pseudozufallsgenerator mit Expansionsfaktor l(n). Wir definieren Π s = (Gen, Enc, Dec) mit Sicherheitsparameter n für Nachrichten der Länge l(n). 1 Gen:

Mehr

Übung zur Vorlesung. Sicherheit Übungsblatt 6. Alexander Koch

Übung zur Vorlesung. Sicherheit Übungsblatt 6. Alexander Koch Übung zur Vorlesung Sicherheit 09.07.2015 Übungsblatt 6 Alexander Koch alexander.koch@kit.edu 1 / 21 Kummerkasten Könnten Sie bitte eine kleine Wiederholung aller klausurrelevanten Themen in [der] letzten

Mehr

10.6 Authentizität. Geheimhaltung: nur der Empfänger kann die Nachricht lesen

10.6 Authentizität. Geheimhaltung: nur der Empfänger kann die Nachricht lesen 10.6 Authentizität Zur Erinnerung: Geheimhaltung: nur der Empfänger kann die Nachricht lesen Integrität: Nachricht erreicht den Empfänger so, wie sie abgeschickt wurde Authentizität: es ist sichergestellt,

Mehr

ElGamal Verschlüsselungsverfahren (1984)

ElGamal Verschlüsselungsverfahren (1984) ElGamal Verschlüsselungsverfahren (1984) Definition ElGamal Verschlüsselungsverfahren Sei n ein Sicherheitsparameter. 1 Gen : (q, g) G(1 n ), wobei g eine Gruppe G der Ordnung q generiert. Wähle x R Z

Mehr

Terminologie. Kryptographie. Zielsetzungen in der Kryptographie. Geschichte der Kryptographie

Terminologie. Kryptographie. Zielsetzungen in der Kryptographie. Geschichte der Kryptographie Kryptographie Terminologie Kryptographie: Entwurf und Design von Kryptosystemen, also zum Beispiel Verfahren für die Verschlüsselung und digitale Signaturen. Vorlesung im WS 2008/9 http://www.math.tu-berlin.de/

Mehr

Mathematische Grundlagen der Kryptografie (1321) SoSe 06

Mathematische Grundlagen der Kryptografie (1321) SoSe 06 Mathematische Grundlagen der Kryptografie (1321) SoSe 06 Klausur am 19.08.2006: Lösungsvorschläge zu den Aufgaben zu Aufgabe I.1 (a) Das numerische Äquivalent zu KLAUSUR ist die Folge [10, 11, 0, 20, 18,

Mehr

Lösung zur Klausur zu Krypographie Sommersemester 2005

Lösung zur Klausur zu Krypographie Sommersemester 2005 Lösung zur Klausur zu Krypographie Sommersemester 2005 1. Bestimmen Sie die zwei letzten Ziffern der Dezimaldarstellung von 12 34 Es gilt: 12 34 = 12 32+2 = 12 32 12 2 = 12 (25) 12 2 = ((((12 2 ) 2 ) 2

Mehr