Das Generalized Birthday Problem
|
|
- Lars Beckenbauer
- vor 6 Jahren
- Abrufe
Transkript
1 Das Generalized Birthday Problem Problem Birthday Gegeben: L 1, L 2 Listen mit Elementen aus {0, 1} n Gesucht: x 1 L 1 und x 2 L 2 mit x 1 x 2 = 0. Anwendungen: Meet-in-the-Middle Angriffe (z.b. für RSA, ElGamal) Kollisionen für Hashfunktionen h : {0, 1} {0, 1} n Problem Generalized Birthday Gegeben: L 1,..., L k Listen mit Elementen aus {0, 1} n, unabhängig und gleichverteilt gezogen Gesucht: x 1 L 1,..., x k L k mit x 1... x k = 0 Listen können auf beliebige Länge erweitert werden. Wir erwarten die Existenz einer Lösung sobald L 1... L k > 2 n. Kryptanalyse II - V Generalized Birthday, 4-Listen Algorithmus, k-listen Algorithmus 33 / 56
2 Zusammenfügen zweier Listen Definition Join-Operator Wir bezeichnen mit low l (x) die l niederwertigsten Bits von x. Wir definieren für zwei Listen L 1, L 2 den Join-Operator L 1 l L 2 = {(x 1, x 2, x 1 x 2 ) L 1 L 2 {0, 1} n low l (x 1 ) = low l (x 2 )}. Eigenschaften: Es gilt low l (x 1 x 2 ) = 0 gdw low l (x 1 ) = low l (x 2 ). Bei Eingabe L 1, L 2 kann L 1 L 2 leicht berechnet werden. Falls x 1 x 2 = x 3 x 4, dann gilt x 1 x 2 x 3 x 4 = 0. Falls low l (x 1 x 2 ) = 0 und low l (x 3 x 3 ) = 0, dann gilt low l (x 1 x 2 x 3 x 4 ) = 0 und Ws[x 1 x 2 x 3 x 4 = 0] = 1 2 n l. Kryptanalyse II - V Generalized Birthday, 4-Listen Algorithmus, k-listen Algorithmus 34 / 56
3 Algorithmus für das 4-Listen Problem Algorithmus 4-Listen Problem EINGABE: L 1, L 2, L 3, L 4 der Länge L i = 2 n 3 mit Elementen aus {0, 1} n 1 Setze l := n 3. 2 Berechne L 12 = L 1 l L 2 und L 34 = L 3 l L 4. 3 Berechne L 1234 = L 12 n L 34. AUSGABE: Elemente von L 1234 Kryptanalyse II - V Generalized Birthday, 4-Listen Algorithmus, k-listen Algorithmus 35 / 56
4 Korrektheit des 4-Listen Problem Algorithmus Korrektheit: Elemente von L 12, L 34 erfüllen low n (x 1 x 3 2 ) = low n (x 3 x 3 4 ) = 0. Wir erwarten Listenlänge E[ L 12 ] = (x 1,x 2 ) L 1 L 2 Ws[low n (x 1 x 3 2 ) = 0] = L 1 L 2 = 2 n 2 n 3. 3 Analog gilt E[ L 34 ] = 2 n 3. Elemente von L 1234 erfüllen x 1 x 2 x 3 x 4 = 0. Die erwartete Listenlänge E[ L 1234 ] von L 1234 ist (x 1,...,x 4 ) L 12 L 34 Ws[x 1... x 4 = 0 low n 3 (x 1 x 2 ) = low n 3 (x 3 x 4 )] = E( L 12 ) E( L 34 ) 2 2n 3 = 1. D.h. wir erwarten, dass L 1234 mindestens eine Lösung enthält. Kryptanalyse II - V Generalized Birthday, 4-Listen Algorithmus, k-listen Algorithmus 36 / 56
5 Laufzeitanalyse des 4-Listen Problem Algorithmus Laufzeit und Speicherplatz: Die Listen L 1,..., L 4, L 12, L 34 benötigen jeweils Platz Õ(2 n 3 ). Die Konstruktion von L 12, L 34 geht in Laufzeit Õ(2 n 3 ). Konstruktion von L 1234 benötigt ebenfalls Laufzeit Õ(2 n 3 ). Gesamt: Zeit und Platz Õ(2 n 3 ) Übungen: Modifizieren Sie den Algorithmus, so dass low l (x 1 x 2 ) = low l (x 3 x 4 ) = c für ein c {0, 1} l. wir x 1 x 2 x 3 x 4 = c für ein c {0, 1} n lösen können. wir jede Instanz mit k 4 in Zeit und Platz Õ(2 n 3 ) lösen können. Kryptanalyse II - V Generalized Birthday, 4-Listen Algorithmus, k-listen Algorithmus 37 / 56
6 4-Listen Problem in Z 2 n Ziel: Verwende Gruppe (Z 2 n, +) statt ({0, 1} n, ) = (F 2 n, +). Sei L = { x Z 2 n x L}. Algorithmus 4-Listen Problem EINGABE: L 1, L 2, L 3, L 4 mit Elementen aus {0, 1} n der Länge L i = 2 n 3 1 Setze l := n 3. 2 Berechne L 12 = L 1 l L 2 und L 34 = L 3 l L 4. 3 Berechne L 1234 = L 12 n L 34. AUSGABE: Elemente von L 1234 Korrektheit: Wir erhalten (x 1, x 2, x 1 + x 2 ) L 12 mit x 1 + x 2 = 0 mod 2 l. Man beachte: Für x 1 + x 2 = 0 mod 2 l und x 3 + x 4 = 0 mod 2 l gilt x 1 + x 2 + x 3 + x 4 = 0 mod 2 l. Kryptanalyse II - V Generalized Birthday, 4-Listen Algorithmus, k-listen Algorithmus 38 / 56
7 Algorithmus k-listen Problem, k = 2 m Algorithmus k-listen Problem EINGABE: L 1,..., L 2 m mit Elementen aus {0, 1} n, Länge L i = 2 n m+1 1 Setze l := n m+1. 2 For i := 1 to m 1 1 FOR j := 1 to 2 m step 2 i /* Join aller benachbarten Listen auf Level i des Baumes */ 2 Berechne L j...j+2 i 1 = L j...j+2 i 1 1 l L j+2 i 1...j+2 i 1. 3 Berechne L m = L m 1 n L 2 m m. AUSGABE: Elemente von L m Beispiel für k = 2 3 : Join für i = 1: L 12 = L 1 l L 2, L 34 = L 3 l L 4,..., L 78 = L 7 l L 8. Join für i = 2: L 1234 = L 12 l L 34, L 5678 = L 56 l L 78. Join in Schritt 3: L = L n L Kryptanalyse II - V Generalized Birthday, 4-Listen Algorithmus, k-listen Algorithmus 39 / 56
8 Analyse des k-listen Algorithmus Korrektheit: Alle Startlisten besitzen Länge 2 l. D.h. durch das Join auf unterster Ebene entstehen Listen mit erwarteter Länge 2l 2 l 2 l = 2 l. Damit entstehen in Schritt 2 stets Listen mit erwarteter Länge 2 l. In Schritt 3 entsteht eine Liste L 1...k mit erwarteter Länge (x 1,...,x k ) Ws[x 1... x k = 0 low (m 1)l (x 1... x k2 ) = low (m 1)l (x k2 +1 x k )] = 2 2l = 1. 2n (m 1)l Kryptanalyse II - V Generalized Birthday, 4-Listen Algorithmus, k-listen Algorithmus 40 / 56
9 Analyse des k-listen Algorithmus Laufzeit und Platz: Die Listen L 1,..., L k besitzen benötigen jeweils Platz Õ(2 l ). In Schritt 2 berechnen wir k 2 Listen mit erwarteter Länge Õ(2 l ). Damit erhalten wir Speicherplatzbedarf Õ(k2 l ) = Õ(k2 Die Laufzeit für alle k 1 Join-Operationen beträgt Õ(2 l ). Damit ist die Gesamtlaufzeit ebenfalls Õ(k2 l ) = Õ(k2 n ). n ) Für k = 2 n erhalten wir Zeit und Speicherplatz Komplexität Õ(2 n 2 n n+1 ) = Õ(2 2 n ) Dies ist eine subexponentielle Funktion in n. Übung: Konstruieren Sie einen Algorithmus für k = 2 m + j, 0 < j < 2 m mit Komplexität Õ(k2 n ). Offenes Problem: Geht es für k = 2 m + j besser? Für k = 3 besser als Õ(2 n 2 )? Kryptanalyse II - V Generalized Birthday, 4-Listen Algorithmus, k-listen Algorithmus 41 / 56
10 Urbild Angriff auf Inkrementelle Hashfunktionen AdHash Konstruktion: (Bellare, Micciancio 1997) Hashe Nachricht x = (x 1,..., x k ) als H(x) = k i=1 h(i, x i) mod M. Inkrementell: Block x i kann leicht durch x i ersetzt werden. NASD Instantiierung: M = Algorithmus: Urbild Angriff auf AdHash EINGABE: Modul M = 2 256, Hashwert c 1 Generiere Listen L 1,..., L k mit L i = 2 n. 2 Liste L i enthält y (i) j = h(i, x j ) für zufällig gewählte x j. 3 k-listen Algorithmus liefert y (1) j 1,..., y (k) j k mit y (1) j y (k) j k = c mod und y (i) j i = h(i, x ji ). AUSGABE: x = (x j1,..., x jk ) mit H(x) = c mod M Kryptanalyse II - V Generalized Birthday Angriffe auf Hashfunktionen, Ringsignaturen, Stromchiffren 42 / 56
11 Urbild Angriff auf Inkrementelle Hashfunktionen Komplexität: Naive Urbildberechnung benötigt erwartet H-Auswertungen. Für unseren Angriff ist der k-listen Algorithmus laufzeitbestimmend. n Auswerten von k 2 für k = 128 liefert = Allgemein: Erhalten einen Angriff mit Komplexität Õ(2 2 log M ). D.h. für 80-Bit Sicherheit muss M > gewählt werden. Kryptanalyse II - V Generalized Birthday Angriffe auf Hashfunktionen, Ringsignaturen, Stromchiffren 43 / 56
12 Fälschen von einfachen Ringsignaturen Idee: Ringsignatur Sei U = {u 1,..., u k } eine Menge von Usern. Ein User u i möchte eine Unterschrift im Namen von U leisten. Eine Ringsignatur schützt die Anonymität von u i in U. Ringsignatur von Back (1997) Sei H eine Hashfunktion. 1 Gen: Generiere RSA Schlüssel (N i, e i, d i ) für alle User u i. 2 Sign: User u i wählt m j R Z Nj, j i, Nachricht m, und berechnet ( m i = H(m) di j i (me j j mod N j ))) mod N i. Ausgabe von (m, σ) mit der Signatur σ = (m 1,..., m k ). 3 Vrfy: Prüfe für (m, σ) die Identität k i=1 (me i i mod N i )? = H(m). Kryptanalyse II - V Generalized Birthday Angriffe auf Hashfunktionen, Ringsignaturen, Stromchiffren 44 / 56
13 Fälschen von Ringsignaturen Algorithmus Universelles Fälschen von Ringsignaturen EINGABE: Nachricht m, (N i, e i ) für i = 1,..., k 1 Berechne Listen L i für i = 1,..., k mit Elementen x (i) j = m e i j mod N i für m j R Z Ni. 2 k-listen Algorithmus liefert x (1) j 1,..., x (n) j n mit x (1) j 1... x (n) j n = H(m). AUSGABE: (m, σ) mit σ = (m j1,..., m jn ). Komplexität: Sei N = max i {N i }. Wir erhalten Komplexität O(k 2 log N ). D.h. für k = θ(log N) erhalten wir einen polynomiellen Angriff. Kryptanalyse II - V Generalized Birthday Angriffe auf Hashfunktionen, Ringsignaturen, Stromchiffren 45 / 56
14 Polynomielle Vielfache mit kleinem Gewicht Definition Gewicht eines Polynoms Sei p(x) = n i=0 p ix i F 2 [x]. Das Gewicht w(p) von p(x) ist definiert als das Hamminggewicht des Koeffizientenvektors von p(x), d.h. w(p) = w((p 0,..., p n )). Betrachten Korrelationsattacken auf Stromchiffren. Diese benötigen Polynomvielfache sehr kleinen Gewichts. Problem Polynomvielfache mit kleinem Gewicht Gegeben: p(x) F 2 [x] irreduzibel vom Grad n, Gradschranke d > n, Gewicht k Gesucht: m(x) F 2 [x] mit p(x) m(x), Grad d und w(m) k. Kryptanalyse II - V Generalized Birthday Angriffe auf Hashfunktionen, Ringsignaturen, Stromchiffren 46 / 56
15 Konstruktion von Polynomvielfachen Wir identifizieren Polynome in F 2 [x] mit ihren Koeffizientenvektoren. Algorithmus Polynomvielfache EINGABE: p(x) F 2 [x], Gewicht k 1 Setze die Gradschranke d := 2 n 2 Generiere Listen L i, i = 1,..., k mit Elementen der Form y (i) j = x a j mod p(x) für zufällig gewählte a j d. 3 k-listen Algorithmus liefert y (1) j 1,..., y (k) j k mit y (1) j 1 AUSGABE: m(x) = x a j x a j k... y (k) j k = 0. Kryptanalyse II - V Generalized Birthday Angriffe auf Hashfunktionen, Ringsignaturen, Stromchiffren 47 / 56
16 Konstruktion von Polynomvielfachen Korrektheit: Wir definieren F 2 n = F 2 [x]/p(x). Addition zweier Polynome in F 2 n entspricht dem XOR ihrer Koeffizientenvektoren. Damit gilt m(x) = x a j x a j k Wegen a j d besitzt m(x) Grad höchstens d. = 0 in F 2 n, d.h. p(x) teilt m(x). Ferner besteht m(x) aus k Monomen, d.h. besitzt Gewicht k. Für die Listengröße im k-listen Alg. benötigen wir d = 2 n. D.h. unser Algorithmus funktioniert nur für hinreichend großes d. Komplexität: Der k-listen Algorithmus liefert Komplexität Õ(k 2 n ). Bsp.: grad(p) = 120 und wir suchen Vielfaches mit Gewicht k = 4. Wir wählen d = 2 n = = 2 40 erhalten k 2 n = Kryptanalyse II - V Generalized Birthday Angriffe auf Hashfunktionen, Ringsignaturen, Stromchiffren 48 / 56
17 k-listen Problem über F 2 n für k n Problem Generalized Birthday für k n Gegeben: L 1,..., L k mit Elementen aus {0, 1} n, L i 2, k n. Gesucht: x 1 L 1,..., x k L k mit x 1... x k = 0 Idee: (Algorithmus von Bellare, Micciancio 1997) ObdA L i = {x i,0, x i,1 } für alle i, sonst entferne Elemente aus L i. { 0 falls x i,0 in L i ausgewählt wird. Definiere b i = 1 falls x i,1 in L i ausgewählt wird. D.h. wird müssen b = (b 1,..., b n ) {0, 1} n finden mit b 1 x 1,1 + (1 b 1 )x 1, b n x n,1 + (1 b n )x n,0 = 0 b 1 (x 1,1 x 1,0 ) b n (x n,1 x n,0 ) = (x x n ) Dies ist ein lineares Gleichungssystem in den b i. Falls die Matrix definiert durch die Vektoren x i,1 x i,0 vollen Rang besitzt, so können wir das System in Zeit O(n 3 + kn) lösen. Kryptanalyse II - V Generalized Birthday Angriffe auf Hashfunktionen, Ringsignaturen, Stromchiffren 49 / 56
Urbild Angriff auf Inkrementelle Hashfunktionen
Urbild Angriff auf Inkrementelle Hashfunktionen AdHash Konstruktion: (Bellare, Micciancio 1997) Hashe Nachricht x = (x 1,..., x k ) als H(x) = k i=1 h(i, x i) mod M. Inkrementell: Block x i kann leicht
MehrHomomorphe Verschlüsselung
Homomorphe Verschlüsselung Definition Homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : G G für Gruppen G, G. Π heißt homomorph, falls Enc(m 1 ) G Enc(m 2 ) eine gültige Verschlüsselung
MehrRSA Full Domain Hash (RSA-FDH) Signaturen
RSA Full Domain Hash (RSA-FDH) Signaturen Signatur RSA-FDH Sei H : {0, 1} Z N ein Random-Oracle. 1 Gen: (N, e, d) GenRSA(1 n ) mit pk = (N, e) und sk = (N, d). 2 Sign: Für eine Nachricht m {0, 1} berechne
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 12.05.2014 1 / 26 Überblick 1 Hashfunktionen Erinnerung Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel:
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 15.05.2017 1 / 25 Überblick 1 Hashfunktionen Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel: RSA
MehrVoll homomorpe Verschlüsselung
Voll homomorpe Verschlüsselung Definition Voll homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : R R für Ringe R, R. Π heißt voll homomorph, falls 1 Enc(m 1 ) + Enc(m 2 ) eine gültige
MehrRSA Full Domain Hash (RSA-FDH) Signaturen
RSA Full Domain Hash (RSA-FDH) Signaturen Signatur RSA-FDH Sei H : {0, 1} Z N ein Random-Oracle. 1 Gen: (N, e, d) GenRSA(1 n ) mit pk = (N, e) und sk = (N, d). 2 Sign: Für eine Nachricht m {0, 1} berechne
Mehr= 1. Falls ( a n. ) r i. i=1 ( b p i
Das Jacobi-Symbol Definition Jacobi-Symbol Sei n N ungerade mit Primfaktorzerlegung n = s definieren das Jacobi-Symbol ( a ( ) ri n) := s a i=1 p i. i=1 pr i i. Wir Anmerkungen: Falls a quadratischer Rest
MehrDas Rucksackproblem. Definition Sprache Rucksack. Satz
Das Rucksackproblem Definition Sprache Rucksack Gegeben sind n Gegenstände mit Gewichten W = {w 1,...,w n } N und Profiten P = {p 1,...,p n } N. Seien ferner b, k N. RUCKSACK:= {(W, P, b, k) I [n] : i
Mehr13. Woche: NP-Vollständigkeit Satz von Cook-Levin Anwendungen in der Kryptographie
13 Woche: NP-Vollständigkeit Satz von Cook-Levin Anwendungen in der Kryptographie 13 Woche: NP-Vollständigkeit, Satz von Cook-Levin, Anwendungen 276/ 333 N P-Vollständigkeit Ḋefinition NP-vollständig Sei
MehrEinwegfunktionen. Problemseminar. Komplexitätstheorie und Kryptographie. Martin Huschenbett. 30. Oktober 2008
Problemseminar Komplexitätstheorie und Kryptographie Martin Huschenbett Student am Institut für Informatik an der Universität Leipzig 30. Oktober 2008 1 / 33 Gliederung 1 Randomisierte Algorithmen und
MehrHomomorphe Verschlüsselung
Homomorphe Verschlüsselung Definition Homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : G G für Gruppen G, G. Π heißt homomorph, falls Enc(m 1 ) G Enc(m 2 ) eine gültige Verschlüsselung
MehrLösungsblatt zur Vorlesung. Kryptanalyse WS 2009/2010. Blatt 6 / 23. Dezember 2009 / Abgabe bis spätestens 20. Januar 2010, 10 Uhr (vor der Übung)
Ruhr-Universität Bochum Lehrstuhl für Kryptologie und IT-Sicherheit Prof. Dr. Alexander May Mathias Herrmann, Alexander Meurer Lösungsblatt zur Vorlesung Kryptanalyse WS 2009/2010 Blatt 6 / 23. Dezember
Mehr12. Woche: Verifizierer, nicht-deterministische Turingmaschine, Klasse NP
12 Woche: Verifizierer, nicht-deterministische Turingmaschine, Klasse NP 12 Woche: Verifizierer, nicht-deterministische Turingmaschine, NP 254/ 333 Polynomielle Verifizierer und NP Ḋefinition Polynomieller
MehrRabin Verschlüsselung 1979
Rabin Verschlüsselung 1979 Idee: Rabin Verschlüsselung Beobachtung: Berechnen von Wurzeln in Z p ist effizient möglich. Ziehen von Quadratwurzeln in Z N ist äquivalent zum Faktorisieren. Vorteil: CPA-Sicherheit
MehrSicherer MAC für Nachrichten beliebiger Länge
Sicherer MAC für Nachrichten beliebiger Länge Korollar Sicherer MAC für Nachrichten beliebiger Länge Sei F eine Pseudozufallsfunktion. Dann ist Π MAC2 für Π = Π MAC sicher. Nachteile: Für m ({0, 1} n 4
MehrDigitale Signaturen. RSA-FDH & das Random Oracle Model Björn Kaidel (mit Folien von Gunnar Hartung)
Digitale Signaturen RSA-FDH & das Random Oracle Model Björn Kaidel (mit Folien von Gunnar Hartung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-12-01 B. Kaidel Digitale Signaturen:
MehrErinnerung Blockchiffre
Erinnerung Blockchiffre Definition schlüsselabhängige Permutation Seien F, F 1 pt Algorithmen. F heißt schlüsselabhängige Permutation auf l Bits falls 1 F berechnet eine Funktion {0, 1} n {0, 1} l {0,
MehrErweiterter Euklidischer Algorithmus
Erweiterter Euklidischer Algorithmus Algorithmus ERWEITERTER EUKLIDISCHER ALG. (EEA) EINGABE: a, b N 1 If (b = 0) then return (a, 1, 0); 2 (d, x, y) EEA(b, a mod b); 3 (d, x, y) (d, y, x a b y); AUSGABE:
MehrLösungen zur Vorlesung Berechenbarkeit und Komplexität
Lehrstuhl für Informatik 1 WS 009/10 Prof. Dr. Berthold Vöcking 0.0.010 Alexander Skopalik Thomas Kesselheim Lösungen zur Vorlesung Berechenbarkeit und Komplexität. Zulassungsklausur Aufgabe 1: (a) Worin
MehrPrinzipien der modernen Kryptographie Sicherheit
Prinzipien der modernen Kryptographie Sicherheit Prinzip 1 Sicherheitsziel Die Sicherheitsziele müssen präzise definiert werden. Beispiele für ungenügende Definitionen von Sicherheit Kein Angreifer kann
MehrHashing. Überblick Aufgabe Realisierung
Überblick Aufgabe Realisierung Aufgabe Realisierung Anforderungen Wahl einer Hashfunktion mit Verkettung der Überläufer Offene Universelles 2/33 Überblick Aufgabe Realisierung Aufgabe Dynamische Verwaltung
MehrDie (Un-)Sicherheit von DES
Die (Un-)Sicherheit von DES Sicherheit von DES: Bester praktischer Angriff ist noch immer die Brute-Force Suche. Die folgende Tabelle gibt eine Übersicht über DES Kryptanalysen. Jahr Projekt Zeit 1997
MehrSignale und Codes Vorlesung 11
Signale und Codes Vorlesung 11 Nico Döttling January 31, 2014 1 / 22 Ein List-Decoder für WH k Theorem (Goldreich-Levin) Für jedes ɛ > 0 existiert ein effizienter List-Decoder für WH k welcher 1 2 ɛ Fehler
MehrPolynomielle Verifizierer und NP
Polynomielle Verifizierer und NP Definition Polynomieller Verifizierer Sei L Σ eine Sprache. Eine DTM V heißt Verifizierer für L, falls V für alle Eingaben w Σ hält und folgendes gilt: w L c Σ : V akzeptiert
MehrLaufzeit einer DTM, Klasse DTIME
Laufzeit einer DTM, Klasse DTIME Definition Laufzeit einer DTM Sei M eine DTM mit Eingabealphabet Σ, die bei jeder Eingabe hält. Sei T M (w) die Anzahl der Rechenschritte d.h. Bewegungen des Lesekopfes
Mehr8. Woche Quadratische Reste und Anwendungen. 8. Woche: Quadratische Reste und Anwendungen 163/ 238
8 Woche Quadratische Reste und Anwendungen 8 Woche: Quadratische Reste und Anwendungen 163/ 238 Quadratische Reste Ḋefinition Quadratischer Rest Sei n N Ein Element a Z n heißt quadratischer Rest in Z
MehrPrinzipien der modernen Kryptographie Sicherheit
Prinzipien der modernen Kryptographie Sicherheit Prinzip 1 Sicherheitsmodell Das Sicherheitsmodell (Berechnungsmodell, Angriffstypen, Sicherheitsziele) muss präzise definiert werden. Berechnungsmodell:
MehrInstitut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Klausur Hinweise
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Klausur 21.07.2015 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen
MehrInstitut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Klausur Hinweise
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Klausur 22.07.2014 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen
MehrÜbung zur Vorlesung. Sicherheit Übungsblatt 5 Björn Kaidel
Übung zur Vorlesung Sicherheit 30.06.2016 Übungsblatt 5 Björn Kaidel bjoern.kaidel@kit.edu https://b.socrative.com/login/student/ Room: SICHERHEIT Bitte gleich einloggen! 1 / 55 Evaluation (siehe Evaluations-PDF)
MehrDie (Un-)Sicherheit von DES
Die (Un-)Sicherheit von DES Sicherheit von DES: Bester praktischer Angriff ist noch immer die Brute-Force Suche. Die folgende Tabelle gibt eine Übersicht über DES Kryptanalysen. Jahr Projekt Zeit 1997
MehrÜbung zur Vorlesung Sicherheit Übungsblatt 3. Björn Kaidel 1 / 52
Übung zur Vorlesung Sicherheit 21.05.2014 Übungsblatt 3 Björn Kaidel bjoern.kaidel@kit.edu 1 / 52 Kummerkasten Bitte helleren Laserpointer verwenden. Sind die Skriptlinks vertauscht? Nein! Wegen allgemeiner
MehrKryptographie - eine mathematische Einführung
Kryptographie - eine mathematische Einführung Rosa Freund 28. Dezember 2004 Überblick Grundlegende Fragestellungen Symmetrische Verschlüsselung: Blockchiffren, Hashfunktionen
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 08.05.2017 1 / 32 Überblick 1 Blockchiffren Erinnerung Varianten von DES Beispiel: AES Angriffe auf Blockchiffren 2 Formalisierung von Sicherheit (symmetrischer
MehrDigitale Unterschriften. Angriffe und Sicherheitsmodelle. Bemerkungen. Angriffe und Sicherheitsmodelle
Digitale Unterschriften Auch digitale Signaturen genannt. Nachrichten aus Nachrichtenraum: M M. Signaturen aus Signaturenraum: σ S. Schlüssel sind aus Schlüsselräumen: d K 1, e K 2. SignierungsverfahrenS
MehrIn beiden Fällen auf Datenauthentizität und -integrität extra achten.
Stromchiffren Verschlüsseln eines Stroms von Daten m i (Bits/Bytes) mithilfe eines Schlüsselstroms k i in die Chiffretexte c i. Idee: Im One-Time Pad den zufälligen Schlüssel durch eine pseudo-zufällige
Mehr6. Woche: Lineare Codes, Syndrom, Gilbert-Varshamov Schranke. 6. Woche: Lineare Codes, Syndrom, Gilbert-Varshamov Schranke 107/ 238
6 Woche: Lineare Codes, Syndrom, Gilbert-Varshamov Schranke 6 Woche: Lineare Codes, Syndrom, Gilbert-Varshamov Schranke 107/ 238 Erinnerung: Der Vektorraum F n 2 Schreiben {0, 1} n als F n 2 Definition
Mehr13. Hashing. AVL-Bäume: Frage: Suche, Minimum, Maximum, Nachfolger in O(log n) Einfügen, Löschen in O(log n)
AVL-Bäume: Ausgabe aller Elemente in O(n) Suche, Minimum, Maximum, Nachfolger in O(log n) Einfügen, Löschen in O(log n) Frage: Kann man Einfügen, Löschen und Suchen in O(1) Zeit? 1 Hashing einfache Methode
MehrDie inverse Diskrete Fourier Transformation
Die inverse Diskrete Fourier Transformation Konvertierung von der Point-value Form in Koeffizientenform. Dazu stellen wir die DFT als Matrix-Vektor Produkt dar 1 1 1... 1 1 ω n ωn 2... ωn n 1 a 0 y 0 1
Mehr4.4.1 Statisches perfektes Hashing. des Bildbereichs {0, 1,..., n 1} der Hashfunktionen und S U, S = m n, eine Menge von Schlüsseln.
4.4 Perfektes Hashing Das Ziel des perfekten Hashings ist es, für eine Schlüsselmenge eine Hashfunktion zu finden, so dass keine Kollisionen auftreten. Die Größe der Hashtabelle soll dabei natürlich möglichst
MehrVorlesung Sicherheit
Vorlesung Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 23.05.2016 1 / 32 Überblick 1 Symmetrische Authentifikation von Nachrichten Ziel Konstruktionen MACs
MehrDigitale Signaturen. Einführung und das Schnorr Signatur Schema. 1 Digitale Signaturen Einführung & das Schnorr Signatur Schema.
Digitale Signaturen Einführung und das Schnorr Signatur Schema 1 Übersicht 1. Prinzip der digitalen Signatur 2. Grundlagen Hash Funktionen Diskreter Logarithmus 3. ElGamal Signatur Schema 4. Schnorr Signatur
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 06.05.2013 1 / 25 Überblick 1 Hashfunktionen Erinnerung Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel:
MehrRelationen und DAGs, starker Zusammenhang
Relationen und DAGs, starker Zusammenhang Anmerkung: Sei D = (V, E). Dann ist A V V eine Relation auf V. Sei andererseits R S S eine Relation auf S. Dann definiert D = (S, R) einen DAG. D.h. DAGs sind
MehrWiederholung: Informationssicherheit Ziele
Wiederholung: Informationssicherheit Ziele Vertraulichkeit : Schutz der Information vor unberechtigtem Zugriff bei Speicherung, Verarbeitung und Übertragung Methode: Verschüsselung symmetrische Verfahren
MehrDefinition Message Authentication Code (MAC) Ein Message Authentication Code (MAC) bzgl. des Nachrichtenraumen M besteht aus den ppt Alg.
Message Authentication Code (MAC) Szenario: Integrität und Authentizität mittels MACs. Alice und Bob besitzen gemeinsamen Schlüssel k. Alice berechnet für m einen MAC-Tag t als Funktion von m und k. Alice
MehrErzeugendensystem und Basis
Erzeugendensystem und Basis Definition Erzeugendensystem und Basis eines Unterraums Sei S F n 2 ein Unterraum. Eine Menge G = {g 1,..., g k } S heißt Erzeugendensystem von S, falls jedes x S als Linearkombination
MehrWS 2009/10. Diskrete Strukturen
WS 2009/10 Diskrete Strukturen Prof. Dr. J. Esparza Lehrstuhl für Grundlagen der Softwarezuverlässigkeit und theoretische Informatik Fakultät für Informatik Technische Universität München http://www7.in.tum.de/um/courses/ds/ws0910
MehrLösung zur Klausur zu Krypographie Sommersemester 2005
Lösung zur Klausur zu Krypographie Sommersemester 2005 1. Bestimmen Sie die zwei letzten Ziffern der Dezimaldarstellung von 12 34 Es gilt: 12 34 = 12 32+2 = 12 32 12 2 = 12 (25) 12 2 = ((((12 2 ) 2 ) 2
MehrVerteilte Kyroptographie
Verteilte Kyroptographie Klassische kryptographische Verfahren Kryptographische Hash-Funktionen Public-Key-Signaturen Verteilte Mechanismen Schwellwert-Signaturen Verteilt generierte Zufallszahlen Verteilte
MehrKryptologie und Kodierungstheorie
Kryptologie und Kodierungstheorie Alexander May Horst Görtz Institut für IT-Sicherheit Ruhr-Universität Bochum Lehrerfortbildung 17.01.2012 Kryptologie Verschlüsselung, Substitution, Permutation 1 / 18
MehrDie Größe A(n, d) und optimale Codes
Die Größe A(n, d) und optimale Codes Definition Optimaler Code Wir definieren A(n, d) = max{m binärer (n, M, d) Code} Ein (n, M, d)-code heißt optimal, falls M = A(n, d). Bestimmung von A(n, d) ist offenes
Mehr12. Hashing. Hashing einfache Methode um Wörtebücher zu implementieren, d.h. Hashing unterstützt die Operationen Search, Insert, Delete.
Hashing einfache Methode um Wörtebücher zu implementieren, d.h. Hashing unterstützt die Operationen Search, Insert, Delete. Worst-case Zeit für Search: Θ(n). In der Praxis jedoch sehr gut. Unter gewissen
MehrKryptographie und Komplexität
Kryptographie und Komplexität Einheit 6.4 Mehrparteien-Berechnung und Verteilte Geheimnisse 1. Secret-Sharing Protokolle 2. Verifizierbare Geheimnisaufteilung 3. Threshold Signaturverfahren Weitere Anwendungen
MehrBemerkungen. Orientierung. Digitale Unterschriften. Angriffe und Sicherheitsmodelle
Orientierung Haben bisher im Public-Key Bereich nur Verschlüsselung betrachtet. Haben dafür geeignete mathematische Strukturen und ihre Eigenschaften diskutiert. RSA, Rabin: Restklassenringe modulo n,
Mehr10. Woche: Elliptische Kurven Skalarmultiplikation und Anwendungen. 10. Woche: Elliptische Kurven - Skalarmultiplikation und Anwendungen 212/ 238
10 Woche: Elliptische Kurven Skalarmultiplikation und Anwendungen 10 Woche: Elliptische Kurven - Skalarmultiplikation und Anwendungen 212/ 238 Skalarmultiplikation Eine wichtige Fundamentaloperation in
MehrHybride Verschlüsselungsverfahren
Hybride Verschlüsselungsverfahren Ziel: Flexibilität von asym. Verfahren und Effizienz von sym. Verfahren. Szenario: Sei Π = (Gen, Enc, Dec) ein PK-Verschlüsselungsverfahren und Π = (Gen, Enc, Dec ) ein
MehrEinführung in die Algebra
Prof. Dr. H. Brenner Osnabrück SS 2009 Einführung in die Algebra Vorlesung 23 Die Gradformel Satz 1. Seien K L und L M endliche Körperweiterungen. Dann ist auch K M eine endliche Körpererweiterung und
MehrMessage Authentication Codes. Konstruktion von MACs. Hash-then-Encrypt. Sicherheitsmodell
Message Authentication Codes Entspricht Hashfunktionen mit geheimen Schlüsseln. h : K M H, MAC = h k (m). h parametrisierte Hashfunktion. m Nachricht. k geheimer Schlüssel. Mit der Nachricht m wird h k
MehrKlausur zur Mathematik I (Modul: Lineare Algebra I) : Lösungshinweise
Technische Universität Hamburg-Harburg Institut für Mathematik Prof. Dr. Wolfgang Mackens Wintersemester 202/20 Klausur zur Mathematik I (Modul: Lineare Algebra I 07.02.20: Lösungshinweise Sie haben 60
Mehr3. Übungsblatt zur Lineare Algebra I für Physiker
Fachbereich Mathematik Prof. Dr. Mirjam Dür Dipl. Math. Stefan Bundfuss. Übungsblatt zur Lineare Algebra I für Physiker WS 5/6 6. Dezember 5 Gruppenübung Aufgabe G (Basis und Erzeugendensystem) Betrachte
Mehr6. Lösungsblatt
TECHNISCHE UNIVERSITÄT DARMSTADT FACHGEBIET THEORETISCHE INFORMATIK PROF. JOHANNES BUCHMANN DR. JULIANE KRÄMER Einführung in die Kryptographie WS 205/ 206 6. Lösungsblatt 9..205 Ankündigung Es besteht
MehrDie Klasse NP und die polynomielle Reduktion
Die Klasse NP und die polynomielle Reduktion Prof. Dr. Berthold Vöcking Lehrstuhl Informatik 1 Algorithmen und Komplexität RWTH Aachen Dezember 2011 Berthold Vöcking, Informatik 1 () Vorlesung Berechenbarkeit
MehrEffizienten MAC-Konstruktion aus der Praxis: NMAC Idee von NMAC:
Effizienten MAC-Konstruktion aus der Praxis: NMAC Idee von NMAC: Hashe m {0, 1} auf einen Hashwert in {0, 1} n. Verwende Π MAC3 für Nachrichten fixer Länge auf dem Hashwert. Wir konstruieren Π MAC3 mittels
MehrAlgebraische und arithmetische Algorithmen
Kapitel 1 Algebraische und arithmetische Algorithmen 1.1 Das algebraische Berechnungsmodell Struktur: Körper (oder Ring) mit den Operationen +,,, (/) Eingabe: endliche Folge von Zahlen Ausgabe: endliche
MehrWann sind Codes eindeutig entschlüsselbar?
Wann sind Codes eindeutig entschlüsselbar? Definition Suffix Sei C ein Code. Ein Folge s {0, 1} heißt Suffix in C falls 1 c i, c j C : c i = c j s oder 2 c C und einen Suffix s in C: s = cs oder 3 c C
Mehr11. Woche: Turingmaschinen und Komplexität Rekursive Aufzählbarkeit, Entscheidbarkeit Laufzeit, Klassen DTIME und P
11 Woche: Turingmaschinen und Komplexität Rekursive Aufzählbarkeit, Entscheidbarkeit Laufzeit, Klassen DTIME und P 11 Woche: Turingmaschinen, Entscheidbarkeit, P 239/ 333 Einführung in die NP-Vollständigkeitstheorie
MehrHashing Hashfunktionen Kollisionen Ausblick. Hashverfahren. Dank an: Beate Bollig, TU Dortmund! 1/42. Hashverfahren
Dank an: Beate Bollig, TU Dortmund! 1/42 Hashing Überblick Aufgabe Realisierung Aufgabe Realisierung Anforderungen Wahl einer Hashfunktion mit Verkettung der Überläufer Offene Universelles Hashing 2/42
Mehr8 Komplexitätstheorie und Kryptologie
8 Komplexitätstheorie und Kryptologie Verschlüsselung, Authentisierung,... müssen schnell berechenbar sein. Formal: polynomiell zeitbeschränkte Funktionen/Algorithmen Angreifer hat beschränkte Ressourcen.
Mehr8 Polynominterpolation
8 Polynominterpolation Interpolations-Aufgabe: Von einer glatten Kurve seien nur lich viele Punktewerte gegeben. Wähle einen lichdimensionalen Funktionenraum. Konstruiere nun eine Kurve in diesem Funktionenraum
MehrVorlesung Sicherheit
Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 20.04.2014 1 / 28 Überblick 1 Blockchiffren Erinnerung Angriffe auf Blockchiffren 2 Formalisierung
Mehr5. Woche Perfekte und Optimale Codes, Schranken. 5. Woche: Perfekte und Optimale Codes, Schranken 88/ 142
5 Woche Perfekte und Optimale Codes, Schranken 5 Woche: Perfekte und Optimale Codes, Schranken 88/ 142 Packradius eines Codes (Wiederholung) Definition Packradius eines Codes Sei C ein (n, M, d)-code Der
Mehrdurch Einfügen von Knoten konstruiert werden kann.
Satz von Kuratowski Definition Unterteilung eines Graphen Sei G = (V, E) und e = {u, v} E. 1 Das Einfügen eines neuen Knoten w in die Kante e führt zum Graphen G = (V {w}, E \ e {{u, w}, {w, v}}). 2 Der
MehrINSTITUT FÜR THEORETISCHE INFORMATIK, PROF. SANDERS
Julian Arz, Timo Bingmann, Sebastian Schlag INSTITUT FÜR THEORETISCHE INFORMATIK, PROF. SANDERS 1 KIT Julian Universität Arz, des Timo LandesBingmann, Baden-Württemberg Sebastian und Schlag nationales
MehrDefinition der Kolmogorov-Komplexität I
Definition der Kolmogorov-Komplexität I Definition: Die Komplexität K A (x) eines Wortes x V + bezüglich des Algorithmus A ist die Länge der kürzesten Eingabe p {0, 1} + mit A(p) = x, d.h. in formalisierter
MehrPseudo-Zufallsgeneratoren basierend auf dem DLP
Seminar Codes und Kryptografie SS 2004 Struktur des Vortrags Struktur des Vortrags Ziel Motivation 1 Einleitung Ziel Motivation 2 Grundlegende Definitionen Zufallsgeneratoren 3 Generator Sicherheit 4 Generator
MehrKLAUSUR zur Numerik I mit Lösungen. Aufgabe 1: (10 Punkte) [ wahr falsch ] 1. Die maximale Ordnung einer s-stufigen Quadraturformel ist s 2.
MATHEMATISCHES INSTITUT PROF. DR. ACHIM SCHÄDLE 9.8.7 KLAUSUR zur Numerik I mit Lösungen Aufgabe : ( Punkte) [ wahr falsch ]. Die maximale Ordnung einer s-stufigen Quadraturformel ist s. [ ]. Der Clenshaw
MehrStromchiffre. Algorithmus Stromchiffre
Stromchiffre Algorithmus Stromchiffre Sei G ein Pseudozufallsgenerator mit Expansionsfaktor l(n). Wir definieren Π s = (Gen, Enc, Dec) mit Sicherheitsparameter n für Nachrichten der Länge l(n). 1 Gen:
MehrKryptographie und Komplexität
Kryptographie und Komplexität Einheit 5.2 ElGamal Systeme 1. Verschlüsselungsverfahren 2. Korrektheit und Komplexität 3. Sicherheitsaspekte Das ElGamal Verschlüsselungsverfahren Public-Key Verfahren von
MehrPrimzahltest für Mersenne-Primzahlen
Primzahltest für Mersenne-Primzahlen Satz Lucas-Lehmer Test Sei n = 2 p 1 N für p P\{2}. Wir definieren die Folge S k durch S 1 = 4 und S k = S 2 k 1 2. Falls n S p 1, dann ist n prim. Beweis: Seien ω
MehrDigitale Unterschriften Grundlagen der digitalen Unterschriften Hash-Then-Sign Unterschriften Public-Key Infrastrukturen (PKI) Digitale Signaturen
Sommersemester 2008 Digitale Unterschriften Unterschrift von Hand : Physikalische Verbindung mit dem unterschriebenen Dokument (beides steht auf dem gleichen Blatt). Fälschen erfordert einiges Geschick
Mehrbekannt: Eliminationsverfahren von Gauß Verfahren führt zu einer Zerlegung der Koeffizientenmatrix: A = LR A = LR
LR-Zerlegung bekannt: Eliminationsverfahren von Gauß Verfahren führt zu einer Zerlegung der Koeffizientenmatrix: A = LR Definition 2.17 Unter einer LR-Zerlegung einer Matrix A R n n verstehen wir eine
MehrMathematik II für Studierende der Informatik. Wirtschaftsinformatik (Analysis und lineare Algebra) im Sommersemester 2016
und Wirtschaftsinformatik (Analysis und lineare Algebra) im Sommersemester 2016 18. April 2016 Übersicht über die Methoden Seien v 1,..., v r Vektoren in K n. 1. Um zu prüfen, ob die Vektoren v 1,...,
MehrAES und Public-Key-Kryptographie
Jens Kubieziel jens@kubieziel.de Friedrich-Schiller-Universität Jena Fakultät für Mathem atik und Informatik 22. Juni 2009 Beschreibung des Algorithmus Angriffe gegen AES Wichtige Algorithmen im 20. Jahrhundert
MehrStromchiffre. Algorithmus Stromchiffre
Stromchiffre Algorithmus Stromchiffre Sei G ein Pseudozufallsgenerator mit Expansionsfaktor l(n). Wir definieren Π s = (Gen, Enc, Dec) mit Sicherheitsparameter n für Nachrichten der Länge l(n). 1 Gen:
Mehr2. Entsprechende Listen P i von Vorgängern von i 3. for i := 1 to n do. (ii) S i = Knoten 2 + 1}
1. Berechne für jeden Knoten i in BFS-Art eine Liste S i von von i aus erreichbaren Knoten, so dass (i) oder (ii) gilt: (i) S i < n 2 + 1 und Si enthält alle von i aus erreichbaren Knoten (ii) S i = n
MehrBerechenbarkeit und Komplexität: Polynomielle Reduktion / NP-Vollständigkeit / Satz von Cook und Levin
Berechenbarkeit und Komplexität: Polynomielle Reduktion / NP-Vollständigkeit / Satz von Cook und Levin Prof. Dr. Berthold Vöcking Lehrstuhl Informatik 1 Algorithmen und Komplexität 11. Januar 2008 Wiederholung
MehrDigitale Signaturen. Sven Tabbert
Digitale Signaturen Sven Tabbert Inhalt: Digitale Signaturen 1. Einleitung 2. Erzeugung Digitaler Signaturen 3. Signaturen und Einweg Hashfunktionen 4. Digital Signature Algorithmus 5. Zusammenfassung
MehrIsomorphismus. Definition Gruppen-Isomorphismus. Seien (G, +) und (G, ) Gruppen. Die Abbildung f : G G heißt Gruppen-Isomorphismus, falls gilt
Isomorphismus Definition Gruppen-Isomorphismus Seien (G, +) und (G, ) Gruppen. Die Abbildung f : G G heißt Gruppen-Isomorphismus, falls gilt 1 f ist bijektiv f (u + v) = f (u) f (v) für alle u, v G, die
Mehr55 Lokale Extrema unter Nebenbedingungen
55 Lokale Extrema unter Nebenbedingungen Sei f : O R mit O R n differenzierbar. Notwendige Bescheinigung für ein lokales Extremum in p 0 ist dann die Bedingung f = 0 (siehe 52.4 und 49.14). Ist nun F :
MehrDas Quadratische Reste Problem
Das Quadratische Reste Problem Definition Pseudoquadrate Sei N = q mit, q rim. Eine Zahl a heißt Pseudoquadrat bezüglich N, falls ( a ) = 1 und a / QR N. N Wir definieren die Srache QUADRAT:= {a Z N (
MehrGruppenbasierte Kryptographie. ElGamal Sicherheit. Drei Probleme. ElGamal Verschlüsselung. Benutzt zyklische Gruppen von (fast) Primzahlordnung:
Gruppenbasierte Kryptographie Benutzt zyklische Gruppen von (fast) Primzahlordnung: G = g und #G = l = cl 0 mit c klein und l 0 prim. b G : x Z : b = g x. Das Element x heißt diskreter Logarithmus von
Mehr2. Woche Eindeutige Entschlüsselbarleit, Sätze von Kraft und McMillan, Huffmancodierung
2 Woche Eindeutige Entschlüsselbarleit, Sätze von Kraft und McMillan, Huffmancodierung 2 Woche: Eindeutige Entschlüsselbarleit, Sätze von Kraft und McMillan, Huffmancodierung 24/ 44 Zwei Beispiele a 0
MehrHeapsort / 1 A[1] A[2] A[3] A[4] A[5] A[6] A[7] A[8]
Heapsort / 1 Heap: Ein Array heißt Heap, falls A [i] A [2i] und A[i] A [2i + 1] (für 2i n bzw. 2i + 1 n) gilt. Beispiel: A[1] A[2] A[3] A[4] A[5] A[6] A[7] A[8] Heapsort / 2 Darstellung eines Heaps als
Mehr1.8 Shift-And-Algorithmus
.8 Shift-And-Algorithmus nutzt durch Bitoperationen mögliche Parallelisierung Theoretischer Hintergrund: Nichtdeterministischer endlicher Automat Laufzeit: Θ(n), falls die Länge des Suchwortes nicht größer
MehrÜbungen zu Einführung in die Lineare Algebra und Geometrie
Übungen zu Einführung in die Lineare Algebra und Geometrie Andreas Cap Sommersemester 2010 Kapitel 1: Einleitung (1) Für a, b Z diskutiere analog zur Vorlesung das Lösungsverhalten der Gleichung ax = b
MehrDas Zweikinderproblem
Das Zweikinderproblem Definition Zweikinderproblem Eine Familie besitzt zwei Kinder. Wie groß ist die Wahrscheinlichkeit Pr[ Beide Kinder sind Mädchen. Eines der Kinder ist ein Mädchen ]? Lösung: Sei A
MehrElliptic Curve Cryptography
Elliptic Curve Cryptography Institut für Informatik Humboldt-Universität zu Berlin 10. November 2013 ECC 1 Aufbau 1 Asymmetrische Verschlüsselung im Allgemeinen 2 Elliptische Kurven über den reellen Zahlen
Mehr