Privacy-Preserving Authentication 2 Kryptografische Bausteine WS 2015/2016
|
|
- Catharina Dunkle
- vor 6 Jahren
- Abrufe
Transkript
1 Privacy-Preserving Authentication 2 Kryptografische Bausteine WS 2015/2016 Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum
2 Übersicht 1 Vorteil und Sicherheit 2 Hash Funktionen 3 Digitale Signaturen 4 Public Key Encryption 5 Commitment-Verfahren Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum Privacy-Preserving Authentication WS 2015/2016 2
3 Organisation der Vorlesung Einleitung Kurze Einführung in wichtige kryptografische Bausteine Hash Funktionen Digitale Signaturen Verschlüsselungsverfahren (Public Key Encryption) Commitmentverfahren Interaktive Beweissysteme (Nicht-interaktive) Zero-Knowledge Beweissysteme Ringsignaturen Gruppensignaturen Direct Anonymous Attestation Anonymous Credential Systems Weitere Anwendungen Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum Privacy-Preserving Authentication WS 2015/2016 3
4 Übersicht 1 Vorteil und Sicherheit 2 Hash Funktionen 3 Digitale Signaturen 4 Public Key Encryption 5 Commitment-Verfahren Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum Privacy-Preserving Authentication WS 2015/2016 4
5 Vorteil und Erfolgswahrscheinlichkeit Im folgenden werden wir Sicherheit oft über den Vorteil Adv x A,y(κ) eines Angreifers A in einem Sicherheitsspiel x gegen Verfahren y definieren. Der Vorteil eines Angreifers wird stets von seiner Erfolgswahrscheinlichkeit SucProb x A,y(κ) abgeleitet, im zugehörigen Sicherheitsspiel zu gewinnen. Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum Privacy-Preserving Authentication WS 2015/2016 5
6 Vorteil und Erfolgswahrscheinlichkeit Üblicherweise definieren wir Systeme als sicher, wenn Adv x A,y(κ) vernachlässigbar ist, d.h.: Adv x A,y(κ) = negl(κ). Wir erhalten stärkere Sicherheitsgarantien (statistische Sicherheit), wenn wir fordern, dass der Vorteil statistisch klein ist, also: Adv x A,y(κ) = O (2 ) poly(κ). Die stärksten Sicherheitsgarantien erhalten wir, wenn wir perfekte Sicherheit fordern, der Vorteil also gleich 0 sein muss:. Adv x A,y(κ) = 0 Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum Privacy-Preserving Authentication WS 2015/2016 6
7 Übersicht 1 Vorteil und Sicherheit 2 Hash Funktionen 3 Digitale Signaturen 4 Public Key Encryption 5 Commitment-Verfahren Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum Privacy-Preserving Authentication WS 2015/2016 7
8 Intuition und Syntax Kryptografische Hashfunktionen werden benutzt um Nachrichten variabler Länge auf Nachrichten mit konstanter, kleiner Länge abzubilden. Eine Hashfunktion H = (H.KGen, H.Eval) besteht aus zwei PPTs. Der probabilistische Schlüsselgenerator hk $ H.KGen(1 κ ) berechnet, gegeben den Sicherheitsparameter, einen Hashschlüssel hk. hk wird veröffentlicht. Der deterministische Hashalgorithmus H.Eval(hk, m) berechnet, gegeben Nachricht m {0, 1} und Hashschlüssel hk, den Hashwert y {0, 1} l. Es gilt l = poly(κ). Wenn der Hashschlüssel aus dem Kontext klar wird, so verwenden wir H(m) oder h(m) kurz für H.Eval(hk, m). Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum Privacy-Preserving Authentication WS 2015/2016 8
9 Sicherheit Sicherheit wird mittels des folgenden Spiels zwischen Challenger C und Angreifer A definiert: C berechnet einen Hashschlüssel hk = H.Eval(1 κ ) und sendet diesen an A. A sendet zwei Nachrichten m, m {0, 1} an C. A gewinnt wenn m, m eine Kollision bilden, d.h. m m und h(m) = h(m ). Wir bezeichnen den Vorteil des Angreifers in obigem Spiel zu gewinnen (= seiner Erfolgswkt.) mit Adv hash A,H (κ). Wir sagen, H ist kollisions-resistent (sicher) wenn kein PPT Angreifer A nicht-vernachlässigbaren Vorteil hat. Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum Privacy-Preserving Authentication WS 2015/2016 9
10 Übersicht 1 Vorteil und Sicherheit 2 Hash Funktionen 3 Digitale Signaturen 4 Public Key Encryption 5 Commitment-Verfahren Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum Privacy-Preserving Authentication WS 2015/
11 Intuition und Syntax Digitale Signaturen werden als digitale Varianten von herkömmlichen Unterschriften verwendet. Eine digitale Signatur Sig = (Sig.KGen, Sig.Sign, Sig.Vf) besteht aus drei PPTs. Der probabilistische Schlüsselgenerator (sk, pk) $ Sig.KGen(1 κ ) berechnet, gegeben den Sicherheitsparameter, ein Schlüsselpaar bestehend aus einem geheimen Schlüssel (Secret Key) sk und einem öffentlichen Schlüssel (Public Key) pk. pk wird veröffentlicht und steht allen Parteien zur Verfügung. Der Signaturalgorithmus Sig.Sign(sk, m) berechnet, gegeben Nachricht m M im Nachrichtenraum M und Secret Key sk, die Signatur σ Σ im Signaturraum Σ. Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum Privacy-Preserving Authentication WS 2015/
12 Intuition und Syntax Der deterministische Verifikationsalgorithmus Sign.Vf gibt, gegeben public key pk, Nachricht m und (potentielle) Signatur σ, 1 (true) aus sofern σ tatsächlich eine Signatur über m unter Public Key pk ist. Andernfalls wird 0 (false) ausgegeben. Wenn das Signaturverfahren und die Signaturschlüssel aus dem Kontext klar werden, so verwenden wir Sign(sk, m) (oder Sign(m)) kurz für Sig.Sign(sk, m) und Vf(pk, m, σ) (oder Vf(m, σ)) für Sig.Vf(pk, m, σ). Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum Privacy-Preserving Authentication WS 2015/
13 Korrektheit Korrektheit sichert, dass das Signaturverfahren für alle laut Spezifikation generierten Werte funktioniert, d.h. für alle m M muss gelten: [ ] Vf(pk, m, Sign(sk, m)) = 1; Pr (sk, pk) $ KGen(1 κ = 1 ) wobei die Wahrscheinlichkeit über die von KGen und Sign verbrauchten zufälligen Münzen berechnet wird. Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum Privacy-Preserving Authentication WS 2015/
14 Sicherheit Existential Unforgeability under Adaptive Chosen Message Attacks Sicherheit wird mittels des folgenden Spiels zwischen Challenger C und Angreifer A definiert: C berechnet (sk, pk) $ Sig.KGen(1 κ ) und sendet pk an A. A erhält adaptiven Zugriff auf ein Signaturorakel für beliebig viele Anfragen q. Auf jede Anfrage m i M erhält A σ i mit i [1 : q] zurück, so dass Vf(pk, m i, σ i ) = 1. A gibt m, σ aus. A gewinnt wenn m / {m 1,..., m q } und Vf(pk, m, σ ). Wir bezeichnen den Vorteil des Angreifers (=Erfolgswahrscheinlichkeit) in obigem Spiel zu gewinnen mit Adv sig A,Sig (κ). Wir sagen, Sig ist sicher (gegen existentielle Fälschungen unter adaptiven Angriffen) wenn kein PPTAngreifer A nicht-vernachlässigbaren Vorteil hat. Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum Privacy-Preserving Authentication WS 2015/
15 Sicherheit Strong Existential Unforgeability under Adaptive Chosen Message Attacks Wir sagen Sig ist sicher (gegen starke existentielle Fälschungen unter adaptiven Angriffen oder strongly secure) wenn kein PPT Angreifer A nicht-vernachlässigbaren Vorteil hat und wir in obigem Spiel die Bedingung m / {m 1,..., m q } durch (m, σ ) / {(m 1, σ 1 )..., (m q, σ q )} ersetzen. Die Modifikation erlaubt A Fälschungen über bereits angefragte Nachrichten auszugeben, sofern die entsprechende Signatur σ neu ist. Falls wir zusätzlich fordern, dass q = 1, so sprechen wir hier und für alle weiteren betrachteten Primitiven von Einmalsicherheit (one-time security). Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum Privacy-Preserving Authentication WS 2015/
16 Übersicht 1 Vorteil und Sicherheit 2 Hash Funktionen 3 Digitale Signaturen 4 Public Key Encryption 5 Commitment-Verfahren Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum Privacy-Preserving Authentication WS 2015/
17 Intuition und Syntax Mit Public Key Encryption (PKE) Systemen können Nachrichten an einen einzelnen Empfänger verschlüsselt werden. Eine PKE-System PKE = (PKE.KGen, PKE.Enc, PKE.Dec) besteht aus drei PPTs. Der probabilistische Schlüsselgenerator (sk, pk) $ Sig.KGen(1 κ ) berechnet, gegeben den Sicherheitsparameter, ein Schlüsselpaar bestehend aus einem geheimen Schlüssel (Secret Key) sk und einem öffentlichen Schlüssel (public key) pk. pk wird veröffentlicht. Der Verschlüsselungsalgorithmus PKE.Enc(pk, m) berechnet, gegeben Nachricht m M und Public Key sk, den Ciphertext c C im Ciphertextraum C. Intern wird dabei zusätzlich ein zufälliger Wert r R aus dem Randomnessraum R gezogen. Nur bei Bedarf machen wir r explizit. Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum Privacy-Preserving Authentication WS 2015/
18 Intuition und Syntax Der deterministische Entschlüsselungsalgorithmus PKE.Dec gibt, gegeben public key sk, und (potentielen) Ciphertext c, Plaintextnachricht m aus, sofern c ein gültiger Ciphertext ist. Andernfalls wird ein Fehlersymbol ausgegeben. Wenn das PKE-Verfahren und die Schlüssel aus dem Kontext klar werden, so verwenden wir Enc(pk, m) (oder Enc(m)) kurz für PKE.Enc(pk, m) und Dec(sk, c) (oder Dec(c)) für PKE.Dec(sk, c). Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum Privacy-Preserving Authentication WS 2015/
19 Korrektheit Korrektheit sichert, dass das PKE-Verfahren für alle laut Spezifikation generierten Werte funktioniert, d.h. für alle m M muss gelten: [ ] Dec(sk, Enc(pk, m)) = 1; Pr (sk, pk) $ KGen(1 κ = 1 ) wobei die Wahrscheinlichkeit über die von KGen und Enc verbrauchten zufälligen Münzen berechnet wird. Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum Privacy-Preserving Authentication WS 2015/
20 Sicherheit Sicherheit wird mittels des folgenden Spiels zwischen Challenger C und Angreifer A definiert: C berechnet (sk, pk) $ PKE.KGen(1 κ ) und sendet pk an A. A erhält adaptiven Zugriff auf ein Entschlüsselungsorakel. Auf jede Anfrage c i M mit i [1 : q 1 ] erhält A Antwort m i zurück, so dass Dec(sk, c i ) = m i. A sendet zwei unterschiedliche Nachrichten m 0, m 1 (gleicher Länge) an C. C zieht b $ {0, 1} und gibt c $ Enc(pk, m b ) aus. A erhält erneut Zugriff auf das Entschlüsselungsorakel für weitere q 2 Anfragen. A stellt insgesamt q = q 1 + q 2 Anfragen. A gibt b {0, 1} aus. A gewinnt wenn b = b. Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum Privacy-Preserving Authentication WS 2015/
21 Sicherheit Wir bezeichnen die Wkt. des Angreifers in obigem Spiel zu gewinnen (auch Erfolgswahrscheinlichkeit genannt) mit SucProb pke A,PKE (κ). Den Vorteil von A bezeichnen wir mit (κ). Es gilt Adv pke A,PKE Adv pke A,PKE (κ) := SucProb pke A,PKE (κ) 1/2. Wir sagen, PKE ist sicher (unter adaptiven chosen-ciphertext Angriffen) wenn kein PPTAngreifer A nicht-vernachlässigbaren Vorteil hat. Wir sagen PKE ist semantisch sicher (sicher unter chosen-plaintext Angriffen) falls q = 0. Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum Privacy-Preserving Authentication WS 2015/
22 Übersicht 1 Vorteil und Sicherheit 2 Hash Funktionen 3 Digitale Signaturen 4 Public Key Encryption 5 Commitment-Verfahren Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum Privacy-Preserving Authentication WS 2015/
23 Intuition und Syntax Mit einem Commitment Verfahren (COM) können sich Parteien auf Nachrichten festlegen ohne sie preiszugeben. Commitments können zu einem späteren Zeitpunkt geöffnet werden um nachzuweisen, welche Nachricht das Commitment tatsächlich enthält. Eine Commitment Verfahren besteht aus drei PPTs: COM = (COM.KGen, COM.Enc, COM.Dec). Der probabilistische Schlüsselgenerator ck $ COM.KGen(1 κ ) berechnet, gegeben den Sicherheitsparameter, einen commitment Schlüssel ck. ck wird veröffentlicht. Der Commitmentalgorithmus COM.commit(ck, m) berechnet, gegeben Nachricht m M und ck, das Commitment d D im Commitmentraum D und einen (nachrichtenabhängigen) Öffnungswert ov OV im Öffnungswertraum OV. Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum Privacy-Preserving Authentication WS 2015/
24 Intuition und Syntax Der deterministische Öffnungsalgorithmus COM.open gibt, gegeben Commitmentschlüssel ck, Nachricht m, Commitment d, und Öffnungswert ov den Wert 1 aus, wenn d tatsächlich ein Commitment von Nachricht m unter ck ist. Andernfalls wird 0 ausgegeben. Wenn das COM-Verfahren, die Schlüssel und die Nachricht aus dem Kontext klar werden, so verwenden wir commit(ck, m) (oder commit(m)) kurz für COM.commit(ck, m) und open(ck, m, d, ov) (oder open(m, d, ov) open(d, ov) open(d)) für COM.open(ck, m, d, ov). Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum Privacy-Preserving Authentication WS 2015/
25 Korrektheit Korrektheit sichert, dass das COM-Verfahren für alle laut Spezifikation generierten Werte funktioniert, d.h. für alle m M muss gelten: [ ] open(ck, m, d, ov) = 1; Pr (d, ov) $ commit(ck, m), ck $ KGen(1 κ = 1, ) wobei die Wahrscheinlichkeit über die von KGen und commit verbrauchten zufälligen Münzen berechnet wird. Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum Privacy-Preserving Authentication WS 2015/
26 Sicherheit Binding Commitmentverfahren müssen zwei Sicherheitseigenschaften erfüllen: Die erste die Binding-Eigenschaft wird mittels des folgenden Spiels zwischen Challenger C und Angreifer A definiert: C berechnet ck $ COM.KGen(1 κ ) und sendet diesen an den A. A berechnet d und zwei Paare (m, ov) und (m, ov ) und gibt sie an C. A gewinnt wenn m m und open(ck, m, d, ov) = 1 = open(ck, m, d, ov ). Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum Privacy-Preserving Authentication WS 2015/
27 Sicherheit Binding Wir bezeichnen den Vorteil des Angreifers in obigem Spiel zu gewinnen (=Erfolgswahrscheinlichkeit) mit Adv bind A,COM (κ). Wir sagen, COM ist binding, wenn kein PPT Angreifer A nicht-vernachlässigbaren Vorteil hat. Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum Privacy-Preserving Authentication WS 2015/
28 Sicherheit Hiding Die zweite Sicherheitseigenschaft die Hiding-Eigenschaft wird mittels des folgenden Spiels zwischen Challenger C und Angreifer A definiert: C berechnet ck $ COM.KGen(1 κ ) und sendet den Wert an A. A berechnet zwei unterschiedliche Nachrichten (gleicher Länge) m 0, m 1 und gibt sie an C. C zieht b $ {0, 1} und sendet d = commit(ck, m b ) an C. A gibt b {0, 1} aus. A gewinnt wenn b = b. Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum Privacy-Preserving Authentication WS 2015/
29 Sicherheit Hiding Wir bezeichnen die Wkt. des Angreifers in obigem Spiel zu gewinnen (auch Erfolgswahrscheinlichkeit genannt) mit SucProb hid A,COM (κ). Den Vorteil von A bezeichnen wir mit (κ). Es gilt Adv hid A,COM Adv hid A,COM (κ) = SucProb hid A,COM (κ) 1/2. Wir sagen, COM ist hiding, wenn kein PPTAngreifer A nicht-vernachlässigbaren Vorteil hat. Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum Privacy-Preserving Authentication WS 2015/
Vorlesung Sicherheit
Vorlesung Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 23.05.2016 1 / 32 Überblick 1 Symmetrische Authentifikation von Nachrichten Ziel Konstruktionen MACs
MehrHomomorphe Verschlüsselung
Homomorphe Verschlüsselung Definition Homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : G G für Gruppen G, G. Π heißt homomorph, falls Enc(m 1 ) G Enc(m 2 ) eine gültige Verschlüsselung
MehrÜbung zur Vorlesung. Sicherheit Übungsblatt 5 Björn Kaidel
Übung zur Vorlesung Sicherheit 30.06.2016 Übungsblatt 5 Björn Kaidel bjoern.kaidel@kit.edu https://b.socrative.com/login/student/ Room: SICHERHEIT Bitte gleich einloggen! 1 / 55 Evaluation (siehe Evaluations-PDF)
MehrDigitale Signaturen. GHR-und Chamäleon-Signaturen Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen GHR-und Chamäleon-Signaturen Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-01-12 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen KIT
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 12.05.2014 1 / 26 Überblick 1 Hashfunktionen Erinnerung Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel:
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Vorlesung 4 Alexander Koch (Vertretung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 KIT 2015-11-12 Universität desalexander Landes Baden-Württemberg
MehrVoll homomorpe Verschlüsselung
Voll homomorpe Verschlüsselung Definition Voll homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : R R für Ringe R, R. Π heißt voll homomorph, falls 1 Enc(m 1 ) + Enc(m 2 ) eine gültige
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Vorlesung 4 Alexander Koch (Vertretung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-11-10 Alexander Koch Asymmetrische Verschlüsselungsverfahren
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 15.05.2017 1 / 25 Überblick 1 Hashfunktionen Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel: RSA
MehrInstitut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Klausur Hinweise
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Klausur 22.07.2014 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen
MehrDigitale Signaturen. Einführung Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Einführung Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-10-21 G. Hartung, B. Kaidel Digitale Signaturen: Einführung KIT Die Forschungsuniversität
MehrDigitale Signaturen. Einführung Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Einführung Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-10-20 B. Kaidel Digitale Signaturen: Einführung KIT Die Forschungsuniversität in der Helmholtz-Gemeinschaft
MehrDigitale Signaturen. Kapitel 8
Digitale Signaturen Kapitel 8 Handschriftliche vs. digitale Unterschrift digitalisieren mp3 Unterschrift digitale Unterschrift von D.H. für mp3? (Scannen und als Bitmap anhängen z.b. zu leicht zu fälschen)
MehrDigitale Signaturen. RSA-FDH & das Random Oracle Model Björn Kaidel (mit Folien von Gunnar Hartung)
Digitale Signaturen RSA-FDH & das Random Oracle Model Björn Kaidel (mit Folien von Gunnar Hartung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-12-01 B. Kaidel Digitale Signaturen:
MehrBeweisbar sichere Verschlüsselung
Beweisbar sichere Verschlüsselung ITS-Wahlpflichtvorlesung Dr. Bodo Möller Ruhr-Universität Bochum Horst-Görtz-Institut für IT-Sicherheit Lehrstuhl für Kommunikationssicherheit bmoeller@crypto.rub.de 11
MehrHomomorphe Verschlüsselung
Homomorphe Verschlüsselung Definition Homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : G G für Gruppen G, G. Π heißt homomorph, falls Enc(m 1 ) G Enc(m 2 ) eine gültige Verschlüsselung
MehrInstitut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Klausur Hinweise
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Klausur 21.07.2015 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen
MehrInstitut für Theoretische Informatik Prof. Dr. Dennis Hofheinz Übungsleiter: Thomas Agrikola. Stammvorlesung Sicherheit im Sommersemester 2017
Institut für Theoretische Informatik Prof. Dr. Dennis Hofheinz Übungsleiter: Thomas Agrikola Stammvorlesung Sicherheit im Sommersemester 2017 Übungsblatt 5 Aufgabe 1. (1.) In der Vorlesung wurde gezeigt,
MehrInstitut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Übungsblatt 5
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Übungsblatt 5 Aufgabe 1. (1.) In der Vorlesung wurde gezeigt, dass Lehrbuch-RSA-Signaturen
MehrVIII. Digitale Signaturen
VIII. Digitale Signaturen Bob Eve Eve möchte - lauschen - ändern - personifizieren Alice 1 Aufgaben - Vertraulichkeit - Lauschen - Authentizität - Tauschen des Datenursprungs - Integrität - Änderung der
MehrÜbung zur Vorlesung Sicherheit Übungsblatt 3. Björn Kaidel 1 / 52
Übung zur Vorlesung Sicherheit 21.05.2014 Übungsblatt 3 Björn Kaidel bjoern.kaidel@kit.edu 1 / 52 Kummerkasten Bitte helleren Laserpointer verwenden. Sind die Skriptlinks vertauscht? Nein! Wegen allgemeiner
MehrVorlesung Digitale Signaturen im Wintersemester 2017/-18. Socrative-Fragen aus der Vorlesung vom
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Dozenten: Björn Kaidel Vorlesung Digitale Signaturen im Wintersemester 2017/-18 Socrative-Fragen aus der Vorlesung vom 17.11.2017 1 Quiz 1:
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 06.05.2013 1 / 25 Überblick 1 Hashfunktionen Erinnerung Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel:
MehrInstitut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Nachklausur Hinweise
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Nachklausur 29.09.2014 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung
MehrBlinde Signaturen, geheime Abstimmungen und digitale Münzen
Blinde Signaturen, geheime Abstimmungen und digitale Münzen Claus Diem Im Wintersemester 2017 / 18 Crypto 1982 Geheime Abstimmungen Eine geheime Abstimmung Problem. Eine Gruppe von Personen will per Brief
MehrSicherheit von ElGamal
Sicherheit von ElGamal Satz CPA-Sicherheit ElGamal ElGamal Π ist CPA-sicher unter der DDH-Annahme. Beweis: Sei A ein Angreifer auf ElGamal Π mit Erfolgsws ɛ(n) := Ws[PubK cpa A,Π (n) = 1]. Wir konstruieren
MehrInstitut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Nachklausur
Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz IKS Institut für Kryptographie und Sicherheit Stammvorlesung Sicherheit im Sommersemester 2013 Nachklausur 07.10.2013 Vorname: Nachname:
MehrRSA Full Domain Hash (RSA-FDH) Signaturen
RSA Full Domain Hash (RSA-FDH) Signaturen Signatur RSA-FDH Sei H : {0, 1} Z N ein Random-Oracle. 1 Gen: (N, e, d) GenRSA(1 n ) mit pk = (N, e) und sk = (N, d). 2 Sign: Für eine Nachricht m {0, 1} berechne
MehrDigitale Unterschriften. Angriffe und Sicherheitsmodelle. Bemerkungen. Angriffe und Sicherheitsmodelle
Digitale Unterschriften Auch digitale Signaturen genannt. Nachrichten aus Nachrichtenraum: M M. Signaturen aus Signaturenraum: σ S. Schlüssel sind aus Schlüsselräumen: d K 1, e K 2. SignierungsverfahrenS
MehrInstitut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Klausur Hinweise
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Klausur 22.07.2014 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen
MehrDefinition Message Authentication Code (MAC) Ein Message Authentication Code (MAC) bzgl. des Nachrichtenraumen M besteht aus den ppt Alg.
Message Authentication Code (MAC) Szenario: Integrität und Authentizität mittels MACs. Alice und Bob besitzen gemeinsamen Schlüssel k. Alice berechnet für m einen MAC-Tag t als Funktion von m und k. Alice
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 13.05.2013 1 / 16 Überblick 1 Asymmetrische Verschlüsselung Erinnerung Andere Verfahren Demonstration Zusammenfassung 2 Symmetrische Authentifikation von Nachrichten
MehrBeweisbar sichere Verschlüsselung
Beweisbar sichere Verschlüsselung ITS-Wahlpflichtvorlesung Dr. Bodo Möller Ruhr-Universität Bochum Horst-Görtz-Institut für IT-Sicherheit Lehrstuhl für Kommunikationssicherheit bmoeller@crypto.rub.de 9
MehrDigitale Signaturen. Einmalsignaturen Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Einmalsignaturen Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-11-04 B. Kaidel Digitale Signaturen: Einmalsignaturen KIT Die Forschungsuniversität
MehrBemerkungen. Orientierung. Digitale Unterschriften. Angriffe und Sicherheitsmodelle
Orientierung Haben bisher im Public-Key Bereich nur Verschlüsselung betrachtet. Haben dafür geeignete mathematische Strukturen und ihre Eigenschaften diskutiert. RSA, Rabin: Restklassenringe modulo n,
MehrElGamal Verschlüsselungsverfahren (1984)
ElGamal Verschlüsselungsverfahren (1984) Definition ElGamal Verschlüsselungsverfahren Sei n ein Sicherheitsparameter. 1 Gen : (q, g) G(1 n ), wobei g eine Gruppe G der Ordnung q generiert. Wähle x R Z
MehrVerteilte Kyroptographie
Verteilte Kyroptographie Klassische kryptographische Verfahren Kryptographische Hash-Funktionen Public-Key-Signaturen Verteilte Mechanismen Schwellwert-Signaturen Verteilt generierte Zufallszahlen Verteilte
MehrSicherheit von Merkle Signaturen
Sicherheit von Merkle Signaturen Algorithmus Angreifer A für die Einwegsignatur EINGABE: pk, Zugriff auf eine Anfrage an Orakel Sign sk ( ) 1 Berechne (pk (i), sk (i) ) Gen(1 n ) für i = 1,...,l. Wähle
MehrDigitale Signaturen. Sicherheitsdefinitionen Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Sicherheitsdefinitionen Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-10-27 B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen KIT Die Forschungsuniversität
MehrDigitale Unterschriften mit ElGamal
Digitale Unterschriften mit ElGamal Seminar Kryptographie und Datensicherheit Institut für Informatik Andreas Havenstein Inhalt Einführung RSA Angriffe auf Signaturen und Verschlüsselung ElGamal Ausblick
MehrHybride Verschlüsselungsverfahren
Hybride Verschlüsselungsverfahren Ziel: Flexibilität von asym. Verfahren und Effizienz von sym. Verfahren. Szenario: Sei Π = (Gen, Enc, Dec) ein PK-Verschlüsselungsverfahren und Π = (Gen, Enc, Dec ) ein
MehrUnunterscheidbarkeit von Chiffretexten
Ununterscheidbarkeit von Chiffretexten Spiel Ununterscheidbarkeit von Chiffretexten PrivK eav A,Π (n) Sei Π ein Verschlüsselungsverfahren und A ein Angreifer. 1 (m 0, m 1 ) A. 2 k Gen(1 n ). 3 Wähle b
MehrRSA Full Domain Hash (RSA-FDH) Signaturen
RSA Full Domain Hash (RSA-FDH) Signaturen Signatur RSA-FDH Sei H : {0, 1} Z N ein Random-Oracle. 1 Gen: (N, e, d) GenRSA(1 n ) mit pk = (N, e) und sk = (N, d). 2 Sign: Für eine Nachricht m {0, 1} berechne
MehrCPA-Sicherheit ist ungenügend
CPA-Sicherheit ist ungenügend Definition CCA CCA (=Chosen Ciphertext Attack) ist ein Angriff, bei dem der Angreifer sich Chiffretext seiner Wahl entschlüsseln lassen kann. Beispiele in denen CPA nicht
MehrDigitale Unterschriften Grundlagen der digitalen Unterschriften Hash-Then-Sign Unterschriften Public-Key Infrastrukturen (PKI) Digitale Signaturen
Sommersemester 2008 Digitale Unterschriften Unterschrift von Hand : Physikalische Verbindung mit dem unterschriebenen Dokument (beides steht auf dem gleichen Blatt). Fälschen erfordert einiges Geschick
MehrBeliebige Anzahl von Signaturen
Beliebige Anzahl von Signaturen Algorithmus Signaturketten Sei Π = (Gen, Sign, Vrfy) ein Einwegsignaturverfahren. 1 Gen : (pk 1, sk 1 ) Gen(1 n ) 2 Sign : Signieren der Nachricht m i. Verwende gemerkten
MehrEINIGE GRUNDLAGEN DER KRYPTOGRAPHIE
EINIGE GRUNDLAGEN DER KRYPTOGRAPHIE Steffen Reith reith@thi.uni-hannover.de 22. April 2005 Download: http://www.thi.uni-hannover.de/lehre/ss05/kry/folien/einleitung.pdf WAS IST KRYPTOGRAPHIE? Kryptographie
MehrKap. 2: Fail-Stop Unterschriften
Stefan Lucks 2: Fail-Stop Unterschriften 17 Digital Unterschreiben und Bezahlen Kap. 2: Fail-Stop Unterschriften Digitale Unterschriften (Synomym: Digitale Signaturen ): Fälschen mutmaßlich hart (RSA-Wurzeln,
MehrKryptographie I Symmetrische Kryptographie
Kryptographie I Symmetrische Kryptographie Alexander May Fakultät für Mathematik Ruhr-Universität Bochum Wintersemester 2009/10 Krypto I - Vorlesung 01-12.10.2009 Verschlüsselung, Kerckhoffs, Angreifer,
MehrPrinzipien der modernen Kryptographie Sicherheit
Prinzipien der modernen Kryptographie Sicherheit Prinzip 1 Sicherheitsmodell Das Sicherheitsmodell (Berechnungsmodell, Angriffstypen, Sicherheitsziele) muss präzise definiert werden. Berechnungsmodell:
MehrSicherheit in Pervasiven Systemen. Peter Langendörfer & Zoya Dyka
Sicherheit in Pervasiven Systemen Peter Langendörfer & Zoya Dyka 1 Grundlagen der Sicherheit 2 Sichere Kommunikation - Ist er wirklich von Bob? - authentication - non-repudiation - Ist Inhalt nicht geändert/gefälscht?
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 08.05.2017 1 / 32 Überblick 1 Blockchiffren Erinnerung Varianten von DES Beispiel: AES Angriffe auf Blockchiffren 2 Formalisierung von Sicherheit (symmetrischer
MehrDigitale Signaturen. seuf-cma & Pairings Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen seuf-cma & Pairings Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-01-20 B. Kaidel Digitale Signaturen: seuf-cma & Pairings KIT Die
MehrMessage Authentication Codes. Konstruktion von MACs. Hash-then-Encrypt. Sicherheitsmodell
Message Authentication Codes Entspricht Hashfunktionen mit geheimen Schlüsseln. h : K M H, MAC = h k (m). h parametrisierte Hashfunktion. m Nachricht. k geheimer Schlüssel. Mit der Nachricht m wird h k
MehrKryptographie I Symmetrische Kryptographie
Kryptographie I Symmetrische Kryptographie Alexander May Fakultät für Mathematik Ruhr-Universität Bochum Wintersemester 2012/13 Krypto I - Vorlesung 01-08.10.2012 Verschlüsselung, Kerckhoffs, Angreifer,
MehrHashfunktionen und Kollisionen
Hashfunktionen und Kollisionen Definition Hashfunktion Eine Hashfunktion ist ein Paar (Gen, H) von pt Algorithmen mit 1 Gen: s Gen(1 n ). Gen ist probabilistisch. 2 H: H s berechnet Funktion {0, 1} {0,
MehrDigitale Signaturen. Proseminar Kryptographie und Datensicherheit SoSe Sandra Niemeyer
Digitale Signaturen Proseminar Kryptographie und Datensicherheit SoSe 2009 Sandra Niemeyer 24.06.2009 Inhalt 1. Signaturgesetz 2. Ziele 3. Sicherheitsanforderungen 4. Erzeugung digitaler Signaturen 5.
MehrDas Generalized Birthday Problem
Das Generalized Birthday Problem Problem Birthday Gegeben: L 1, L 2 Listen mit Elementen aus {0, 1} n Gesucht: x 1 L 1 und x 2 L 2 mit x 1 x 2 = 0. Anwendungen: Meet-in-the-Middle Angriffe (z.b. für RSA,
MehrIch bedanke mich bei Florian Böhl, Benny Fuhry, Gunnar Hartung, Jan Holz, Björn Kaidel, Eike Kiltz, Evgheni Kirzner, Jessica Koch, Julia Rohlfing,
Digitale Signaturen Tibor Jager tibor.jager@rub.de Horst Görtz Institut für IT-Sicherheit Lehrstuhl für Netz- und Datensicherheit Ruhr-Universität Bochum Letzte Aktualisierung: 6. Oktober 2015 Ich bedanke
MehrKryptologie. Bernd Borchert. Univ. Tübingen SS Vorlesung. Teil 10. Signaturen, Diffie-Hellman
Kryptologie Bernd Borchert Univ. Tübingen SS 2017 Vorlesung Teil 10 Signaturen, Diffie-Hellman Signatur Signatur s(m) einer Nachricht m Alice m, s(m) Bob K priv K pub K pub Signatur Signatur (Thema Integrity
MehrDigitale Signaturen. Einführung und das Schnorr Signatur Schema. 1 Digitale Signaturen Einführung & das Schnorr Signatur Schema.
Digitale Signaturen Einführung und das Schnorr Signatur Schema 1 Übersicht 1. Prinzip der digitalen Signatur 2. Grundlagen Hash Funktionen Diskreter Logarithmus 3. ElGamal Signatur Schema 4. Schnorr Signatur
Mehrhttps://b.socrative.com/login/student/
Übung zur Vorlesung Sicherheit 23.06.2016 Übungsblatt 4 Björn Kaidel bjoern.kaidel@kit.edu https://b.socrative.com/login/student/ Room: SICHERHEIT Bitte gleich einloggen! 1 / 62 Feedback: Kummerkasten/Feedback
MehrKryptographie I Symmetrische Kryptographie
Kryptographie I Symmetrische Kryptographie Eike Kiltz 1 Fakultät für Mathematik Ruhr-Universität Bochum Wintersemester 2011/12 1 Basierend auf Folien von Alexander May. Krypto I - Vorlesung 01-10.10.2011
MehrAngewandte Kryptographie. Mathematical Weaknesses of Cryptosystems
Angewandte Kryptographie Mathematical Weaknesses of Cryptosystems Inhalt Einleitung und Begriffsklärung Public Key Verfahren Angriffe Ciphers Kryptografische Funktionen Zufallszahlengenerierung Dramatis
MehrSocrative-Fragen aus der Übung vom
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Übungsleiter: Björn Kaidel, Alexander Koch Stammvorlesung Sicherheit im Sommersemester 2016 Socrative-Fragen aus der Übung vom 28.04.2016
MehrMitschrift Vorlesung Einführung in die Kryptographie vom 18. Januar 2011
Mitschrift Vorlesung Einführung in die Kryptographie vom 18. Januar 2011 Dominic Scheurer 6. Februar 2012 Inhaltsverzeichnis 30 Digitale Signaturen (cont'd) - One-Time-Signaturen (OTS) 1 31 Public-Key-Verschlüsselung
MehrVorlesung Sicherheit
Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 02.05.2016 1 / 22 Überblick 1 Hashfunktionen Erinnerung Formalisierung Die Merkle-Damgård-Konstruktion
MehrEinleitung. 1.1 Zielsetzung der Kryptographie
Einleitung In diesem Kapitel wird ein Überblick über die grundlegenden Fragestellungen und Methoden der Kryptographie gegeben. 1.1 Zielsetzung der Kryptographie Die moderne Kryptographie beschäftigt sich
MehrSicherheitsanalyse für Langzeitsicherheit von Public-Key Verfahren
Sicherheitsanalyse für Langzeitsicherheit von Public-Key Verfahren Diplomarbeit von Sebastian Schwierz Betreuer: Prof. Dr. Tsuyoshi Takagi und Dipl.-Math. Christina Hölzer Technische Universität Darmstadt
Mehr6.3 Authentizität. Geheimhaltung: nur der Empfänger kann die Nachricht lesen. die Nachricht erreicht den Empfänger so, wie sie abgeschickt wurde
6.3 Authentizität Zur Erinnerung: Geheimhaltung: nur der Empfänger kann die Nachricht lesen Integrität: die Nachricht erreicht den Empfänger so, wie sie abgeschickt wurde Authentizität: es ist sichergestellt,
Mehr10.6 Authentizität. Geheimhaltung: nur der Empfänger kann die Nachricht lesen
10.6 Authentizität Zur Erinnerung: Geheimhaltung: nur der Empfänger kann die Nachricht lesen Integrität: Nachricht erreicht den Empfänger so, wie sie abgeschickt wurde Authentizität: es ist sichergestellt,
MehrKryptographie I Symmetrische Kryptographie
Kryptographie I Symmetrische Kryptographie Eike Kiltz 1 Fakultät für Mathematik Ruhr-Universität Bochum Wintersemester 2014/15 1 Basierend auf Folien von Alexander May. Krypto - Vorlesung 01-6.10.2014
MehrSeminar: Die Logik der Sicherheit Protokollspiel
Seminar: Die Logik der Sicherheit Protokollspiel 1. Phase: Protokollentwurf Jede Gruppe entwirft ein Zwei-Parteien-Protokoll zum Austausch einer geheimen Nachricht. Die beiden Parteien A und B müssen nach
MehrBetriebssysteme und Sicherheit
Betriebssysteme und Sicherheit Signatursysteme WS 2013/2014 Dr.-Ing. Elke Franz Elke.Franz@tu-dresden.de 1 Überblick 1 Prinzip digitaler Signatursysteme 2 Vergleich symmetrische / asymmetrische Authentikation
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Björn Kaidel - Vertretung für Prof. J. Müller-Quade (Folien von A. Koch) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 17.11.2016 Björn Kaidel
MehrKryptographie - eine mathematische Einführung
Kryptographie - eine mathematische Einführung Rosa Freund 28. Dezember 2004 Überblick Grundlegende Fragestellungen Symmetrische Verschlüsselung: Blockchiffren, Hashfunktionen
MehrSSL-Protokoll und Internet-Sicherheit
SSL-Protokoll und Internet-Sicherheit Christina Bräutigam Universität Dortmund 5. Dezember 2005 Übersicht 1 Einleitung 2 Allgemeines zu SSL 3 Einbindung in TCP/IP 4 SSL 3.0-Sicherheitsschicht über TCP
MehrTerminologie. Kryptographie. Zielsetzungen in der Kryptographie. Geschichte der Kryptographie
Kryptographie Terminologie Kryptographie: Entwurf und Design von Kryptosystemen, also zum Beispiel Verfahren für die Verschlüsselung und digitale Signaturen. Vorlesung im WS 2008/9 http://www.math.tu-berlin.de/
MehrPrinzipien der modernen Kryptographie Sicherheit
Prinzipien der modernen Kryptographie Sicherheit Prinzip 1 Sicherheitsziel Die Sicherheitsziele müssen präzise definiert werden. Beispiele für ungenügende Definitionen von Sicherheit Kein Angreifer kann
MehrInstitut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Klausur
Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz IKS Institut für Kryptographie und Sicherheit Stammvorlesung Sicherheit im Sommersemester 2013 Klausur 26.07.2013 Vorname: Nachname:
MehrDenn es geh t um ihr Geld: Kryptographie
Denn es geht um ihr Geld: Kryptographie Ilja Donhauser Inhalt Allgemeines Symmetrisch Asymmetrisch Hybridverfahren Brute Force Primzahlen Hashing Zertifikate Seite 2 Allgemeines Allgemeines Wissenschaft
MehrInhaltsverzeichnis. Wolfgang Ertel. Angewandte Kryptographie. ISBN (Buch): ISBN (E-Book):
Inhaltsverzeichnis Wolfgang Ertel Angewandte Kryptographie ISBN (Buch): 978-3-446-42756-3 ISBN (E-Book): 978-3-446-43196-6 Weitere Informationen oder Bestellungen unter http://www.hanser-fachbuch.de/978-3-446-42756-3
MehrStromchiffre. Algorithmus Stromchiffre
Stromchiffre Algorithmus Stromchiffre Sei G ein Pseudozufallsgenerator mit Expansionsfaktor l(n). Wir definieren Π s = (Gen, Enc, Dec) mit Sicherheitsparameter n für Nachrichten der Länge l(n). 1 Gen:
MehrEffizienten MAC-Konstruktion aus der Praxis: NMAC Idee von NMAC:
Effizienten MAC-Konstruktion aus der Praxis: NMAC Idee von NMAC: Hashe m {0, 1} auf einen Hashwert in {0, 1} n. Verwende Π MAC3 für Nachrichten fixer Länge auf dem Hashwert. Wir konstruieren Π MAC3 mittels
MehrNachrichtenintegrität
Nachrichtenintegrität!!Erlaubt den Komunikationspartnern die Korrektheit Folien und Inhalte aus II und Authentizität der Nachricht zu überprüfen Networking: A - Inhalt ist unverändert Top Down Approach
MehrDigitale Signaturen. Wiederholung Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Wiederholung Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung KIT Die Forschungsuniversität
MehrBernd Borchert. Univ. Tübingen WS 13/14. Vorlesung. Kryptographie. Teil
Bernd Borchert Univ. Tübingen WS 13/14 Vorlesung Kryptographie Teil 1 18.10.13 1 Kryptologie der Umgang mit Geheimnissen Geheimnisse müssen nichts romantisches oder kriminelles sein, sondern es gibt ganz
MehrÜbungsblatt 3. Stammvorlesung Sicherheit im Sommersemester Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Übungsblatt 3 Aufgabe 1. Beurteilen Sie für die folgenden Konstruktionen jeweils, ob es sich
MehrStromchiffre. Algorithmus Stromchiffre
Stromchiffre Algorithmus Stromchiffre Sei G ein Pseudozufallsgenerator mit Expansionsfaktor l(n). Wir definieren Π s = (Gen, Enc, Dec) mit Sicherheitsparameter n für Nachrichten der Länge l(n). 1 Gen:
MehrMessage Authentication Codes
Message Authentication Codes Martin Schütte 30. Nov. 2004 Gliederung Denitionen Grundlegende Begrie Konstruktion von MACs häug benutzte MACs Einschätzung der Sicherheit Bedingungslos sichere MACs zusätzliche
MehrUnterhalten Sie sich leise mit Ihrem Nachbarn über ein aktuelles Thema. Dauer ca. 2 Minuten
Versuch: Eigenschaften einer Unterhaltung Instant Messaging Unterhalten Sie sich leise mit Ihrem Nachbarn über ein aktuelles Thema. Dauer ca. 2 Minuten welche Rollen gibt es in einem IM-System? Analysieren
MehrKryptographie I Symmetrische Kryptographie
Kryptographie I Symmetrische Kryptographie Alexander May Fakultät für Mathematik Ruhr-Universität Bochum Wintersemester 2010/11 Krypto I - Vorlesung 01-11.10.2010 Verschlüsselung, Kerckhoffs, Angreifer,
MehrDigitale Signaturen. Sven Tabbert
Digitale Signaturen Sven Tabbert Inhalt: Digitale Signaturen 1. Einleitung 2. Erzeugung Digitaler Signaturen 3. Signaturen und Einweg Hashfunktionen 4. Digital Signature Algorithmus 5. Zusammenfassung
Mehr6: Diskrete Wahrscheinlichkeit
Stefan Lucks Diskrete Strukturen (WS 2009/10) 219 6: Diskrete Wahrscheinlichkeit 6: Diskrete Wahrscheinlichkeit Stefan Lucks Diskrete Strukturen (WS 2009/10) 220 Wahrscheinlichkeitsrechnung Eines der wichtigsten
MehrName:... Vorname:... Matrikel-Nr.:... Studienfach:...
Stefan Lucks Medien Bauhaus-Univ. Weimar Probeklausur Name:.............................. Vorname:........................... Matrikel-Nr.:....................... Studienfach:........................ Wichtige
Mehr8: Zufallsorakel. Wir suchen: Einfache mathematische Abstraktion für Hashfunktionen
Stefan Lucks 8: Zufallsorakel 139 Kryptogr. Hashfunkt. (WS 08/09) 8: Zufallsorakel Unser Problem: Exakte Eigenschaften von effizienten Hashfunktionen nur schwer erfassbar (z.b. MD5, Tiger, RipeMD, SHA-1,...)
MehrBernd Blümel. Verschlüsselung. Prof. Dr. Blümel
Bernd Blümel 2001 Verschlüsselung Gliederung 1. Symetrische Verschlüsselung 2. Asymetrische Verschlüsselung 3. Hybride Verfahren 4. SSL 5. pgp Verschlüsselung 111101111100001110000111000011 1100110 111101111100001110000111000011
Mehr2.4 Hash-Prüfsummen Hash-Funktion message digest Fingerprint kollisionsfrei Einweg-Funktion
2.4 Hash-Prüfsummen Mit einer Hash-Funktion wird von einer Nachricht eine Prüfsumme (Hash-Wert oder message digest) erstellt. Diese Prüfsumme besitzt immer die gleiche Länge unabhängig von der Länge der
MehrKryptographie und Komplexität
Kryptographie und Komplexität Einheit 6 Kryptographie und Sicherheit 1. Kryptographische Hashfunktionen 2. Passwörter und Identifikation 3. Digitale Signaturen 4. Secret Sharing 5. Anwendungen und Ausblick
Mehr