Systemsicherheit. Broadcast Encryption and Pay-TV (1) Prof. Dr. Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit geändert von Ulrich Greveler
|
|
- Hannah Lisa Kerner
- vor 6 Jahren
- Abrufe
Transkript
1 Systemsicherheit Broadcast Encryption and (1) Prof. Dr. geändert von Ulrich Greveler
2 Ziele Conditional Access Autorisierter Benutzer Autorisierter Benutzer Nichtautorisierter Benutzer 2
3 Broadcast Encryption Gesucht: Schlüsselmanagement für Nutzermenge U, mit dem es möglich ist eine Nachricht genau an alle Nutzer T U über ein Rundfunkmedium zu senden, so dass es auch gegen jede Koalition von k Angreifern S U mit S T= sicher ist ( k-resilient ), und die Anzahl der Schlüssel (insgesamt/pro Nutzer) soll minimiert werden. Vorüberlegung: Um Teilmenge T U eindeutig zu bezeichnen, sind U Bits erforderlich. Nur in Spezialfällen ist hier eine Verbesserung möglich. 3
4 Broadcast Encryption k-resilientes Basisschema für jede Teilmenge B mit höchstens k Nutzern: wähle einen Schlüssel K B K B wird jedem Nutzer gegeben, der nicht zu B gehört der Schlüssel für T ist das XOR aller Schlüssel K B, B U-T. Sicherheit Den Mitgliedern jeder Teilmenge S U-T mit höchstens k Nutzern fehlt der Schlüssel K S zur XOR-Berechnung Anzahl der Schlüssel Anzahl der i-teilmengen der Menge U, U =n, ist Anzahl aller Schlüssel: k i= 0 n i n i 4
5 Broadcast Encryption 1-resilientes Basisschema Nutzer muss n-1 Schlüssel speichern Verbesserung durch kryptographische Annahmen Annahme 1: Es gibt Einwegfunktionen Dann gibt es pseudozufällige Funktion f : {0,1} a? {0,1} 2a s s l = linke Hälfte von f(s) s r = rechte Hälfte von f(s) s ll = linke Hälfte von f(s l ) s lr s rl s rr = rechte Hälfte von f(s r ) 5
6 Broadcast Encryption Annahme 1: Es gibt Einwegfunktionen Schlüsselzuweisung für Nutzer x wie folgt: Entferne den Pfad von x zur Wurzel aus dem Baum Weise x die Werte zu, mit denen die verbleibenden Teilbäume beschriftet sind Damit kann x die Beschriftung aller Blätter bis auf sein eigenes rekonstruieren. log 2 n Schlüssel s r s ll x 6
7 Broadcast Encryption Annahme 2: Die Berechnung von p-ten Wurzeln modulo N=PQ ist praktisch unmöglich geheim, nur dem Schlüsselmanagementzentrum bekannt: Primzahlen P, Q, Zahl g, wobei <g> in Z N öffentlich bekannt: möglichst groß sein soll. Modulus N Liste ( (1, p 1 ), (2, p 2 ),..., (n, p n ) ) mit der Bedeutung, dass die Primzahl p i dem Nutzer i zugeordnet und paarweise teilerfremd zu allen anderen Primzahlen p j ist. nur Nutzer i bekannt: g i = g pi mod N Schlüssel für Gruppe T U: g pt mod N mit p T = Π i T p i 7
8 Broadcast Encryption Annahme 2: Die Berechnung von p-ten Wurzeln modulo N=PQ ist praktisch unmöglich Berechnung des Schlüssels durch Nutzer i T: g i p j T { i} j mod N Sicherheit: Wenn ein Nutzer j T den Schlüssel berechnen könnte, dann könnte er auch g berechnen. Beweis: an der Tafel. 8
9 Broadcast Encryption Konstruktion von k-resilienten Systemen aus den 1- resilienten Grundbausteinen: Parameter L, m S U f i injektiv auf S f 1... f L 1,..., m 9
10 Broadcast Encryption Konstruktion von k-resilienten Systemen aus den 1- resilienten Grundbausteinen: Parameter L, m Funktionen f 1,...,f L : U? {1,...,m} (zufällig gewählt oder konstruiert) Es muss gelten: Für jedes S U mit S =k gibt es eine Funktion f i so dass für alle x,y S gilt: f i (x) f i (y). Stichwort: Perfect Hash Functions (Die Parameter L und m sind noch geeignet zu wählen.) S U f i injektiv auf S f ,..., m f L 10
11 Broadcast Encryption Konstruktion von k-resilienten Systemen aus den 1- resilienten Grundbausteinen: Schlüsselverteilung Für i {1,...,L} und j {1,...,m} konstruiere jeweils ein unabhängiges 1-resilientes BE-System R(i,j). Jeder Nutzer x U erhält die Schlüssel für das System R(i,f i (x)) für i {1,...,L}. S U f i injektiv auf S 1,..., m f 1... f L 11
12 Broadcast Encryption Konstruktion von k-resilienten Systemen aus den 1- resilienten Grundbausteinen: Verschlüsselung Um eine geheime Nachricht M an eine Menge T zu senden, zerlege diese in L Teilnachrichten M 1... M L =M. M i wird an die Menge { x T f i (x)=j } gesendet, geschützt durch R(i,j). Jeder Nutzer x T erhält so alle Teilnachrichten M i und kann die Nachricht M berechnen. S U f i injektiv auf S f ,..., m f L 12
13 Broadcast Encryption Konstruktion von k-resilienten Systemen aus den 1- resilienten Grundbausteinen: Sicherheit Gegeben sei eine Angreifermenge S. Dann gibt es eine Funktion f i, die für S injektiv ist. S Für jedes 1-resiliente System R(i,j), U mit dem M i verschlüsselt wird, ist höchstens 1 Angreifer aus S vorhanden. Da die einzelnen Schemata 1-resilient sind, können die Angreifer so M i nicht berechnen. M bleibt somit geheim. f i injektiv auf S f 1... f L 1,..., m 13
14 Broadcast Encryption Konstruktion von k-resilienten Systemen aus den 1- resilienten Grundbausteinen: Wahl von L und m Für m = 2k 2 und L = k log n ist die Wahrsch., dass eine zufällig gewählte Funktion f i auf einer Menge S injektiv ist, mindestens k 1 k( k 1) 1 = 1 > 2 2 m 4k 3 4 S U f i injektiv auf S 1,..., m Die Wahrsch., dass es kein solches f i... gibt, ist 1/4 L = 1/n 2k. f L Die Wahrsch., dass es für jede k-menge S ein solches f i gibt, ist n k k k n n f 1 14
15 Conditional Access für 15
16 Ziele Conditional Access Autorisierter Benutzer Autorisierter Benutzer Nichtautorisierter Benutzer 16
17 Funktionsweise Conditional Access Verschlüsseltes Audio/Video + Zugriffsbedingungen (in ECM) Überprüfe, ob die Zugriffsrechte mit den Zugriffsbedingungen übereinstimmen. Wenn ja, entschlüssele! CNN 2 Zugriffs- Rechte 17
18 Funktionsweise Conditional Access Scrambling / Verschlüsselung Analog: Das Videosignal wird in einen FIFO-Puffer geladen und unter Kontrolle eines kryptogr. Schlüssels CW modifiziert. Digital: Der MPEG-2-TS wird durch den DVB Common Scrambling-Algorithmus mit Hilfe des Kontrollworts CW verschlüsselt. Schlüsselmanagement/Conditional Access CW wird (verschlüsselt mit einem Service-Schlüssel SK) in einer ECM übertragen, zusammen mit Zugriffsbedingungen. SK wird (verschlüsselt mit einem persönlichen Schlüssel PK oder einem Gruppenschlüssel GK) in einer EMM übertragen, zusammen mit Zugriffsrechten. Stimmen Bedingungen und Rechte überein, so gibt die Chipkarte CW frei. 18
19 Scrambling / Conditional Access -Anbieter Kunde Video CSA CSA CW (Video) CSA Video CW E ECM = E SK (CW) CW D Scramblin CA SK E EMM = E PK (SK) D SK PK PK 19
20 Verschlüsselung im CE-Bereich Neue, sehr spezifische Bedrohungen Der einzelne Kunde hat kein Interesse daran, seine kryptographischen Schlüssel (SK, GK, PK) geheimzuhalten. Marketingstrategien und Sicherheitsanforderungen sind oft unvereinbar. Geräte und Chipkarten werden preisgünstig und unkontrollierbar abgegeben. Großes Potential an versierten Hackern mit einfachen, aber effektiven Angriffen. Früheste bekannte Seitenkanalangriffe 20
21 Videocrypt 21
22 Nagravision/Syster 22
23 Nagravision/Syster 23
24 Nagravision/Syster Angriffe auf das analoge Scrambling Der PSND1-Dekoder für die SECAM-Version des Nagravision-Systems rekonstruiert(e) gescrambeltes Audio/Video in Echtzeit. Quelle: 24
25 Nagravision/Syster Angriffe auf das analoge Scrambling (2): PC-Basierte Angriffe Pentium 166 Mhz Videokarte mit Framegrabber Funktioniert für Nagravision/Syster und Videocrypt Illegal bei Entschlüsselung deutscher Sender Quellen:
26 Schlüsselmanagement/CA -Anbieter Kunde Video CSA CSA CW (Video) CSA Video CW E ECM = E SK (CW) CW D Scramblin CA SK E EMM = E PK (SK) D SK PK PK 26
27 Schlüsselmanagement/Videocrypt Deaktivierung einer Chipkarte durch negative Adressierung Alle Karten besitzen das gleiche Geheimnis Deaktivierung einer Karte nur in Kooperation mit dieser möglich Folge: Infinite Life - Attacke Descr. ohne SC EMM=ECM CW Hash MAC Okay? Adr 1 Adr 2 Adr 3 Adr 4 27
28 CA im Entertainment-Bereich Angriffe auf das Schlüsselmanagement Blocker filtern Befehle zum Deaktivieren der Chipkarte aus. 28
29 Schlüsselmanagement/Eurocrypt Aktivierung einer Chipkarte durch positive Adressierung ECM wird mit SK verschlüsselt übertragen SK wird mit den verschiedenen GK i verschlüsselt in EMM übertragen GK i wird mit den verschiedenen SK i verschlüsselt in EMM übertragen CW SK GK 1 GK 2 ECM EMM PK 1 PK 2 PK 3 PK 4 29
30 Schlüsselmanagement/CA Deaktivierung einer Chipkarte durch positive Adressierung Zum Deaktivieren von Karte 4 müssen GK 2 und SK ausgetauscht werden. EMM 1 enthält neuen GK 2 verschlüsselt mit PK 3. CW EMM 2 enthält neuen SK verschlüsselt mit GK 1 EMM 3 enthält neuen SK verschlüsselt mit GK 2 PK 1 PK 2 PK 3 PK 4 SK GK 1 GK 2 ECM EMM 30
31 Schlüsselmanagement/CA Optimierung der positiven Adressierung n Kunden, m-ärer Baum der Tiefe t n m t-1 CW m(t-1)-1 = m log m n - 1 Funktion (n fest) x log x n = (x/ln x) ln n hat Minimum bei x=e Daher t = 2 oder t = 3 GK 1 GK 2 optimal. PK 1 PK 2 PK 3 PK 4 SK ECM EMM 31
32 Schlüsselmanagement/CA Positive Adressierung in der Praxis ECM enthält ID des Kanals Rechte, die für diesen Kanal benötigt werden (in der Reihenfolge Pay-per-Channel, Prebooked PPV, Impulsive PPV) Gesichert mit MAC SK (ID, Rechte) EMM-U enthält Nummer der Gruppe, der die Karte zugeordnet wird Schlüssel der Gruppe, der die Karte zugeordnet wird Verschlüsselt mit PKi Gesichert mit MAC PKi (Daten) 32
33 Schlüsselmanagement/CA Positive Adressierung in der Praxis EMM-G enthält Adresse der Gruppe, für die die EMM bestimmt ist Bitmap der Gruppe Berechtigung, die die in der Bitmap markierten Mitglieder der Gruppe erhalten sollen Verschlüsselt mit GKi Gesichert mit MAC GKi (Daten) Gruppe SPORT MAC GKi 33
34 Angriffe Schlüsselmanagement Piratenkarten emulieren das ECM/CW I/O-Verhalten der Originalkarten SK muss der Piratenkarte bekannt sein Datenformate ECM müssen bekannt sein Bei Wechsel des SK: Update des neuen SK über die 10er- Tastatur Quelle: 34
35 Angriffe Schlüsselmanagement Programmierbarer Chipkartenemulator icard Komplette Software der icard kann erneuert werden Bei häufigem Wechsel von SK kann auch ein GKi mit abgespeichert werden (halbanonym) Heute: Programmierbare leere Chipkarten (alles in SW) Quelle: 35
36 Angriffe Schlüsselmanagement PC/Dekoder-Schnittstelle mit seriellem Kabel (SEASON- Interface) ermöglichen die Simulation der Chipkarte durch einen PC (für VIACCESS, MediaGuard, Irdeto,...) Das SEASON-Programm benötigt aktuelle kryptographische Schlüssel Key-Datenbanken im Internet 36
37 Angriffe Schlüsselmanagement Standard-Chipkarten als Piratenkarten: Reaktivierung von Originalkarten Fall 1: Schwäche des MAC-Algorithmus (Programmierfehler) Fall 2: GKi bekannt oder kann auf Karte geladen werden Fall 3: PKi bekannt oder kann auf die Karte geladen werden Bild: Chipkartenleser zur Reprogrammierung von Originalkarten 37
38 Angriffe Schlüsselmanagement Reaktivierung von Originalkarten (MOSC): Wie kann das funktionieren? Auslesen oder Schreiben von Schlüsseln durch Buffer Overflow SK kann auf Karte geschrieben werden: Ausschalten durch Produktwechsel GKi oder PKi kann auf Karte geschrieben werden: Autoupdate - Karten CardWizard: z.b. unter 38
39 Schlüsselmanagement/CA Varianten der Schlüsselhierarchie für mehrere Produkte Gruppen sind fest, mehrere SK SK2 CW GK 1 GK 2 CW SK1 ECM EMM PK 1 PK 2 PK 3 PK 4 39
40 Schlüsselmanagement/CA Varianten der Schlüsselhierarchie für mehrere Produkte Gruppen sind bzgl. SK optimiert Mehrere unabhängige Anbieter pro Karte möglich (Analogon root/user unter Unix) SK CW GK 1 GK 2 ECM EMM PK 1 PK 2 PK 3 PK 4 40
Conditional Access für Pay-TV
Systemsicherheit Teil 4: Prof. Dr. Conditional Access für Inhalt Funktionsweise Conditional Access (CA) Angriffe auf das analoge Scrambling Videocrypt (Folien Markus Kuhn) Nagravision (Premiere Analog)
MehrNetzsicherheit. Teil 6: Pay-TV. Prof. Dr. Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit
Netzsicherheit Teil 6: Prof. Dr. Gliederung Funktionsweise Conditional Access (CA) Angriffe auf das analoge Scrambling Videocrypt (BSkyB Analog) Nagravision (Premiere Analog) Angriffe auf das Schlüsselmanagement
MehrNetzsicherheit. Teil 6: Pay-TV. Prof. Dr. Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit
Netzsicherheit Teil 6: Prof. Dr. Gliederung Funktionsweise Conditional Access (CA) Angriffe auf das analoge Scrambling Videocrypt (BSkyB Analog) Nagravision (Premiere Analog) Angriffe auf das Schlüsselmanagement
MehrConditional Access für Pay-TV. Systemsicherheit. Funktionsweise Conditional Access. Ziele Conditional Access. Scrambling / Conditional Access
Conditional Access für Inhalt Systesicherheit Teil 4: Prof Dr Funktionsweise Conditional Access (CA) Angriffe auf das analoge Scrabling Videocrypt (Folien Markus Kuhn) Nagravision (Preiere Analog) Angriffe
MehrRuhr University Bochum Premiere World Sicherheit: Betacrypt Smartcards
Ruhr University Bochum Premiere World Sicherheit: Betacrypt Smartcards philipp.suedmeyer@ruhr-uni-bochum.de Seminar IT-Sicherheit, WS 03/04 Lehrstuhl für Kommunikationssicherheit Übersicht Motivation Digital
MehrHybride Verschlüsselungsverfahren
Hybride Verschlüsselungsverfahren Ziel: Flexibilität von asym. Verfahren und Effizienz von sym. Verfahren. Szenario: Sei Π = (Gen, Enc, Dec) ein PK-Verschlüsselungsverfahren und Π = (Gen, Enc, Dec ) ein
MehrKryptographie und Komplexität
Kryptographie und Komplexität Einheit 4.4 Semantische Sicherheit 1. Sicherheit partieller Informationen 2. Das Verfahren von Rabin 3. Sicherheit durch Randomisierung Semantische Sicherheit Mehr als nur
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 12.05.2014 1 / 26 Überblick 1 Hashfunktionen Erinnerung Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel:
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 15.05.2017 1 / 25 Überblick 1 Hashfunktionen Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel: RSA
MehrRabin Verschlüsselung 1979
Rabin Verschlüsselung 1979 Idee: Rabin Verschlüsselung Beobachtung: Berechnen von Wurzeln in Z p ist effizient möglich. Ziehen von Quadratwurzeln in Z N ist äquivalent zum Faktorisieren. Vorteil: CPA-Sicherheit
MehrÜbungsblatt 3. Stammvorlesung Sicherheit im Sommersemester Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Übungsblatt 3 Aufgabe 1. Beurteilen Sie für die folgenden Konstruktionen jeweils, ob es sich
MehrKryptographie und Komplexität
Kryptographie und Komplexität Einheit 5 Kryptosysteme auf der Basis diskreter Logarithmen 1. Diffie Hellman Schlüsselaustausch 2. El Gamal Systeme 3. Angriffe auf Diskrete Logarithmen 4. Elliptische Kurven
MehrSicherheit von PDF-Dateien
Sicherheit von PDF-Dateien 27.10.2005 Albrecht-Dürer-Schule, Düsseldorf Alexander Jacob BU Wuppertal Berechtigungen/Nutzungsbeschränkungen zum Drucken Kopieren und Ändern von Inhalt bzw. des Dokumentes
MehrÜbung GSS Blatt 6. SVS Sicherheit in Verteilten Systemen
Übung GSS Blatt 6 SVS Sicherheit in Verteilten Systemen 1 Einladung zum SVS-Sommerfest SVS-Sommerfest am 12.07.16 ab 17 Uhr Ihr seid eingeladen! :-) Es gibt Thüringer Bratwürste im Brötchen oder Grillkäse
MehrBeliebige Anzahl von Signaturen
Beliebige Anzahl von Signaturen Algorithmus Signaturketten Sei Π = (Gen, Sign, Vrfy) ein Einwegsignaturverfahren. 1 Gen : (pk 1, sk 1 ) Gen(1 n ) 2 Sign : Signieren der Nachricht m i. Verwende gemerkten
MehrEl Gamal Verschlüsselung und seine Anwendungen
El Gamal Verschlüsselung und seine Anwendungen Andrés Guevara July 11, 2005 1 Kurze Einführung in die Kryptographie Situation: Absender will Empfänger eine Nachricht schicken. Einige Ziele der Kryptographie
Mehr3 Public-Key-Kryptosysteme
Stand: 05.11.2013 Vorlesung Grundlagen und Methoden der Kryptographie Dietzfelbinger 3 Public-Key-Kryptosysteme 3.1 Verschlüsselung von Nachrichten Wir betrachten ganz einfache Kommunikationsszenarien.
MehrMessage Authentication Codes. Konstruktion von MACs. Hash-then-Encrypt. Sicherheitsmodell
Message Authentication Codes Entspricht Hashfunktionen mit geheimen Schlüsseln. h : K M H, MAC = h k (m). h parametrisierte Hashfunktion. m Nachricht. k geheimer Schlüssel. Mit der Nachricht m wird h k
MehrSicherheit von PDF-Dateien
Sicherheit von PDF-Dateien 1 Berechtigungen/Nutzungsbeschränkungen zum Drucken Kopieren und Ändern von Inhalt bzw. des Dokumentes Auswählen von Text/Grafik Hinzufügen/Ändern von Anmerkungen und Formularfeldern
MehrStromchiffre. Algorithmus Stromchiffre
Stromchiffre Algorithmus Stromchiffre Sei G ein Pseudozufallsgenerator mit Expansionsfaktor l(n). Wir definieren Π s = (Gen, Enc, Dec) mit Sicherheitsparameter n für Nachrichten der Länge l(n). 1 Gen:
MehrEinführung in die asymmetrische Kryptographie
!"#$$% Einführung in die asymmetrische Kryptographie Dipl.-Inform. Mel Wahl Prof. Dr. Christoph Ruland Universität Siegen Institut für digitale Kommunikationssysteme Grundlagen Verschlüsselung Digitale
MehrRegine Schreier
Regine Schreier 20.04.2016 Kryptographie Verschlüsselungsverfahren Private-Key-Verfahren und Public-Key-Verfahren RSA-Verfahren Schlüsselerzeugung Verschlüsselung Entschlüsselung Digitale Signatur mit
MehrStromchiffre. Algorithmus Stromchiffre
Stromchiffre Algorithmus Stromchiffre Sei G ein Pseudozufallsgenerator mit Expansionsfaktor l(n). Wir definieren Π s = (Gen, Enc, Dec) mit Sicherheitsparameter n für Nachrichten der Länge l(n). 1 Gen:
MehrAdaption eines Conditional Access Systems für Eureka 147 DAB
Konzepte von Betriebssystem-Komponenten: Schwerpunkt Sicherheit (KVBK) Adaption eines Conditional Access Systems für Eureka 147 DAB (Diplomarbeitsvortrag) Andreas Weißel 1 Überblick Conditional Access
MehrVorlesung Sicherheit
Vorlesung Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 23.05.2016 1 / 32 Überblick 1 Symmetrische Authentifikation von Nachrichten Ziel Konstruktionen MACs
MehrWiederholung: Informationssicherheit Ziele
Wiederholung: Informationssicherheit Ziele Vertraulichkeit : Schutz der Information vor unberechtigtem Zugriff bei Speicherung, Verarbeitung und Übertragung Methode: Verschüsselung symmetrische Verfahren
MehrModul 2: Zusammenspiel der Verfahren: Authentisierung, Verschlüsselung und Schlüsselmanagement
Modul 2: Zusammenspiel der Verfahren: Authentisierung, und Schlüsselmanagement M. Leischner nsysteme II Folie 1 Gegenseitige, symmetrische, dynamische Authentisierung und Authentisierung rnd-c A RANDOM
Mehr$Id: ring.tex,v /05/03 15:13:26 hk Exp $
$Id: ring.tex,v 1.13 2012/05/03 15:13:26 hk Exp $ 3 Ringe 3.1 Der Ring Z m In der letzten Sitzung hatten wir die sogenannten Ringe eingeführt, dies waren Mengen A versehen mit einer Addition + und einer
MehrKryptographie. Nachricht
Kryptographie Kryptographie Sender Nachricht Angreifer Empfänger Ziele: Vertraulichkeit Angreifer kann die Nachricht nicht lesen (Flüstern). Integrität Angreifer kann die Nachricht nicht ändern ohne dass
MehrAufgabe der Kryptografie
Aufgabe der Kryptografie Eve möchte die Unterhaltung mithören und/oder ausgetauschte Informationen ändern. Alice & Bob kommunzieren über einen unsicheren Kanal. Alice & Bob nutzen Verschlüsselung und digitale
MehrHomomorphe Verschlüsselung
Homomorphe Verschlüsselung Definition Homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : G G für Gruppen G, G. Π heißt homomorph, falls Enc(m 1 ) G Enc(m 2 ) eine gültige Verschlüsselung
MehrInstitut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Klausur Hinweise
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Klausur 22.07.2014 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 06.05.2013 1 / 25 Überblick 1 Hashfunktionen Erinnerung Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel:
MehrPublic Key Kryptographie
4. Dezember 2007 Outline 1 Einführung 2 3 4 Einführung 1976 Whitefield Diffie und Martin Hellman 2 Schlüsselprinzip Asymmetrische Verschlüsselungsverfahren public Key private Key Anwendung E-Mail PGP openpgp
MehrSystemsicherheit 8: Das Internet und Public-Key-Infratrukturen
Systemsicherheit 8: Das Internet und Public-Key-Infratrukturen Das TCP/IP-Schichtenmodell Das TCP/IP-Schichtenmodell (2) Modem Payload Payload Payload Payload http http http http TCP TCP TCP IP IP IP PPP
MehrVortrag zum Proseminar: Kryptographie
Vortrag zum Proseminar: Kryptographie Thema: Oliver Czernik 6.12.2005 Historie Michael Rabin Professor für Computerwissenschaft Miller-Rabin-Primzahltest Januar 1979 April 1977: RSA Asymmetrisches Verschlüsselungssystem
MehrKryptologie. Bernd Borchert. Univ. Tübingen SS Vorlesung. Teil 10. Signaturen, Diffie-Hellman
Kryptologie Bernd Borchert Univ. Tübingen SS 2017 Vorlesung Teil 10 Signaturen, Diffie-Hellman Signatur Signatur s(m) einer Nachricht m Alice m, s(m) Bob K priv K pub K pub Signatur Signatur (Thema Integrity
MehrKryptografie Die Mathematik hinter den Geheimcodes
Kryptografie Die Mathematik hinter den Geheimcodes Rick Schumann www.math.tu-freiberg.de/~schumann Institut für Diskrete Mathematik und Algebra, TU Bergakademie Freiberg Akademische Woche Sankt Afra /
MehrAsymmetrische. Verschlüsselungsverfahren. erarbeitet von: Emilia Winkler Christian-Weise-Gymnasium Zittau
Asymmetrische Verschlü erarbeitet von: Emilia Winkler Christian-Weise-Gymnasium Zittau Gliederung 1) Prinzip der asymmetrischen Verschlü 2) Vergleich mit den symmetrischen Verschlü (Vor- und Nachteile)
MehrCPA-Sicherheit ist ungenügend
CPA-Sicherheit ist ungenügend Definition CCA CCA (=Chosen Ciphertext Attack) ist ein Angriff, bei dem der Angreifer sich Chiffretext seiner Wahl entschlüsseln lassen kann. Beispiele in denen CPA nicht
MehrWiederholung: Informationssicherheit Ziele
Wiederholung: Informationssicherheit Ziele Vertraulichkeit: Schutz der Information vor unberechtigtem Zugriff bei Speicherung, Verarbeitung und Übertragung Integrität: Garantie der Korrektheit (unverändert,
MehrElliptic Curve Cryptography
Elliptic Curve Cryptography Institut für Informatik Humboldt-Universität zu Berlin 10. November 2013 ECC 1 Aufbau 1 Asymmetrische Verschlüsselung im Allgemeinen 2 Elliptische Kurven über den reellen Zahlen
MehrSystemsicherheit 4: Wireless LAN
Systemsicherheit 4: Wireless LAN Das TCP/IP-Schichtenmodell Anwendungsschicht (FTP, HTTP, SMTP, ) Transportschicht (TCP, UDP) Internetschicht (IP) Netzwerkschicht WLAN (z.b. Ethernet, TokenRing, ) Gliederung
MehrKryptographie - eine mathematische Einführung
Kryptographie - eine mathematische Einführung Rosa Freund 28. Dezember 2004 Überblick Grundlegende Fragestellungen Symmetrische Verschlüsselung: Blockchiffren, Hashfunktionen
MehrSicherheit von Merkle Signaturen
Sicherheit von Merkle Signaturen Algorithmus Angreifer A für die Einwegsignatur EINGABE: pk, Zugriff auf eine Anfrage an Orakel Sign sk ( ) 1 Berechne (pk (i), sk (i) ) Gen(1 n ) für i = 1,...,l. Wähle
Mehr9.5 Blockverschlüsselung
9.5 Blockverschlüsselung Verschlüsselung im Rechner: Stromverschlüsselung (stream cipher): kleine Klartexteinheiten (Bytes, Bits) werden polyalphabetisch verschlüsselt Blockverschlüsselung (block cipher):
MehrHashfunktionen und Kollisionen
Hashfunktionen und Kollisionen Definition Hashfunktion Eine Hashfunktion ist ein Paar (Gen, H) von pt Algorithmen mit 1 Gen: s Gen(1 n ). Gen ist probabilistisch. 2 H: H s berechnet Funktion {0, 1} {0,
MehrKryptograhie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik
Kryptograhie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik Übersicht Zwecke der Krytographie Techniken Symmetrische Verschlüsselung( One-time Pad,
MehrName:... Vorname:... Matrikel-Nr.:... Studienfach:...
Stefan Lucks Medien Bauhaus-Univ. Weimar Probeklausur Name:.............................. Vorname:........................... Matrikel-Nr.:....................... Studienfach:........................ Wichtige
MehrKryptographie und Komplexität
Kryptographie und Komplexität Einheit 4 Public Key Kryptographie mit RSA 1. Ver- und Entschlüsselung 2. Schlüsselerzeugung und Primzahltests 3. Angriffe auf das RSA Verfahren 4. Sicherheit von RSA Probleme
MehrPublic-Key Kryptographie mit dem RSA Schema. Torsten Büchner
Public-Key Kryptographie mit dem RSA Schema Torsten Büchner 7.12.2004 1.Einleitung 1. symmetrische-, asymmetrische Verschlüsselung 2. RSA als asymmetrisches Verfahren 2.Definition von Begriffen 1. Einwegfunktionen
MehrKurs 1866 Sicherheit im Internet
Fachbereich Informatik Lehrgebiet Technische Informatik II Kurs 1866 Sicherheit im Internet Lösungsvorschläge zur Hauptklausur im SS 2003 am 20.09.2003 Aufgabe 1 (7 Punkte) Warum sollen Passwörter auch
MehrVerteilte Kyroptographie
Verteilte Kyroptographie Klassische kryptographische Verfahren Kryptographische Hash-Funktionen Public-Key-Signaturen Verteilte Mechanismen Schwellwert-Signaturen Verteilt generierte Zufallszahlen Verteilte
MehrCodeMeter. Ihr Führerschein zum Kryptographie-Experten. Rüdiger Kügler Professional Services
CodeMeter Ihr Führerschein zum Kryptographie-Experten Rüdiger Kügler Professional Services ruediger.kuegler@wibu.com Alvaro Forero Security Expert Alvaro.Forero@wibu.com 04.09.2014 Ihr Führerschein zum
MehrWS 2009/10. Diskrete Strukturen
WS 2009/10 Diskrete Strukturen Prof. Dr. J. Esparza Lehrstuhl für Grundlagen der Softwarezuverlässigkeit und theoretische Informatik Fakultät für Informatik Technische Universität München http://www7.in.tum.de/um/courses/ds/ws0910
Mehr3: Zahlentheorie / Primzahlen
Stefan Lucks Diskrete Strukturen (WS 2009/10) 96 3: Zahlentheorie / Primzahlen 3: Zahlentheorie / Primzahlen Stefan Lucks Diskrete Strukturen (WS 2009/10) 97 Definition 37 (Teiler, Vielfache, Primzahlen,
Mehr11. Das RSA Verfahren
Chr.Nelius: Zahlentheorie (SoSe 2017) 53 11. Das RSA Verfahren Bei einer asymmetrischen Verschlüsselung lässt sich der Schlüssel zum Entschlüsseln nicht aus dem Schlüssel zum Verschlüsseln bestimmen und
MehrAlgorithmentheorie Randomisierung. Robert Elsässer
Algorithmentheorie 03 - Randomisierung Robert Elsässer Randomisierung Klassen von randomisierten Algorithmen Randomisierter Quicksort Randomisierter Primzahltest Kryptographie 2 1. Klassen von randomisierten
MehrSicherheit von ElGamal
Sicherheit von ElGamal Satz CPA-Sicherheit ElGamal ElGamal Π ist CPA-sicher unter der DDH-Annahme. Beweis: Sei A ein Angreifer auf ElGamal Π mit Erfolgsws ɛ(n) := Ws[PubK cpa A,Π (n) = 1]. Wir konstruieren
MehrNetzsicherheit 9: Das Internet und Public-Key-Infrastrukturen
Netzsicherheit 9: Das Internet und Public-Key-Infrastrukturen Das TCP/IP-Schichtenmodell Session 2 / 1 Das TCP/IP-Schichtenmodell (2) Modem Payload Payload Payload Payload http http http http TCP TCP TCP
MehrÜbungen zur Vorlesung Systemsicherheit
Übungen zur Vorlesung Systemsicherheit Asymmetrische Kryptographie Tilo Müller, Reinhard Tartler, Michael Gernoth Lehrstuhl Informatik 1 + 4 24. November 2010 c (Lehrstuhl Informatik 1 + 4) Übungen zur
MehrHardcore-Prädikat. Definition Hardcore-Prädikat. Ziel: Destilliere Komplexität des Invertierens auf ein Bit.
Hardcore-Prädikat Ziel: Destilliere Komplexität des Invertierens auf ein Bit. Definition Hardcore-Prädikat Sei Π f eine Einwegfunktion. Sei hc ein deterministischer pt Alg mit Ausgabe eines Bits hc(x)
MehrTeil 5: Chipkarten. Prof. Dr. Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit
Systemsicherheit Teil 5: Prof. Dr. Inhalt Einführung : Vortrag Joachim Posegga Hardwaresicherheit: Markus Kuhn Timing Attacks: Paul Kocher Differential Power Analysis: Paul Kocher Differential Fault Analysis:
MehrWiederholung: Informationssicherheit Ziele
Wiederholung: Informationssicherheit Ziele Vertraulichkeit: Schutz der Information vor unberechtigtem Zugriff bei Speicherung, Verarbeitung und Übertragung Verschlüsselungsverfahren Integrität: Garantie
Mehr6.2 Asymmetrische Verschlüsselung
6.2 Asymmetrische Verschlüsselung (asymmetric encryption, public-key encryption) Prinzip (Diffie, Hellman, Merkle 1976-78): Statt eines Schlüssels K gibt es ein Schlüsselpaar K E, K D zum Verschlüsseln
Mehr(a, b)-bäume / 1. Datenmenge ist so groß, dass sie auf der Festplatte abgespeichert werden muss.
(a, b)-bäume / 1. Szenario: Datenmenge ist so groß, dass sie auf der Festplatte abgespeichert werden muss. Konsequenz: Kommunikation zwischen Hauptspeicher und Festplatte - geschieht nicht Byte für Byte,
MehrUnterhalten Sie sich leise mit Ihrem Nachbarn über ein aktuelles Thema. Dauer ca. 2 Minuten
Versuch: Eigenschaften einer Unterhaltung Instant Messaging Unterhalten Sie sich leise mit Ihrem Nachbarn über ein aktuelles Thema. Dauer ca. 2 Minuten welche Rollen gibt es in einem IM-System? Analysieren
MehrEINIGE GRUNDLAGEN DER KRYPTOGRAPHIE
EINIGE GRUNDLAGEN DER KRYPTOGRAPHIE Steffen Reith reith@thi.uni-hannover.de 22. April 2005 Download: http://www.thi.uni-hannover.de/lehre/ss05/kry/folien/einleitung.pdf WAS IST KRYPTOGRAPHIE? Kryptographie
MehrAlgorithmen und Datenstrukturen
Algorithmen und Datenstrukturen Prof. Martin Lercher Institut für Informatik Heinrich-Heine-Universität Düsseldorf Teil Hash-Verfahren Version vom: 18. November 2016 1 / 28 Vorlesung 9 18. November 2016
MehrKopieren / Klonen mit dem TS601 - Benutzer Anleitung Deutsch
Kopieren / Klonen mit dem TS601 - Benutzer Anleitung Deutsch Stand: 20150821 Video über das Klonen / Kopieren finden Sie auch auf unserer Homepage unter www.maxsensor.de Inhaltsverzeichnis: Geräte-Beschreibung...
MehrRSA Verfahren. Kapitel 7 p. 103
RSA Verfahren RSA benannt nach den Erfindern Ron Rivest, Adi Shamir und Leonard Adleman war das erste Public-Key Verschlüsselungsverfahren. Sicherheit hängt eng mit der Schwierigkeit zusammen, große Zahlen
Mehr9 Schlüsseleinigung, Schlüsselaustausch
9 Schlüsseleinigung, Schlüsselaustausch Ziel: Sicherer Austausch von Schlüsseln über einen unsicheren Kanal initiale Schlüsseleinigung für erste sichere Kommunikation Schlüsselerneuerung für weitere Kommunikation
MehrN. Sicherheit. => Literatur: Tanenbaum & van Steen: Verteilte Systeme.
N. Sicherheit => Literatur: Tanenbaum & van Steen: Verteilte Systeme. N.1. Begriffliches - Security vs. Safety N.1.1 Safety : Umgangssprachlich: z.b. Sicherheit im Straßenverkehr. Ausfallsicherheit und
MehrPublic Key Kryptographie
3. Juni 2006 1 Algorithmen für Langzahlen 1 RSA 1 Das Rabin-Kryptosystem 1 Diskrete Logarithmen Grundlagen der PK Kryptographie Bisher: Ein Schlüssel für Sender und Empfänger ( Secret-Key oder symmetrische
MehrInstitut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Klausur Hinweise
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Klausur 22.07.2014 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen
MehrBetriebssysteme und Sicherheit
Betriebssysteme und Sicherheit Asymmetrische Kryptographie WS 2012/2012 Dr.-Ing. Elke Franz Elke.Franz@tu-dresden.de 1 Überblick 1 Prinzip asymmetrischer (Konzelations-)Systeme 2 Mathematische Grundlagen
MehrInformatik II, SS 2016
Informatik II - SS 2016 (Algorithmen & Datenstrukturen) Vorlesung 10 (27.5.2016) Binäre Suchbäume II Algorithmen und Komplexität Zusätzliche Dictionary Operationen Dictionary: Zusätzliche mögliche Operationen:
Mehr13. Woche: NP-Vollständigkeit Satz von Cook-Levin Anwendungen in der Kryptographie
13 Woche: NP-Vollständigkeit Satz von Cook-Levin Anwendungen in der Kryptographie 13 Woche: NP-Vollständigkeit, Satz von Cook-Levin, Anwendungen 276/ 333 N P-Vollständigkeit Ḋefinition NP-vollständig Sei
Mehr13. Hashing. AVL-Bäume: Frage: Suche, Minimum, Maximum, Nachfolger in O(log n) Einfügen, Löschen in O(log n)
AVL-Bäume: Ausgabe aller Elemente in O(n) Suche, Minimum, Maximum, Nachfolger in O(log n) Einfügen, Löschen in O(log n) Frage: Kann man Einfügen, Löschen und Suchen in O(1) Zeit? 1 Hashing einfache Methode
MehrKap. 2: Fail-Stop Unterschriften
Stefan Lucks 2: Fail-Stop Unterschriften 17 Digital Unterschreiben und Bezahlen Kap. 2: Fail-Stop Unterschriften Digitale Unterschriften (Synomym: Digitale Signaturen ): Fälschen mutmaßlich hart (RSA-Wurzeln,
MehrKryptographische Protokolle
Kryptographische Protokolle Lerneinheit 4: Schlüsselvereinbarung Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen Sommersemester 2017 8.5.2017 Einleitung Einleitung In dieser Lerneinheit
MehrMitschrift Vorlesung Einführung in die Kryptographie vom 18. Januar 2011
Mitschrift Vorlesung Einführung in die Kryptographie vom 18. Januar 2011 Dominic Scheurer 6. Februar 2012 Inhaltsverzeichnis 30 Digitale Signaturen (cont'd) - One-Time-Signaturen (OTS) 1 31 Public-Key-Verschlüsselung
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 08.05.2017 1 / 32 Überblick 1 Blockchiffren Erinnerung Varianten von DES Beispiel: AES Angriffe auf Blockchiffren 2 Formalisierung von Sicherheit (symmetrischer
MehrInhaltsübersicht. Geschichte von Elektronischen Wahlen Erwartete Eigenschaften von Protokollen. Merritt Election Protokoll
Inhaltsübersicht Geschichte von Elektronischen Wahlen Erwartete Eigenschaften von Protokollen Merritt Election Protokoll Ein fehlertolerantes Protokoll Für ein Wahlzentrum Für mehrere Wahlzentren von Wählern
MehrSicherheit von hybrider Verschlüsselung
Sicherheit von hybrider Verschlüsselung Satz Sicherheit hybrider Verschlüsselung Sei Π ein CPA-sicheres PK-Verschlüsselungsverfahren und Π ein KPA-sicheres SK-Verschlüsselungsverfahren. Dann ist das hybride
MehrGrundbegriffe der Informatik Aufgabenblatt 5
Matr.nr.: Nachname: Vorname: Grundbegriffe der Informatik Aufgabenblatt 5 Tutorium: Nr. Name des Tutors: Ausgabe: 25. November 2015 Abgabe: 4. Dezember 2015, 12:30 Uhr im GBI-Briefkasten im Untergeschoss
MehrDigitale Signaturen. Einmalsignaturen Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Einmalsignaturen Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-11-04 B. Kaidel Digitale Signaturen: Einmalsignaturen KIT Die Forschungsuniversität
MehrKryptografische Algorithmen
Kryptografische Algorithmen Lerneinheit 5: Weitere symmetrische Kryptosysteme Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen Wintersemester 2015/2016 21.9.2015 Einleitung Einleitung Diese
MehrIT-Security. Teil 15: Zufall
IT-Security Teil 15: Zufall 09.05.17 1 Literatur [15-1] http://de.wikipedia.org/wiki/kryptographisch_sicherer_zufallszahlen generator [15-2] https://gnupg.org/documentation/manuals/gcrypt/fips-prng- Description.html
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 02.06.2014 1 / 34 Überblick 1 Einschub: Seitenkanalangriffe Demonstration Simple Power Attacks (SPAs) (Weitere) Beispiele für Seitenkanäle Gegenmaßnahmen gegen
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 23.05.2013 1 / 26 Überblick 1 Einschub: Seitenkanalangriffe Demonstration Simple Power Attacks (SPAs) (Weitere) Beispiele für Seitenkanäle Gegenmaßnahmen gegen
MehrSysteme II. Christian Schindelhauer Sommersemester Vorlesung
Systeme II Christian Schindelhauer Sommersemester 2006 20. Vorlesung 13.07.2006 schindel@informatik.uni-freiburg.de 1 Sicherheit in Rechnernetzwerken Spielt eine Rolle in den Schichten Bitübertragungsschicht
MehrRSA Full Domain Hash (RSA-FDH) Signaturen
RSA Full Domain Hash (RSA-FDH) Signaturen Signatur RSA-FDH Sei H : {0, 1} Z N ein Random-Oracle. 1 Gen: (N, e, d) GenRSA(1 n ) mit pk = (N, e) und sk = (N, d). 2 Sign: Für eine Nachricht m {0, 1} berechne
MehrBemerkungen. Orientierung. Digitale Unterschriften. Angriffe und Sicherheitsmodelle
Orientierung Haben bisher im Public-Key Bereich nur Verschlüsselung betrachtet. Haben dafür geeignete mathematische Strukturen und ihre Eigenschaften diskutiert. RSA, Rabin: Restklassenringe modulo n,
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Vorlesung 4 Alexander Koch (Vertretung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-11-10 Alexander Koch Asymmetrische Verschlüsselungsverfahren
MehrBeweisbar sichere Verschlüsselung
Beweisbar sichere Verschlüsselung ITS-Wahlpflichtvorlesung Dr. Bodo Möller Ruhr-Universität Bochum Horst-Görtz-Institut für IT-Sicherheit Lehrstuhl für Kommunikationssicherheit bmoeller@crypto.rub.de 11
MehrMerkle-Damgard Transformation
Merkle-Damgard Transformation Ziel: Konstruiere H : {0, 1} {0, 1} l aus h : {0, 1} 2l {0, 1} l. Algorithmus Merkle-Damgard Konstruktion Sei (Gen, h) eine kollisionsresistente Hashfunktion mit h : {0, 1}
Mehr6.3 Authentizität. Geheimhaltung: nur der Empfänger kann die Nachricht lesen. die Nachricht erreicht den Empfänger so, wie sie abgeschickt wurde
6.3 Authentizität Zur Erinnerung: Geheimhaltung: nur der Empfänger kann die Nachricht lesen Integrität: die Nachricht erreicht den Empfänger so, wie sie abgeschickt wurde Authentizität: es ist sichergestellt,
MehrKleiner Fermatscher Satz, Chinesischer Restsatz, Eulersche '-Funktion, RSA
Kleiner Fermatscher Satz, Chinesischer Restsatz, Eulersche '-Funktion, RSA Manfred Gruber http://www.lrz-muenchen.de/~gruber SS 2009, KW 15 Kleiner Fermatscher Satz Satz 1. Sei p prim und a 2 Z p. Dann
Mehr