Asymmetrische Verschlüsselungsverfahren
|
|
- Günther Egger
- vor 6 Jahren
- Abrufe
Transkript
1 Asymmetrische Verschlüsselungsverfahren Digitale Signaturen Prof. Jörn Müller-Quade mit Folien von G. Hartung und B. Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK J. Müller-Quade Asymmetrische Verschlüsselungsverfahren KIT Die Forschungsuniversität in der Helmholtz-Gemeinschaft
2 Outline Einführung Definition Textbook-RSA-Signaturen Sicherheit RSA-FDH & Random-Oracle Model RSA-PSS J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
3 Hinweis Folien heute großteils aus VL Digitale Signaturen Auf der Website gibt es auch weitere Informationen (Skript etc.) J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
4 Einführung (I) Ziel: Kryptographische Verfahren, die das gleiche leisten, wie eine Unterschrift. Folgendes soll sichergestellt werden: Authentizität Dokument von einer bestimmten Person signiert Integrität signiertes Dokument ist unverändert J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
5 Einführung (II) Auf Papier: bekannt (aber wie gut ist das eigentlich?) Digital: Signieren von Bitstrings aus {0, 1} Programme, Datenbanken, Websites, s, J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
6 Was sind Signaturen? Informell: asymmetrische Verfahren Schlüsselpaar (pk, sk) Mit sk kann signiert werden, Signatur σ sk bleibt geheim Geg. (m, σ) kann mit pk überprüft werden, ob σ gültig pk ist öffentlich, jeder kann überprüfen J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
7 Was sind Signaturen nicht? (1) Signaturen sind keine Verschlüsselungsverfahren Nachrichten verstecken ist nicht das Ziel Daher: Nachricht kann aus Signatur (teilweise) ableitbar sein J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
8 Was sind Signaturen nicht? (2) Signieren ist Verschlüsseln mit dem geheimen Schlüssel eines PKE-Verfahrens! FALSCH! Einzige (schlechte) Ausnahme: Textbook-RSA Verschlüsselungsverfahren können nicht ohne Weiteres als Signaturen verwendet werden! J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
9 Definition: Digitale Signaturen Def. 1: (Digitale Signaturen) Ein digitales Signaturverfahren ist ein Tupel Σ = (Gen, Sign, Vfy) von probabilistischen Poly-Zeit- Algorithmen: J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
10 Definition: Digitale Signaturen Def. 1: (Digitale Signaturen) Ein digitales Signaturverfahren ist ein Tupel Σ = (Gen, Sign, Vfy) von probabilistischen Poly-Zeit- Algorithmen: Gen(1 k ) (pk, sk) J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
11 Definition: Digitale Signaturen Def. 1: (Digitale Signaturen) Ein digitales Signaturverfahren ist ein Tupel Σ = (Gen, Sign, Vfy) von probabilistischen Poly-Zeit- Algorithmen: Gen(1 k ) (pk, sk) Sign(1 k, sk, m) σ, m {0, 1} p(k), p Polynom J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
12 Definition: Digitale Signaturen Def. 1: (Digitale Signaturen) Ein digitales Signaturverfahren ist ein Tupel Σ = (Gen, Sign, Vfy) von probabilistischen Poly-Zeit- Algorithmen: Gen(1 k ) (pk, sk) Sign(1 k, sk, m) σ, m {0, 1} p(k), p Polynom { Vfy(1 k 1, wenn σ gültig,, pk, m, σ) = 0, sonst Anmerkung: 1 k lassen wir im Folgenden weg bei Sign & Vfy J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
13 Digitale Signaturen: Correctness Correctness: Das Verfahren funktioniert. Formal: (pk, sk) Gen(1 k ) m {0, 1} p(k) : Vfy(pk, m, Sign(sk, m)) = J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
14 Digitale Signaturen: Sicherheit Sicherheit: Es ist nicht möglich effizient Signaturen zu fälschen. Formal: Später! J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
15 Wiederholung: RSA-Annahme Setting: N = P Q, P, Q große Primzahlen ϕ(n) = (P 1)(Q 1) = ZN (Eulersche Phi-Funktion) Wähle zufällig e N, sodass ggt(e, ϕ(n)) = 1. Dann existiert d N mit e d 1 mod ϕ(n). Für x Z N gilt dann auch x e d x mod N J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
16 Wiederholung: RSA-Annahme Setting: N = P Q, P, Q große Primzahlen ϕ(n) = (P 1)(Q 1) = ZN (Eulersche Phi-Funktion) Wähle zufällig e N, sodass ggt(e, ϕ(n)) = 1. Dann existiert d N mit e d 1 mod ϕ(n). Für x Z N gilt dann auch x e d x mod N. RSA-Problem: Geg. N, e (wie oben definiert) und y Z N, finde x Z N : x e y mod N J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
17 Wiederholung: RSA-Annahme RSA-Annahme: PPT A gilt: [ Pr A(1 k, N, e, y) = x : für eine in k vernachlässigbare Funktion negl. x e ] y mod N negl(k) N, e, y wie oben Informell: Kein PPT-Angreifer löst das RSA-Problem mit nicht-vernachlässigbarer Erfolgswahrscheinlichkeit J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
18 Textbook-RSA-Signaturen Gen(1 k ) : ziehe zufällig Primzahlen P, Q N := P Q Wähle e > 2 mit ggt(e, ϕ(n)) = 1 d := e 1 mod ϕ(n) pk = (N, e) sk = d Sign(sk, m) : σ := m d (mod N) Vfy(pk, m, σ) : σ e? = m (mod N) J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
19 Textbook-RSA-Signaturen Gen(1 k ) : ziehe zufällig Primzahlen P, Q N := P Q Wähle e > 2 mit ggt(e, ϕ(n)) = 1 d := e 1 mod ϕ(n) pk = (N, e) sk = d Sign(sk, m) : σ := m d (mod N) Vfy(pk, m, σ) : σ e? = m (mod N) Korrektheit: J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
20 Textbook-RSA-Signaturen Gen(1 k ) : ziehe zufällig Primzahlen P, Q N := P Q Wähle e > 2 mit ggt(e, ϕ(n)) = 1 d := e 1 mod ϕ(n) pk = (N, e) sk = d Sign(sk, m) : σ := m d (mod N) Vfy(pk, m, σ) : σ e? = m (mod N) Korrektheit: σ e (m d ) e m de mod ϕ(n) m 1 m (mod N) J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
21 Sicherheit Textbook-RSA-Signaturen sind nicht sicher! J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
22 Sicherheit Textbook-RSA-Signaturen sind nicht sicher! Sinnlose Fälschungen Wähle σ Z N berechne m := (σ ) e mod N gib (m, σ ) als Fälschung aus Achtung: Auch wenn die Nachricht wohl sinnlos ist, kann dies ein gefährlicher Angriff sein! J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
23 Sicherheit Textbook-RSA-Signaturen sind nicht sicher! Sinnlose Fälschungen Wähle σ Z N berechne m := (σ ) e mod N gib (m, σ ) als Fälschung aus Achtung: Auch wenn die Nachricht wohl sinnlos ist, kann dies ein gefährlicher Angriff sein! Homomorph: Wenn σ 1, σ 2 gültige Signaturen für m 1, m 2 sind, dann ist σ 3 := σ 1 σ 2 mod N gültig für m 3 := m 1 m 2 mod N: σ e 3 (σ 1σ 2 ) e σ e 1 σe 2 m 1m 2 m 3 (mod N) J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
24 EUF-CMA-Sicherheitsexperiment C EUF-CMA A J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
25 EUF-CMA-Sicherheitsexperiment (pk, sk) Gen(1 k ) C EUF-CMA pk A J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
26 EUF-CMA-Sicherheitsexperiment (pk, sk) Gen(1 k ) C EUF-CMA pk A m i σ i J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
27 EUF-CMA-Sicherheitsexperiment (pk, sk) Gen(1 k ) C EUF-CMA pk A m i σ i Anfragen nacheinander q = q(k) Anfragen q Polynom, von A gewählt J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
28 EUF-CMA-Sicherheitsexperiment (pk, sk) Gen(1 k ) C EUF-CMA pk A m i σ i Anfragen nacheinander q = q(k) Anfragen q Polynom, von A gewählt m, σ Ver(pk, m, σ ) = 1? m / {m 1,..., m q }? A gewinnt, falls Vfy(pk, m, σ ) = 1 und m / {m 1,..., m q } J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
29 Definition: EUF-CMA Def. 2: (EUF-CMA) Ein digitales Signaturverfahren Σ = (Gen, Sign, Vfy) ist EUF-CMA-sicher, falls für alle PPT A gilt, dass J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
30 Definition: EUF-CMA Def. 2: (EUF-CMA) Ein digitales Signaturverfahren Σ = (Gen, Sign, Vfy) ist EUF-CMA-sicher, falls für alle PPT A gilt, dass [ Pr A C EUF-CMA(pk) = (m, σ ) : Vfy(pk, m, σ ] ) = 1 m negl(k) / {m 1,..., m q } J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
31 Definition: EUF-CMA Def. 2: (EUF-CMA) Ein digitales Signaturverfahren Σ = (Gen, Sign, Vfy) ist EUF-CMA-sicher, falls für alle PPT A gilt, dass [ Pr A C EUF-CMA(pk) = (m, σ ) : Vfy(pk, m, σ ] ) = 1 m / {m 1,..., m q } negl(k) für eine im Sicherheitsparameter k vernachlässigbare Funktion negl J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
32 RSA-FDH sei H := {0, 1} Z N eine kollisionsresistente Hash-Funktion Idee: Signiere H(m) mit Textbook-RSA Nachrichtenraum/ Domäne bei Textbook-RSA: Z N H soll auf die gesamte Domäne Z N abbilden full domain hash J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
33 RSA-FDH sei H := {0, 1} Z N eine kollisionsresistente Hash-Funktion Idee: Signiere H(m) mit Textbook-RSA Nachrichtenraum/ Domäne bei Textbook-RSA: Z N H soll auf die gesamte Domäne Z N abbilden full domain hash Konkret: Gen(1 k ) : wie bei Textbook-RSA Sign(sk, m) : J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
34 RSA-FDH sei H := {0, 1} Z N eine kollisionsresistente Hash-Funktion Idee: Signiere H(m) mit Textbook-RSA Nachrichtenraum/ Domäne bei Textbook-RSA: Z N H soll auf die gesamte Domäne Z N abbilden full domain hash Konkret: Gen(1 k ) : wie bei Textbook-RSA Sign(sk, m) : σ := H(m) d (mod N) J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
35 RSA-FDH sei H := {0, 1} Z N eine kollisionsresistente Hash-Funktion Idee: Signiere H(m) mit Textbook-RSA Nachrichtenraum/ Domäne bei Textbook-RSA: Z N H soll auf die gesamte Domäne Z N abbilden full domain hash Konkret: Gen(1 k ) : wie bei Textbook-RSA Sign(sk, m) : σ := H(m) d (mod N) Vfy(pk, m, σ) : J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
36 RSA-FDH sei H := {0, 1} Z N eine kollisionsresistente Hash-Funktion Idee: Signiere H(m) mit Textbook-RSA Nachrichtenraum/ Domäne bei Textbook-RSA: Z N H soll auf die gesamte Domäne Z N abbilden full domain hash Konkret: Gen(1 k ) : wie bei Textbook-RSA Sign(sk, m) : σ := H(m) d (mod N) Vfy(pk, m, σ) : σ e? H(m) (mod N) J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
37 RSA-FDH sei H := {0, 1} Z N eine kollisionsresistente Hash-Funktion Idee: Signiere H(m) mit Textbook-RSA Nachrichtenraum/ Domäne bei Textbook-RSA: Z N H soll auf die gesamte Domäne Z N abbilden full domain hash Konkret: Gen(1 k ) : wie bei Textbook-RSA Sign(sk, m) : σ := H(m) d (mod N) Vfy(pk, m, σ) : σ e? H(m) (mod N) Korrektheit: wie immer (Übung) J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
38 Sicherheit von RSA-FDH Theorem Wenn die RSA-Annahme gilt, dann ist das RSA-FDH-Signaturverfahren EUF-CMA-sicher J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
39 Sicherheit von RSA-FDH Theorem Wenn die RSA-Annahme gilt, dann ist das RSA-FDH-Signaturverfahren EUF-CMA-sicher im Random-Oracle-Modell J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
40 Sicherheit von RSA-FDH Theorem Wenn die RSA-Annahme gilt, dann ist das RSA-FDH-Signaturverfahren EUF-CMA-sicher im Random-Oracle-Modell. Random-Oracle-Modell? J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
41 Random-Oracle-Modell (ROM) Heuristik betrachte idealisierte Hash-Funktion H Ausgabe von H(m) gleichverteilt zufällig für jede Eingabe m H modelliert als Orakel, das die Hashwerte ausgibt ( Random Oracle ) J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
42 Random-Oracle-Modell (ROM) Heuristik betrachte idealisierte Hash-Funktion H Ausgabe von H(m) gleichverteilt zufällig für jede Eingabe m H modelliert als Orakel, das die Hashwerte ausgibt ( Random Oracle ) Das H-Orakel: besitzt einen internen Key-Value-Store T implementiert folgenden Algorithmus : if m in T : return T [m] else: y Z N T [m] := y return y J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
43 Random-Oracle-Modell (ROM): Diskussion Konsens: Sicherheitsbeweis im Standardmodell besser als Sicherheitsbeweis im ROM J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
44 Random-Oracle-Modell (ROM): Diskussion Konsens: Sicherheitsbeweis im Standardmodell besser als Sicherheitsbeweis im ROM Fakt: manche kryptographischen Probleme nur im ROM lösbar J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
45 Random-Oracle-Modell (ROM): Diskussion Konsens: Sicherheitsbeweis im Standardmodell besser als Sicherheitsbeweis im ROM Fakt: manche kryptographischen Probleme nur im ROM lösbar Fakt: Lösungen im ROM oft effizienter als Lösungen im Standardmodell Beispiel: RSA-basierte Signaturen J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
46 Random-Oracle-Modell (ROM): Diskussion Konsens: Sicherheitsbeweis im Standardmodell besser als Sicherheitsbeweis im ROM Fakt: manche kryptographischen Probleme nur im ROM lösbar Fakt: Lösungen im ROM oft effizienter als Lösungen im Standardmodell Beispiel: RSA-basierte Signaturen Fakt: Lösungen im ROM oft einfacher zu konstruieren Vorstufe zur Lösung im Standardmodell J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
47 Random-Oracle-Modell (ROM): Diskussion Konsens: Sicherheitsbeweis im Standardmodell besser als Sicherheitsbeweis im ROM Fakt: manche kryptographischen Probleme nur im ROM lösbar Fakt: Lösungen im ROM oft effizienter als Lösungen im Standardmodell Beispiel: RSA-basierte Signaturen Fakt: Lösungen im ROM oft einfacher zu konstruieren Vorstufe zur Lösung im Standardmodell = ROM vereinfacht Sicherheitsbeweise oder ermöglicht sie erst J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
48 Random-Oracle-Modell (ROM): Diskussion Fakt: für viele Konstruktionen im ROM sind keine realen Angriffe bekannt J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
49 Random-Oracle-Modell (ROM): Diskussion Fakt: für viele Konstruktionen im ROM sind keine realen Angriffe bekannt Fakt: Es existieren kryptographische Konstruktionen, die im ROM als sicher bewiesen werden können, aber mit jeder realen Hash-Funktion unsicher sind. Aber: diese Konstruktionen sind sehr künstlich J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
50 Random-Oracle-Modell (ROM): Diskussion Fakt: für viele Konstruktionen im ROM sind keine realen Angriffe bekannt Fakt: Es existieren kryptographische Konstruktionen, die im ROM als sicher bewiesen werden können, aber mit jeder realen Hash-Funktion unsicher sind. Aber: diese Konstruktionen sind sehr künstlich Zusammenfassung: ROM liefert effiziente Konstruktionen funktioniert in der Praxis gut ist (Über-)Idealisierung ROM insgesamt umstritten J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
51 RSA-FDH: Sicherheitsbeweis Theorem Wenn H als Random Oracle modelliert wird, dann existiert für jeden Angreifer A, der die EUF-CMA-Sicherheit von RSA-FDH in Zeit t A mit Erfolgswahrscheinlichkeit ɛ A bricht und dabei höchstens q H Anfragen das H-Orakel stellt ein Angreifer B der das RSA-Problem in Zeit t B t A mit Erfolgswahrscheinlichkeit löst. ɛ B ɛ A 1/N q H J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
52 RSA-FDH: Sicherheitsbeweis Beweisidee: A muss Hashwert-Anfragen an das RO stellen auch für m Fälschung für m ohne vorherige Hashwert-Anfrage an das RO quasi unmöglich! RO wählt Hashwert echt zufällig A hat nur vernachlässigbare Wkt. dies richtig vorherzusehen J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
53 RSA-FDH: Sicherheitsbeweis Beweisidee: A muss Hashwert-Anfragen an das RO stellen auch für m Fälschung für m ohne vorherige Hashwert-Anfrage an das RO quasi unmöglich! RO wählt Hashwert echt zufällig A hat nur vernachlässigbare Wkt. dies richtig vorherzusehen. B kann das RO für A implementieren = ersetze Random-Oracle-Implementierung: rate Index i der Nachricht, für die A eine Signatur fälschen wird wähle alle anderen Hash-Werte h j (j = i) so, dass eine Signatur bekannt ist wähle h i = y J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
54 RSA-FDH: Beweisübersicht RSA-Problem EUF-CMA C RSA B A J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
55 RSA-FDH: Beweisübersicht RSA-Problem EUF-CMA C RSA B A wähle N, e, y N, e, y J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
56 RSA-FDH: Beweisübersicht RSA-Problem EUF-CMA C RSA B A wähle N, e, y N, e, y pk J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
57 RSA-FDH: Beweisübersicht RSA-Problem EUF-CMA C RSA B A wähle N, e, y N, e, y pk H(m) =? J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
58 RSA-FDH: Beweisübersicht RSA-Problem EUF-CMA C RSA B A wähle N, e, y N, e, y pk H(m) =? wähle H(m) geeignet H(m) J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
59 RSA-FDH: Beweisübersicht RSA-Problem EUF-CMA C RSA B A wähle N, e, y N, e, y pk H(m) =? wähle H(m) geeignet H(m) 1 Sign(sk, m) =? J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
60 RSA-FDH: Beweisübersicht RSA-Problem EUF-CMA C RSA B A wähle N, e, y N, e, y pk H(m) =? wähle H(m) geeignet H(m) 1 Sign(sk, m) =? berechne σ geeignet σ J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
61 RSA-FDH: Beweisübersicht RSA-Problem EUF-CMA C RSA B A wähle N, e, y N, e, y pk H(m) =? wähle H(m) geeignet H(m) 1 Sign(sk, m) =? berechne σ geeignet σ 2 m, σ J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
62 RSA-FDH: Beweisübersicht RSA-Problem EUF-CMA C RSA B A wähle N, e, y N, e, y pk H(m) =? wähle H(m) geeignet H(m) 1 Sign(sk, m) =? berechne σ geeignet σ 2 x m, σ J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
63 RSA-FDH & RSA-PSS RSA-FDH hat eine schlechte Redutkion im Sicherheitsbeweis nicht tight hoher Verlust Sorgt dafür, dass Parameter in der Praxis sehr groß gewählt werden müssen Besseres Verfahren: RSA-PSS J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
64 RSA-PSS RSA-basiertes Signaturverfahren [BR96] Vorverarbeitung von m EUF-CMA-sicher im ROM, wenn RSA-Annahme gilt Sicherheitsbeweis mit geringerem Verlust Variante standardisiert in PKCS #1 seit Version 2.1 (Juni 2002) Gen(1 k ) : wie bei Textbook-RSA Sign(sk, m) : J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
65 RSA-PSS RSA-basiertes Signaturverfahren [BR96] Vorverarbeitung von m EUF-CMA-sicher im ROM, wenn RSA-Annahme gilt Sicherheitsbeweis mit geringerem Verlust Variante standardisiert in PKCS #1 seit Version 2.1 (Juni 2002) Gen(1 k ) : wie bei Textbook-RSA Sign(sk, m) : σ := PSS-Encode(m) d (mod N) J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
66 RSA-PSS RSA-basiertes Signaturverfahren [BR96] Vorverarbeitung von m EUF-CMA-sicher im ROM, wenn RSA-Annahme gilt Sicherheitsbeweis mit geringerem Verlust Variante standardisiert in PKCS #1 seit Version 2.1 (Juni 2002) Gen(1 k ) : wie bei Textbook-RSA Sign(sk, m) : σ := PSS-Encode(m) d (mod N) Vfy(pk, m, σ) : Berechne y = σ e (mod N) gib 1 aus, gdw. y gültige Codierung von m ist J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
67 RSA-PSS PSS-Encoding: benötigt zwei Hash-Fkt. G, H zwei Parameter k 0 und k 1 H : {0, 1} {0, 1} k 1 G : {0, 1} k 1 {0, 1} n k 1 1 G 1 : erste k 0 bits von G G 2 : Rest von G w {0, 1} k 1 : G(w) = G 1 (w) G 2 (w) J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
68 RSA-PSS PSS-Encoding: benötigt zwei Hash-Fkt. G, H zwei Parameter k 0 und k 1 H : {0, 1} {0, 1} k 1 G : {0, 1} k 1 {0, 1} n k 1 1 G 1 : erste k 0 bits von G G 2 : Rest von G w {0, 1} k 1 : G(w) = G 1 (w) G 2 (w) wähle r {0, 1} k 0 zufällig w := H(m r) r := G 1 (w) r γ := G 2 (w) encoding := 0 w r γ J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
69 RSA-PSS PSS-Encoding: benötigt zwei Hash-Fkt. G, H zwei Parameter k 0 und k 1 H : {0, 1} {0, 1} k 1 G : {0, 1} k 1 {0, 1} n k 1 1 G 1 : erste k 0 bits von G G 2 : Rest von G w {0, 1} k 1 : G(w) = G 1 (w) G 2 (w) wähle r {0, 1} k 0 zufällig w := H(m r) r := G 1 (w) r γ := G 2 (w) encoding := 0 w r γ Graphisch: siehe [BR96] zugreifbar aus Universitäts-Netzwerk aus urheberrechtlichen Gründen hier nicht wiedergegeben J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
70 RSA-PSS: Verifikation berechne y = σ e mod N falls erstes Bit nicht 0: gib 0 aus. teile y in 0, w, r, γ berechne r := r G 1 (w ) Gib 1 aus falls sonst 0. γ? = G2 (w ) und w? = H(r ), J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
71 RSA-PSS: Sicherheit Wenn G und H als Random-Oracles modelliert werden, dann existiert für jeden Angreifer A, der die EUF-CMA-Sicherheit von RSA-PSS in Zeit t A mit Erfolgswahrscheinlichkeit ɛ A bricht und dabei insgesamt höchstens q hash Anfragen das G- bzw. H-Orakel stellt ein Angreifer B der das RSA-Problem in Zeit t B mit Erfolgswahrscheinlichkeit ɛ B löst, wobei ( ) ɛ B ɛ A 2(q + q hash ) (2 k k 1) t B t A + (q + q hash + 1) k 0 Θ(n 3 ) löst J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
72 RSA-PSS: Sicherheit Wenn G und H als Random-Oracles modelliert werden, dann existiert für jeden Angreifer A, der die EUF-CMA-Sicherheit von RSA-PSS in Zeit t A mit Erfolgswahrscheinlichkeit ɛ A bricht und dabei insgesamt höchstens q hash Anfragen das G- bzw. H-Orakel stellt ein Angreifer B der das RSA-Problem in Zeit t B mit Erfolgswahrscheinlichkeit ɛ B löst, wobei ( ) ɛ B ɛ A 2(q + q hash ) (2 k k 1) t B t A + (q + q hash + 1) k 0 Θ(n 3 ) löst. Vorsicht: Möglicherweise Verwirrung bei k 0, k 1. Vereinfachung: k 0 = k J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
73 References I M. Bellare and P. Rogaway. The Exact Security of Digital Signatures-How to Sign with RSA and Rabin. In: Advances in Cryptology EUROCRYPT 96: International Conference on the Theory and Application of Cryptographic Techniques Saragossa, Spain, May 12 16, 1996 Proceedings. Ed. by U. Maurer. Berlin, Heidelberg: Springer Berlin Heidelberg, 1996, pp DOI: / _34. URL: J. Müller-Quade Asymmetrische Verschlüsselungsverfahren
Digitale Signaturen. RSA-FDH & das Random Oracle Model Björn Kaidel (mit Folien von Gunnar Hartung)
Digitale Signaturen RSA-FDH & das Random Oracle Model Björn Kaidel (mit Folien von Gunnar Hartung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-12-01 B. Kaidel Digitale Signaturen:
MehrDigitale Signaturen. Einmalsignaturen Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Einmalsignaturen Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-11-04 B. Kaidel Digitale Signaturen: Einmalsignaturen KIT Die Forschungsuniversität
MehrDigitale Signaturen. Einführung Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Einführung Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-10-21 G. Hartung, B. Kaidel Digitale Signaturen: Einführung KIT Die Forschungsuniversität
MehrDigitale Signaturen. Wiederholung Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Wiederholung Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung KIT Die Forschungsuniversität
MehrDigitale Signaturen. Einführung Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Einführung Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-10-20 B. Kaidel Digitale Signaturen: Einführung KIT Die Forschungsuniversität in der Helmholtz-Gemeinschaft
MehrDigitale Signaturen. GHR-und Chamäleon-Signaturen Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen GHR-und Chamäleon-Signaturen Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-01-12 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen KIT
MehrDigitale Signaturen. seuf-cma & Pairings Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen seuf-cma & Pairings Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-01-20 B. Kaidel Digitale Signaturen: seuf-cma & Pairings KIT Die
MehrDigitale Signaturen. Sicherheitsdefinitionen Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Sicherheitsdefinitionen Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-10-27 B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen KIT Die Forschungsuniversität
MehrVorlesung Sicherheit
Vorlesung Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 23.05.2016 1 / 32 Überblick 1 Symmetrische Authentifikation von Nachrichten Ziel Konstruktionen MACs
MehrHomomorphe Verschlüsselung
Homomorphe Verschlüsselung Definition Homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : G G für Gruppen G, G. Π heißt homomorph, falls Enc(m 1 ) G Enc(m 2 ) eine gültige Verschlüsselung
MehrVoll homomorpe Verschlüsselung
Voll homomorpe Verschlüsselung Definition Voll homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : R R für Ringe R, R. Π heißt voll homomorph, falls 1 Enc(m 1 ) + Enc(m 2 ) eine gültige
MehrÜbung zur Vorlesung Sicherheit Übungsblatt 3. Björn Kaidel 1 / 52
Übung zur Vorlesung Sicherheit 21.05.2014 Übungsblatt 3 Björn Kaidel bjoern.kaidel@kit.edu 1 / 52 Kummerkasten Bitte helleren Laserpointer verwenden. Sind die Skriptlinks vertauscht? Nein! Wegen allgemeiner
MehrVorlesung Digitale Signaturen im Wintersemester 2017/-18. Socrative-Fragen aus der Vorlesung vom
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Dozenten: Björn Kaidel Vorlesung Digitale Signaturen im Wintersemester 2017/-18 Socrative-Fragen aus der Vorlesung vom 17.11.2017 1 Quiz 1:
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Vorlesung 4 Alexander Koch (Vertretung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-11-10 Alexander Koch Asymmetrische Verschlüsselungsverfahren
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Vorlesung 4 Alexander Koch (Vertretung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 KIT 2015-11-12 Universität desalexander Landes Baden-Württemberg
MehrRSA Full Domain Hash (RSA-FDH) Signaturen
RSA Full Domain Hash (RSA-FDH) Signaturen Signatur RSA-FDH Sei H : {0, 1} Z N ein Random-Oracle. 1 Gen: (N, e, d) GenRSA(1 n ) mit pk = (N, e) und sk = (N, d). 2 Sign: Für eine Nachricht m {0, 1} berechne
MehrÜbung zur Vorlesung. Sicherheit Übungsblatt 5 Björn Kaidel
Übung zur Vorlesung Sicherheit 30.06.2016 Übungsblatt 5 Björn Kaidel bjoern.kaidel@kit.edu https://b.socrative.com/login/student/ Room: SICHERHEIT Bitte gleich einloggen! 1 / 55 Evaluation (siehe Evaluations-PDF)
MehrBlinde Signaturen, geheime Abstimmungen und digitale Münzen
Blinde Signaturen, geheime Abstimmungen und digitale Münzen Claus Diem Im Wintersemester 2017 / 18 Crypto 1982 Geheime Abstimmungen Eine geheime Abstimmung Problem. Eine Gruppe von Personen will per Brief
MehrHybride Verschlüsselungsverfahren
Hybride Verschlüsselungsverfahren Ziel: Flexibilität von asym. Verfahren und Effizienz von sym. Verfahren. Szenario: Sei Π = (Gen, Enc, Dec) ein PK-Verschlüsselungsverfahren und Π = (Gen, Enc, Dec ) ein
MehrDigitale Signaturen. Kapitel 8
Digitale Signaturen Kapitel 8 Handschriftliche vs. digitale Unterschrift digitalisieren mp3 Unterschrift digitale Unterschrift von D.H. für mp3? (Scannen und als Bitmap anhängen z.b. zu leicht zu fälschen)
MehrRSA Full Domain Hash (RSA-FDH) Signaturen
RSA Full Domain Hash (RSA-FDH) Signaturen Signatur RSA-FDH Sei H : {0, 1} Z N ein Random-Oracle. 1 Gen: (N, e, d) GenRSA(1 n ) mit pk = (N, e) und sk = (N, d). 2 Sign: Für eine Nachricht m {0, 1} berechne
MehrBeliebige Anzahl von Signaturen
Beliebige Anzahl von Signaturen Algorithmus Signaturketten Sei Π = (Gen, Sign, Vrfy) ein Einwegsignaturverfahren. 1 Gen : (pk 1, sk 1 ) Gen(1 n ) 2 Sign : Signieren der Nachricht m i. Verwende gemerkten
MehrHomomorphe Verschlüsselung
Homomorphe Verschlüsselung Definition Homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : G G für Gruppen G, G. Π heißt homomorph, falls Enc(m 1 ) G Enc(m 2 ) eine gültige Verschlüsselung
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 15.05.2017 1 / 25 Überblick 1 Hashfunktionen Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel: RSA
MehrVIII. Digitale Signaturen
VIII. Digitale Signaturen Bob Eve Eve möchte - lauschen - ändern - personifizieren Alice 1 Aufgaben - Vertraulichkeit - Lauschen - Authentizität - Tauschen des Datenursprungs - Integrität - Änderung der
MehrInstitut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Klausur Hinweise
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Klausur 21.07.2015 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 12.05.2014 1 / 26 Überblick 1 Hashfunktionen Erinnerung Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel:
MehrSicherheit von hybrider Verschlüsselung
Sicherheit von hybrider Verschlüsselung Satz Sicherheit hybrider Verschlüsselung Sei Π ein CPA-sicheres PK-Verschlüsselungsverfahren und Π ein KPA-sicheres SK-Verschlüsselungsverfahren. Dann ist das hybride
MehrDigitale Unterschriften. Angriffe und Sicherheitsmodelle. Bemerkungen. Angriffe und Sicherheitsmodelle
Digitale Unterschriften Auch digitale Signaturen genannt. Nachrichten aus Nachrichtenraum: M M. Signaturen aus Signaturenraum: σ S. Schlüssel sind aus Schlüsselräumen: d K 1, e K 2. SignierungsverfahrenS
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Björn Kaidel - Vertretung für Prof. J. Müller-Quade (Folien von A. Koch) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 17.11.2016 Björn Kaidel
MehrBemerkungen. Orientierung. Digitale Unterschriften. Angriffe und Sicherheitsmodelle
Orientierung Haben bisher im Public-Key Bereich nur Verschlüsselung betrachtet. Haben dafür geeignete mathematische Strukturen und ihre Eigenschaften diskutiert. RSA, Rabin: Restklassenringe modulo n,
MehrSicherheit von Merkle Signaturen
Sicherheit von Merkle Signaturen Algorithmus Angreifer A für die Einwegsignatur EINGABE: pk, Zugriff auf eine Anfrage an Orakel Sign sk ( ) 1 Berechne (pk (i), sk (i) ) Gen(1 n ) für i = 1,...,l. Wähle
MehrInstitut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Nachklausur
Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz IKS Institut für Kryptographie und Sicherheit Stammvorlesung Sicherheit im Sommersemester 2013 Nachklausur 07.10.2013 Vorname: Nachname:
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 06.05.2013 1 / 25 Überblick 1 Hashfunktionen Erinnerung Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel:
MehrIch bedanke mich bei Florian Böhl, Benny Fuhry, Gunnar Hartung, Jan Holz, Björn Kaidel, Eike Kiltz, Evgheni Kirzner, Jessica Koch, Julia Rohlfing,
Digitale Signaturen Tibor Jager tibor.jager@rub.de Horst Görtz Institut für IT-Sicherheit Lehrstuhl für Netz- und Datensicherheit Ruhr-Universität Bochum Letzte Aktualisierung: 6. Oktober 2015 Ich bedanke
MehrÜbungsblatt 3. Stammvorlesung Sicherheit im Sommersemester Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Übungsblatt 3 Aufgabe 1. Beurteilen Sie für die folgenden Konstruktionen jeweils, ob es sich
MehrDigitale Signaturen. Einführung und das Schnorr Signatur Schema. 1 Digitale Signaturen Einführung & das Schnorr Signatur Schema.
Digitale Signaturen Einführung und das Schnorr Signatur Schema 1 Übersicht 1. Prinzip der digitalen Signatur 2. Grundlagen Hash Funktionen Diskreter Logarithmus 3. ElGamal Signatur Schema 4. Schnorr Signatur
MehrVerteilte Kyroptographie
Verteilte Kyroptographie Klassische kryptographische Verfahren Kryptographische Hash-Funktionen Public-Key-Signaturen Verteilte Mechanismen Schwellwert-Signaturen Verteilt generierte Zufallszahlen Verteilte
Mehr3: Zahlentheorie / Primzahlen
Stefan Lucks Diskrete Strukturen (WS 2009/10) 96 3: Zahlentheorie / Primzahlen 3: Zahlentheorie / Primzahlen Stefan Lucks Diskrete Strukturen (WS 2009/10) 97 Definition 37 (Teiler, Vielfache, Primzahlen,
MehrDigitale Unterschriften Grundlagen der digitalen Unterschriften Hash-Then-Sign Unterschriften Public-Key Infrastrukturen (PKI) Digitale Signaturen
Sommersemester 2008 Digitale Unterschriften Unterschrift von Hand : Physikalische Verbindung mit dem unterschriebenen Dokument (beides steht auf dem gleichen Blatt). Fälschen erfordert einiges Geschick
MehrHashfunktionen und Kollisionen
Hashfunktionen und Kollisionen Definition Hashfunktion Eine Hashfunktion ist ein Paar (Gen, H) von pt Algorithmen mit 1 Gen: s Gen(1 n ). Gen ist probabilistisch. 2 H: H s berechnet Funktion {0, 1} {0,
MehrDigitale Unterschriften mit ElGamal
Digitale Unterschriften mit ElGamal Seminar Kryptographie und Datensicherheit Institut für Informatik Andreas Havenstein Inhalt Einführung RSA Angriffe auf Signaturen und Verschlüsselung ElGamal Ausblick
Mehr8: Zufallsorakel. Wir suchen: Einfache mathematische Abstraktion für Hashfunktionen
Stefan Lucks 8: Zufallsorakel 139 Kryptogr. Hashfunkt. (WS 08/09) 8: Zufallsorakel Unser Problem: Exakte Eigenschaften von effizienten Hashfunktionen nur schwer erfassbar (z.b. MD5, Tiger, RipeMD, SHA-1,...)
MehrDas RSA-Verfahren. Proseminar Kryptographische Protokolle SS Armin Litzel
in der Praxis Proseminar Kryptographische Protokolle SS 2009 5.5.2009 in der Praxis Gliederung 1 Grundlegendes über RSA 2 in der Praxis Allgemeine Vorgehensweise zur Verschlüsselung Signieren mit RSA 3
MehrDigitale Signaturen. Proseminar Kryptographie und Datensicherheit SoSe Sandra Niemeyer
Digitale Signaturen Proseminar Kryptographie und Datensicherheit SoSe 2009 Sandra Niemeyer 24.06.2009 Inhalt 1. Signaturgesetz 2. Ziele 3. Sicherheitsanforderungen 4. Erzeugung digitaler Signaturen 5.
MehrÜbungsblatt 4. Stammvorlesung Sicherheit im Sommersemester Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Übungsblatt 4 Aufgabe 1. Wir instanziieren das ElGamal-Verschlüsselungsverfahren aus der
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 13.05.2013 1 / 16 Überblick 1 Asymmetrische Verschlüsselung Erinnerung Andere Verfahren Demonstration Zusammenfassung 2 Symmetrische Authentifikation von Nachrichten
MehrInstitut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Klausur Hinweise
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Klausur 22.07.2014 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen
MehrInstitut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Übungsblatt 5
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Übungsblatt 5 Aufgabe 1. (1.) In der Vorlesung wurde gezeigt, dass Lehrbuch-RSA-Signaturen
MehrUnunterscheidbarkeit von Chiffretexten
Ununterscheidbarkeit von Chiffretexten Spiel Ununterscheidbarkeit von Chiffretexten PrivK eav A,Π (n) Sei Π ein Verschlüsselungsverfahren und A ein Angreifer. 1 (m 0, m 1 ) A. 2 k Gen(1 n ). 3 Wähle b
MehrInstitut für Theoretische Informatik Prof. Dr. Dennis Hofheinz Übungsleiter: Thomas Agrikola. Stammvorlesung Sicherheit im Sommersemester 2017
Institut für Theoretische Informatik Prof. Dr. Dennis Hofheinz Übungsleiter: Thomas Agrikola Stammvorlesung Sicherheit im Sommersemester 2017 Übungsblatt 5 Aufgabe 1. (1.) In der Vorlesung wurde gezeigt,
MehrDefinition Message Authentication Code (MAC) Ein Message Authentication Code (MAC) bzgl. des Nachrichtenraumen M besteht aus den ppt Alg.
Message Authentication Code (MAC) Szenario: Integrität und Authentizität mittels MACs. Alice und Bob besitzen gemeinsamen Schlüssel k. Alice berechnet für m einen MAC-Tag t als Funktion von m und k. Alice
MehrDas Generalized Birthday Problem
Das Generalized Birthday Problem Problem Birthday Gegeben: L 1, L 2 Listen mit Elementen aus {0, 1} n Gesucht: x 1 L 1 und x 2 L 2 mit x 1 x 2 = 0. Anwendungen: Meet-in-the-Middle Angriffe (z.b. für RSA,
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 08.05.2017 1 / 32 Überblick 1 Blockchiffren Erinnerung Varianten von DES Beispiel: AES Angriffe auf Blockchiffren 2 Formalisierung von Sicherheit (symmetrischer
MehrAufgabe der Kryptografie
Aufgabe der Kryptografie Eve möchte die Unterhaltung mithören und/oder ausgetauschte Informationen ändern. Alice & Bob kommunzieren über einen unsicheren Kanal. Alice & Bob nutzen Verschlüsselung und digitale
MehrInstitut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Klausur
Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz IKS Institut für Kryptographie und Sicherheit Stammvorlesung Sicherheit im Sommersemester 2013 Klausur 26.07.2013 Vorname: Nachname:
MehrCPA-Sicherheit ist ungenügend
CPA-Sicherheit ist ungenügend Definition CCA CCA (=Chosen Ciphertext Attack) ist ein Angriff, bei dem der Angreifer sich Chiffretext seiner Wahl entschlüsseln lassen kann. Beispiele in denen CPA nicht
MehrEinführung in die Kryptographie. 20.6.2011, www.privacyfoundation.ch
Einführung in die Kryptographie 20.6.2011, www.privacyfoundation.ch Kryptographie Name kryptós: verborgen, geheim gráphein: schreiben Verschlüsselung Text so umwandeln, dass man ihn nur noch entziffern/lesen
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 26.05.2014 1 / 32 Überblick 1 Hinweis 2 Asymmetrische Authentifikation von Nachrichten Erinnerung RSA als Signaturschema ElGamal-Signaturen Hash-Then-Sign
MehrSeminar Kryptographie und Datensicherheit
Andere Protokolle für digitale Unterschriften Wintersemester 2006/2007 Gliederung 1 Provably Secure Signature Schemes Lamport Signature Scheme Full Domain Hash 2 Undeniable Signatures 3 Fail-stop Signature
MehrKap. 2: Fail-Stop Unterschriften
Stefan Lucks 2: Fail-Stop Unterschriften 17 Digital Unterschreiben und Bezahlen Kap. 2: Fail-Stop Unterschriften Digitale Unterschriften (Synomym: Digitale Signaturen ): Fälschen mutmaßlich hart (RSA-Wurzeln,
MehrInstitut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Klausur Hinweise
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Klausur 22.07.2014 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen
MehrVorlesung Sicherheit
Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 02.05.2016 1 / 22 Überblick 1 Hashfunktionen Erinnerung Formalisierung Die Merkle-Damgård-Konstruktion
MehrVorlesung Sicherheit
Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 20.04.2014 1 / 28 Überblick 1 Blockchiffren Erinnerung Angriffe auf Blockchiffren 2 Formalisierung
MehrMerkle-Damgard Transformation
Merkle-Damgard Transformation Ziel: Konstruiere H : {0, 1} {0, 1} l aus h : {0, 1} 2l {0, 1} l. Algorithmus Merkle-Damgard Konstruktion Sei (Gen, h) eine kollisionsresistente Hashfunktion mit h : {0, 1}
MehrPublic Key Kryptographie
4. Dezember 2007 Outline 1 Einführung 2 3 4 Einführung 1976 Whitefield Diffie und Martin Hellman 2 Schlüsselprinzip Asymmetrische Verschlüsselungsverfahren public Key private Key Anwendung E-Mail PGP openpgp
MehrKryptographische Protokolle
Kryptographische Protokolle Lerneinheit 4: Schlüsselvereinbarung Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen Sommersemester 2017 8.5.2017 Einleitung Einleitung In dieser Lerneinheit
MehrMitschrift Vorlesung Einführung in die Kryptographie vom 18. Januar 2011
Mitschrift Vorlesung Einführung in die Kryptographie vom 18. Januar 2011 Dominic Scheurer 6. Februar 2012 Inhaltsverzeichnis 30 Digitale Signaturen (cont'd) - One-Time-Signaturen (OTS) 1 31 Public-Key-Verschlüsselung
Mehr6.3 Authentizität. Geheimhaltung: nur der Empfänger kann die Nachricht lesen. die Nachricht erreicht den Empfänger so, wie sie abgeschickt wurde
6.3 Authentizität Zur Erinnerung: Geheimhaltung: nur der Empfänger kann die Nachricht lesen Integrität: die Nachricht erreicht den Empfänger so, wie sie abgeschickt wurde Authentizität: es ist sichergestellt,
MehrRabin Verschlüsselung 1979
Rabin Verschlüsselung 1979 Idee: Rabin Verschlüsselung Beobachtung: Berechnen von Wurzeln in Z p ist effizient möglich. Ziehen von Quadratwurzeln in Z N ist äquivalent zum Faktorisieren. Vorteil: CPA-Sicherheit
MehrElGamal Verschlüsselungsverfahren (1984)
ElGamal Verschlüsselungsverfahren (1984) Definition ElGamal Verschlüsselungsverfahren Sei n ein Sicherheitsparameter. 1 Gen : (q, g) G(1 n ), wobei g eine Gruppe G der Ordnung q generiert. Wähle x R Z
MehrInstitut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Nachklausur Hinweise
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Nachklausur 29.09.2014 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung
MehrSicherheit von ElGamal
Sicherheit von ElGamal Satz CPA-Sicherheit ElGamal ElGamal Π ist CPA-sicher unter der DDH-Annahme. Beweis: Sei A ein Angreifer auf ElGamal Π mit Erfolgsws ɛ(n) := Ws[PubK cpa A,Π (n) = 1]. Wir konstruieren
MehrRegine Schreier
Regine Schreier 20.04.2016 Kryptographie Verschlüsselungsverfahren Private-Key-Verfahren und Public-Key-Verfahren RSA-Verfahren Schlüsselerzeugung Verschlüsselung Entschlüsselung Digitale Signatur mit
MehrWS 2009/10. Diskrete Strukturen
WS 2009/10 Diskrete Strukturen Prof. Dr. J. Esparza Lehrstuhl für Grundlagen der Softwarezuverlässigkeit und theoretische Informatik Fakultät für Informatik Technische Universität München http://www7.in.tum.de/um/courses/ds/ws0910
MehrVerschlüsselung. Chiffrat. Eve
Das RSA Verfahren Verschlüsselung m Chiffrat m k k Eve? Verschlüsselung m Chiffrat m k k Eve? Aber wie verteilt man die Schlüssel? Die Mafia-Methode Sender Empfänger Der Sender verwendet keine Verschlüsselung
Mehrhttps://b.socrative.com/login/student/
Übung zur Vorlesung Sicherheit 23.06.2016 Übungsblatt 4 Björn Kaidel bjoern.kaidel@kit.edu https://b.socrative.com/login/student/ Room: SICHERHEIT Bitte gleich einloggen! 1 / 62 Feedback: Kummerkasten/Feedback
Mehr10. Public-Key Kryptographie
Stefan Lucks 10. PK-Krypto 274 orlesung Kryptographie (SS06) 10. Public-Key Kryptographie Analyse der Sicherheit von PK Kryptosystemen: Angreifer kennt öffentlichen Schlüssel Chosen Plaintext Angriffe
MehrEffizienten MAC-Konstruktion aus der Praxis: NMAC Idee von NMAC:
Effizienten MAC-Konstruktion aus der Praxis: NMAC Idee von NMAC: Hashe m {0, 1} auf einen Hashwert in {0, 1} n. Verwende Π MAC3 für Nachrichten fixer Länge auf dem Hashwert. Wir konstruieren Π MAC3 mittels
MehrIT-Sicherheit Kapitel 3 Public Key Kryptographie
IT-Sicherheit Kapitel 3 Public Key Kryptographie Dr. Christian Rathgeb Sommersemester 2013 1 Einführung In der symmetrischen Kryptographie verwenden Sender und Empfänger den selben Schlüssel die Teilnehmer
MehrEl Gamal Verschlüsselung und seine Anwendungen
El Gamal Verschlüsselung und seine Anwendungen Andrés Guevara July 11, 2005 1 Kurze Einführung in die Kryptographie Situation: Absender will Empfänger eine Nachricht schicken. Einige Ziele der Kryptographie
MehrDiffie-Hellman, ElGamal und DSS. Vortrag von David Gümbel am 28.05.2002
Diffie-Hellman, ElGamal und DSS Vortrag von David Gümbel am 28.05.2002 Übersicht Prinzipielle Probleme der sicheren Nachrichtenübermittlung 'Diskreter Logarithmus'-Problem Diffie-Hellman ElGamal DSS /
MehrPrinzipien der modernen Kryptographie Sicherheit
Prinzipien der modernen Kryptographie Sicherheit Prinzip 1 Sicherheitsmodell Das Sicherheitsmodell (Berechnungsmodell, Angriffstypen, Sicherheitsziele) muss präzise definiert werden. Berechnungsmodell:
MehrProbabilistische Primzahltests
23.01.2006 Motivation und Überblick Grundsätzliches Vorgehen Motivation und Überblick Als Primzahltest bezeichnet man ein mathematisches Verfahren, mit dem ermittelt wird, ob eine gegebene Zahl eine Primzahl
MehrKryptographie. Nachricht
Kryptographie Kryptographie Sender Nachricht Angreifer Empfänger Ziele: Vertraulichkeit Angreifer kann die Nachricht nicht lesen (Flüstern). Integrität Angreifer kann die Nachricht nicht ändern ohne dass
Mehr13. Woche: NP-Vollständigkeit Satz von Cook-Levin Anwendungen in der Kryptographie
13 Woche: NP-Vollständigkeit Satz von Cook-Levin Anwendungen in der Kryptographie 13 Woche: NP-Vollständigkeit, Satz von Cook-Levin, Anwendungen 276/ 333 N P-Vollständigkeit Ḋefinition NP-vollständig Sei
MehrStromchiffre. Algorithmus Stromchiffre
Stromchiffre Algorithmus Stromchiffre Sei G ein Pseudozufallsgenerator mit Expansionsfaktor l(n). Wir definieren Π s = (Gen, Enc, Dec) mit Sicherheitsparameter n für Nachrichten der Länge l(n). 1 Gen:
MehrLösungsblatt zur Vorlesung. Kryptanalyse WS 2009/2010. Blatt 6 / 23. Dezember 2009 / Abgabe bis spätestens 20. Januar 2010, 10 Uhr (vor der Übung)
Ruhr-Universität Bochum Lehrstuhl für Kryptologie und IT-Sicherheit Prof. Dr. Alexander May Mathias Herrmann, Alexander Meurer Lösungsblatt zur Vorlesung Kryptanalyse WS 2009/2010 Blatt 6 / 23. Dezember
MehrPrinzipien der modernen Kryptographie Sicherheit
Prinzipien der modernen Kryptographie Sicherheit Prinzip 1 Sicherheitsziel Die Sicherheitsziele müssen präzise definiert werden. Beispiele für ungenügende Definitionen von Sicherheit Kein Angreifer kann
MehrLineare Kongruenzgeneratoren und Quicksort
Seminar Perlen der theoretischen Informatik Dozenten: Prof. Johannes Köbler und Olaf Beyersdorff Lineare Kongruenzgeneratoren und Quicksort Ausarbeitung zum Vortrag Mia Viktoria Meyer 12. November 2002
MehrKryptographie - eine mathematische Einführung
Kryptographie - eine mathematische Einführung Rosa Freund 28. Dezember 2004 Überblick Grundlegende Fragestellungen Symmetrische Verschlüsselung: Blockchiffren, Hashfunktionen
MehrUrbild Angriff auf Inkrementelle Hashfunktionen
Urbild Angriff auf Inkrementelle Hashfunktionen AdHash Konstruktion: (Bellare, Micciancio 1997) Hashe Nachricht x = (x 1,..., x k ) als H(x) = k i=1 h(i, x i) mod M. Inkrementell: Block x i kann leicht
MehrKurze Einführung in kryptographische Grundlagen.
Kurze Einführung in kryptographische Grundlagen. Was ist eigentlich AES,RSA,DH,ELG,DSA,DSS,ECB,CBC Benjamin.Kellermann@gmx.de GPG-Fingerprint: D19E 04A8 8895 020A 8DF6 0092 3501 1A32 491A 3D9C git clone
MehrPublic Key Kryptographie
3. Juni 2006 1 Algorithmen für Langzahlen 1 RSA 1 Das Rabin-Kryptosystem 1 Diskrete Logarithmen Grundlagen der PK Kryptographie Bisher: Ein Schlüssel für Sender und Empfänger ( Secret-Key oder symmetrische
Mehr10.6 Authentizität. Geheimhaltung: nur der Empfänger kann die Nachricht lesen
10.6 Authentizität Zur Erinnerung: Geheimhaltung: nur der Empfänger kann die Nachricht lesen Integrität: Nachricht erreicht den Empfänger so, wie sie abgeschickt wurde Authentizität: es ist sichergestellt,
MehrMessage Authentication Codes
Message Authentication Codes Martin Schütte 30. Nov. 2004 Gliederung Denitionen Grundlegende Begrie Konstruktion von MACs häug benutzte MACs Einschätzung der Sicherheit Bedingungslos sichere MACs zusätzliche
Mehr3 Public-Key-Kryptosysteme
Stand: 05.11.2013 Vorlesung Grundlagen und Methoden der Kryptographie Dietzfelbinger 3 Public-Key-Kryptosysteme 3.1 Verschlüsselung von Nachrichten Wir betrachten ganz einfache Kommunikationsszenarien.
MehrStromchiffre. Algorithmus Stromchiffre
Stromchiffre Algorithmus Stromchiffre Sei G ein Pseudozufallsgenerator mit Expansionsfaktor l(n). Wir definieren Π s = (Gen, Enc, Dec) mit Sicherheitsparameter n für Nachrichten der Länge l(n). 1 Gen:
MehrKryptograhie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik
Kryptograhie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik Übersicht Zwecke der Krytographie Techniken Symmetrische Verschlüsselung( One-time Pad,
Mehr