|
|
|
- Barbara Dieter
- vor 6 Jahren
- Abrufe
Transkript
1 Übung zur Vorlesung Sicherheit Übungsblatt 4 Björn Kaidel bjoern.kaidel@kit.edu Room: SICHERHEIT Bitte gleich einloggen! 1 / 62
2 Feedback: Kummerkasten/Feedback Bitte mehr Zeit für Übungsaufgaben verwenden und diese detaillierter erklären. 2 / 62
3 Feedback: Kummerkasten/Feedback Bitte mehr Zeit für Übungsaufgaben verwenden und diese detaillierter erklären. Room: SICHERHEIT 2 / 62
4 Feedback: Kummerkasten/Feedback Eure Empfehlung: TLS 1.2. Euer Server kann aber nur TLS 1.0?! Update ist unterwegs (...) 3 / 62
5 Sicherheit Übungsblatt 4 Aufgabe 1 ElGamal-Verschlüsselungsverfahren Gruppe G := Z 59 Erzeuger g := 27 g erzeugt Untergruppe (UG) der Quadrate, nicht G! 4 / 62
6 Sicherheit Übungsblatt 4 Aufgabe 1 ElGamal-Verschlüsselungsverfahren Gruppe G := Z 59 Erzeuger g := 27 g erzeugt Untergruppe (UG) der Quadrate, nicht G! Gruppenoperation: Multiplikation modulo 59 Z ist Einheitengruppe von Z d.h. alle invertierbaren Elemente hier: Z = Z \ {0}, da 59 prim {x 2 mod 59: x Z 59} ist UG der Quadrate und hat Ordnung 29 4 / 62
7 Sicherheit Übungsblatt 4 Aufgabe 1 Tricks zum Rechnen: (i) Finden von Äquivalenzklassen, z.b.: 51 2 mod 59 5 / 62
8 Sicherheit Übungsblatt 4 Aufgabe 1 Tricks zum Rechnen: (i) Finden von Äquivalenzklassen, z.b.: 51 2 mod 59 = (59 8) 2 mod 59 5 / 62
9 Sicherheit Übungsblatt 4 Aufgabe 1 Tricks zum Rechnen: (i) Finden von Äquivalenzklassen, z.b.: 51 2 mod 59 = (59 8) 2 mod 59 = ( 8) 2 mod 59 5 / 62
10 Sicherheit Übungsblatt 4 Aufgabe 1 Tricks zum Rechnen: (i) Finden von Äquivalenzklassen, z.b.: 51 2 mod 59 = (59 8) 2 mod 59 = ( 8) 2 mod 59 = 64 mod 59 5 / 62
11 Sicherheit Übungsblatt 4 Aufgabe 1 Tricks zum Rechnen: (i) Finden von Äquivalenzklassen, z.b.: 51 2 mod 59 = (59 8) 2 mod 59 = ( 8) 2 mod 59 = 64 mod 59 = 5 mod 59 5 / 62
12 Sicherheit Übungsblatt 4 Aufgabe 1 Tricks zum Rechnen: (ii) Reduzierung des Exponenten modulo der Gruppenordnung, z.b.: 3 60 mod 59 = 3 60 mod 58 mod 59 6 / 62
13 Sicherheit Übungsblatt 4 Aufgabe 1 Tricks zum Rechnen: (ii) Reduzierung des Exponenten modulo der Gruppenordnung, z.b.: 3 60 mod 59 = 3 60 mod 58 mod 59 Hintergrund: Satz von Euler Ordnung von G ist ϕ(59) = 58. Für Primzahlen p: ϕ(p) = p 1. Ordnung der UG der Quadrate ist / 62
14 Sicherheit Übungsblatt 4 Aufgabe 1 Tricks zum Rechnen: (ii) Reduzierung des Exponenten modulo der Gruppenordnung, z.b.: 3 60 mod 59 = 3 60 mod 58 mod 59 = 3 2 mod 59 = 9 mod 59 Hintergrund: Satz von Euler Ordnung von G ist ϕ(59) = 58. Für Primzahlen p: ϕ(p) = p 1. Ordnung der UG der Quadrate ist / 62
15 Sicherheit Übungsblatt 4 Aufgabe 1 (a) Berechnen Sie zum geheimen Schlüssel sk := 20 den öentlichen Schlüssel pk. 7 / 62
16 Sicherheit Übungsblatt 4 Aufgabe 1 (a) Berechnen Sie zum geheimen Schlüssel sk := 20 den öentlichen Schlüssel pk. pk = g sk mod N = mod 59 7 / 62
17 Sicherheit Übungsblatt 4 Aufgabe 1 (a) Berechnen Sie zum geheimen Schlüssel sk := 20 den öentlichen Schlüssel pk. pk = g sk mod N = mod 59 = (3 3 ) 20 mod 59 7 / 62
18 Sicherheit Übungsblatt 4 Aufgabe 1 (a) Berechnen Sie zum geheimen Schlüssel sk := 20 den öentlichen Schlüssel pk. pk = g sk mod N = mod 59 = (3 3 ) 20 mod 59 = 3 60 mod 58 mod 59 7 / 62
19 Sicherheit Übungsblatt 4 Aufgabe 1 (a) Berechnen Sie zum geheimen Schlüssel sk := 20 den öentlichen Schlüssel pk. pk = g sk mod N = mod 59 = (3 3 ) 20 mod 59 = 3 60 mod 58 mod 59 = 3 2 mod 59 = 9 mod 59 7 / 62
20 Sicherheit Übungsblatt 4 Aufgabe 1 (b) Verschlüsseln Sie m := 22 unter dem in (a) berechneten Schlüssel (mit dem Zufall r := 12). Erinnerung: Enc(pk, M) = (g r, pk r M) C 1 = g r mod N = mod 59 8 / 62
21 Sicherheit Übungsblatt 4 Aufgabe 1 (b) Verschlüsseln Sie m := 22 unter dem in (a) berechneten Schlüssel (mit dem Zufall r := 12). Erinnerung: Enc(pk, M) = (g r, pk r M) C 1 = g r mod N = mod 59 = 3 36 mod 59 8 / 62
22 Sicherheit Übungsblatt 4 Aufgabe 1 (b) Verschlüsseln Sie m := 22 unter dem in (a) berechneten Schlüssel (mit dem Zufall r := 12). Erinnerung: Enc(pk, M) = (g r, pk r M) C 1 = g r mod N = mod 59 = 3 36 mod 59 ( ) = mod 29 mod 59 (*): 3 ist ein Quadrat! 11 2 mod 59 = 3 mod 59 8 / 62
23 Sicherheit Übungsblatt 4 Aufgabe 1 (b) Verschlüsseln Sie m := 22 unter dem in (a) berechneten Schlüssel (mit dem Zufall r := 12). Erinnerung: Enc(pk, M) = (g r, pk r M) C 1 = g r mod N = mod 59 = 3 36 mod 59 ( ) = mod 29 mod 59 = 3 7 mod 59 (*): 3 ist ein Quadrat! 11 2 mod 59 = 3 mod 59 8 / 62
24 Sicherheit Übungsblatt 4 Aufgabe 1 (b) Verschlüsseln Sie m := 22 unter dem in (a) berechneten Schlüssel (mit dem Zufall r := 12). Erinnerung: Enc(pk, M) = (g r, pk r M) C 1 = g r mod N = mod 59 = 3 36 mod 59 ( ) = mod 29 mod 59 = 3 7 mod 59 = mod 59 (*): 3 ist ein Quadrat! 11 2 mod 59 = 3 mod 59 8 / 62
25 Sicherheit Übungsblatt 4 Aufgabe 1 (b) Verschlüsseln Sie m := 22 unter dem in (a) berechneten Schlüssel (mit dem Zufall r := 12). Erinnerung: Enc(pk, M) = (g r, pk r M) C 1 = g r mod N = mod 59 = 3 36 mod 59 ( ) = mod 29 mod 59 = 3 7 mod 59 = mod 59 = mod 59 =... (*): 3 ist ein Quadrat! 11 2 mod 59 = 3 mod 59 8 / 62
26 Sicherheit Übungsblatt 4 Aufgabe 1 (b) Verschlüsseln Sie m := 22 unter dem in (a) berechneten Schlüssel (mit dem Zufall r := 12). C 1 =... = mod 59 9 / 62
27 Sicherheit Übungsblatt 4 Aufgabe 1 (b) Verschlüsseln Sie m := 22 unter dem in (a) berechneten Schlüssel (mit dem Zufall r := 12). C 1 =... = mod 59 = mod 59 9 / 62
28 Sicherheit Übungsblatt 4 Aufgabe 1 (b) Verschlüsseln Sie m := 22 unter dem in (a) berechneten Schlüssel (mit dem Zufall r := 12). C 1 =... = mod 59 = mod 59 = mod 59 9 / 62
29 Sicherheit Übungsblatt 4 Aufgabe 1 (b) Verschlüsseln Sie m := 22 unter dem in (a) berechneten Schlüssel (mit dem Zufall r := 12). C 1 =... = mod 59 = mod 59 = mod 59 = 7 9 mod 59 9 / 62
30 Sicherheit Übungsblatt 4 Aufgabe 1 (b) Verschlüsseln Sie m := 22 unter dem in (a) berechneten Schlüssel (mit dem Zufall r := 12). C 1 =... = mod 59 = mod 59 = mod 59 = 7 9 mod 59 = 63 mod 59 9 / 62
31 Sicherheit Übungsblatt 4 Aufgabe 1 (b) Verschlüsseln Sie m := 22 unter dem in (a) berechneten Schlüssel (mit dem Zufall r := 12). C 1 =... = mod 59 = mod 59 = mod 59 = 7 9 mod 59 = 63 mod 59 = 4 mod 59 9 / 62
32 Sicherheit Übungsblatt 4 Aufgabe 1 (b) Verschlüsseln Sie m := 22 unter dem in (a) berechneten Schlüssel (mit dem Zufall r := 12). C 2 = pk r m mod N = mod / 62
33 Sicherheit Übungsblatt 4 Aufgabe 1 (b) Verschlüsseln Sie m := 22 unter dem in (a) berechneten Schlüssel (mit dem Zufall r := 12). C 2 = pk r m mod N = mod 59 = 9 12 ( ) mod / 62
34 Sicherheit Übungsblatt 4 Aufgabe 1 (b) Verschlüsseln Sie m := 22 unter dem in (a) berechneten Schlüssel (mit dem Zufall r := 12). C 2 = pk r m mod N = mod 59 = 9 12 ( ) mod 59 = mod 59 = mod / 62
35 Sicherheit Übungsblatt 4 Aufgabe 1 (b) Verschlüsseln Sie m := 22 unter dem in (a) berechneten Schlüssel (mit dem Zufall r := 12). C 2 = pk r m mod N = mod 59 = 9 12 ( ) mod 59 = mod 59 = mod 59 = 3 28 mod 59 = mod 29 mod 59 (3 ist Quadrat!) = 3 1 mod / 62
36 Sicherheit Übungsblatt 4 Aufgabe 1 (b) Verschlüsseln Sie m := 22 unter dem in (a) berechneten Schlüssel (mit dem Zufall r := 12). C 2 = pk r m mod N = mod 59 = 9 12 ( ) mod 59 = mod 59 = mod 59 = 3 28 mod 59 = mod 29 mod 59 (3 ist Quadrat!) = 3 1 mod 29 = 20 mod 59 (60 mod 59 = 1) 10 / 62
37 Sicherheit Übungsblatt 4 Aufgabe 1 (b) Verschlüsseln Sie m := 22 unter dem in (a) berechneten Schlüssel (mit dem Zufall r := 12). Insgesamt ergibt sich: C = (C 1, C 2 ) = (4, 20) 11 / 62
38 Sicherheit Übungsblatt 4 Aufgabe 1 (c) Entschlüsseln Sie C := (51, 8) unter dem Schlüssel aus (a). Erinnerung: Dec(sk, (C 1, C 2 )) = C 2 C sk 1 Wir berechnen zuerst: C sk 1 = mod / 62
39 Sicherheit Übungsblatt 4 Aufgabe 1 (c) Entschlüsseln Sie C := (51, 8) unter dem Schlüssel aus (a). Erinnerung: Dec(sk, (C 1, C 2 )) = C 2 C sk 1 Wir berechnen zuerst: C sk 1 = mod 59 = ( 8) 20 mod / 62
40 Sicherheit Übungsblatt 4 Aufgabe 1 (c) Entschlüsseln Sie C := (51, 8) unter dem Schlüssel aus (a). Erinnerung: Dec(sk, (C 1, C 2 )) = C 2 C sk 1 Wir berechnen zuerst: C sk 1 = mod 59 = ( 8) 20 mod 59 = ( 2) 60 mod / 62
41 Sicherheit Übungsblatt 4 Aufgabe 1 (c) Entschlüsseln Sie C := (51, 8) unter dem Schlüssel aus (a). Erinnerung: Dec(sk, (C 1, C 2 )) = C 2 C sk 1 Wir berechnen zuerst: C sk 1 = mod 59 = ( 8) 20 mod 59 = ( 2) 60 mod 59 = ( 2) 2 mod 59 = 4 mod / 62
42 Sicherheit Übungsblatt 4 Aufgabe 1 (c) Entschlüsseln Sie C := (51, 8) unter dem Schlüssel aus (a). Erinnerung: Dec(sk, (C 1, C 2 )) = C 2 C sk 1 Wir berechnen zuerst: C sk 1 = mod 59 = ( 8) 20 mod 59 = ( 2) 60 mod 59 = ( 2) 2 mod 59 = 4 mod 59 Invertieren ergibt: C sk 1 = 4 1 mod 59 = 15 mod 59 (Berechnung durch erw. euklid. Alg. oder Scharfes Hinsehen) 12 / 62
43 Sicherheit Übungsblatt 4 Aufgabe 1 (c) Entschlüsseln Sie C := (51, 8) unter dem Schlüssel aus (a). C 2 C sk 1 = 8 15 mod 59 = 120 mod 59 = 2 mod / 62
44 Sicherheit Übungsblatt 4 Aufgabe 1 Frage: Warum eigentlich UG der Quadrate? 14 / 62
45 Sicherheit Übungsblatt 4 Aufgabe 1 Frage: Warum eigentlich UG der Quadrate? Antwort: ElGamal in Z p nicht sicher, d.h. es existiert ein ezienter Angri Angri verwendet Legendre-Symbol Legendre-Symbol entscheidet, ob geg. x ein quad. Rest mod p Angri funktioniert in der UG der quad. Reste nicht mehr In der UG kein anderer Angri bekannt (auÿer ineziente DLog-Algorithmen etc.) 14 / 62
46 Sicherheit Übungsblatt 4 Aufgabe 1 Fazit: ElGamal ist praxistauglich (und IND-CPA-sicher unter der Die-Hellman Annahme) Wichtiger, grundlegender Baustein für komplexere Krypto Rechnen üben Rechentricks auch für Algorithmenentwicklung nützlich. 15 / 62
47 Wdh.: EUF-CMA Herausforderer C führt (pk, sk) Gen(1 k ) aus. C stellt Sign(sk, )-Orakel für A bereit. C A Orakel pk M σ = Sign(sk, M i ) M, σ (Poly. viele Anfragen erlaubt!) Ver(pk, M, σ ) = 1? M / {M 1,..., M n }? 16 / 62
48 Sicherheit Übungsblatt 4 Aufgabe 2 Es sei Σ = (Gen, Sign, Ver) ein EUF-CMA-sicheres Signaturverfahren. Wir konstruieren daraus zwei neue Verfahren. 17 / 62
49 Socrative: Übungsblatt 4 Aufgabe 2 Room: SICHERHEIT Σ = (Gen, Sign, Ver) sei ein EUF-CMA-sicheres Signaturverfahren. 18 / 62
50 Sicherheit Übungsblatt 4 Aufgabe 2 (1) Betrachte Σ mit: Gen (1 k ) := Gen(1 k ), Sign (sk, M) := (Sign(sk, M r), r) = (σ 1, σ 2 ) (r {0, 1} M ), Ver (pk, M, σ) := Ver(pk, M σ 2, σ 1 ). (a) Korrektheit: 19 / 62
51 Sicherheit Übungsblatt 4 Aufgabe 2 (1) Betrachte Σ mit: Gen (1 k ) := Gen(1 k ), Sign (sk, M) := (Sign(sk, M r), r) = (σ 1, σ 2 ) (r {0, 1} M ), Ver (pk, M, σ) := Ver(pk, M σ 2, σ 1 ). (a) Korrektheit: Ver (pk, M, σ) = Ver(pk, M r, σ 1 ) = Ver(pk, M r, Sign(sk, M r)) = 1. (folgt aus Korrektheit von Σ) 19 / 62
52 Sicherheit Übungsblatt 4 Aufgabe 2 (1) Betrachte Σ mit: Gen (1 k ) := Gen(1 k ), Sign (sk, M) := (Sign(sk, M r), r) = (σ 1, σ 2 ) (r {0, 1} M ), Ver (pk, M, σ) := Ver(pk, M σ 2, σ 1 ). (b) Zeigen Sie: Σ ist nicht EUF-CMA-sicher. 20 / 62
53 Sicherheit Übungsblatt 4 Aufgabe 2 (1) Betrachte Σ mit: Gen (1 k ) := Gen(1 k ), Sign (sk, M) := (Sign(sk, M r), r) = (σ 1, σ 2 ) (r {0, 1} M ), Ver (pk, M, σ) := Ver(pk, M σ 2, σ 1 ). (b) Zeigen Sie: Σ ist nicht EUF-CMA-sicher. A schickt bel. M 1 und erhält Signatur σ 1 = (σ 1, r 1 ).... wählt bel. M M setzt r = M M 1 r setzt σ = (σ 1, r ). 20 / 62
54 Sicherheit Übungsblatt 4 Aufgabe 2 (1) σ = (σ 1, r ) = (σ 1, M M 1 r 1 ) ist gültige Fälschung für M, denn: Ver (pk, M, σ ) = Ver (pk, M, (σ 1, r )) 21 / 62
55 Sicherheit Übungsblatt 4 Aufgabe 2 (1) σ = (σ 1, r ) = (σ 1, M M 1 r 1 ) ist gültige Fälschung für M, denn: Ver (pk, M, σ ) = Ver (pk, M, (σ 1, r )) = Ver(pk, M r, σ 1) 21 / 62
56 Sicherheit Übungsblatt 4 Aufgabe 2 (1) σ = (σ 1, r ) = (σ 1, M M 1 r 1 ) ist gültige Fälschung für M, denn: Ver (pk, M, σ ) = Ver (pk, M, (σ 1, r )) = Ver(pk, M r, σ 1) = Ver(pk, M (M M 1 r 1 ), σ 1) 21 / 62
57 Sicherheit Übungsblatt 4 Aufgabe 2 (1) σ = (σ 1, r ) = (σ 1, M M 1 r 1 ) ist gültige Fälschung für M, denn: Ver (pk, M, σ ) = Ver (pk, M, (σ 1, r )) = Ver(pk, M r, σ 1) = Ver(pk, M (M M 1 r 1 ), σ 1) = Ver(pk, M 1 r 1, σ 1) 21 / 62
58 Sicherheit Übungsblatt 4 Aufgabe 2 (1) σ = (σ 1, r ) = (σ 1, M M 1 r 1 ) ist gültige Fälschung für M, denn: Ver (pk, M, σ ) = Ver (pk, M, (σ 1, r )) = Ver(pk, M r, σ 1) = Ver(pk, M (M M 1 r 1 ), σ 1) = Ver(pk, M 1 r 1, σ 1) = Ver (pk, M 1, (σ 1, r 1 )) 21 / 62
59 Sicherheit Übungsblatt 4 Aufgabe 2 (1) σ = (σ 1, r ) = (σ 1, M M 1 r 1 ) ist gültige Fälschung für M, denn: Ver (pk, M, σ ) = Ver (pk, M, (σ 1, r )) = Ver(pk, M r, σ 1) = Ver(pk, M (M M 1 r 1 ), σ 1) = Ver(pk, M 1 r 1, σ 1) = Ver (pk, M 1, (σ 1, r 1 )) = Ver (pk, M 1, σ 1 ) = 1. Polynomielle Laufzeit, Erfolgswkt. ist 1 Σ nicht EUF-CMAsicher. 21 / 62
60 Sicherheit Übungsblatt 4 Aufgabe 2 (1) Anmerkung: Auch deterministische Signaturen können EUF-CMA-sicher sein! Indeterminismus also nicht notwendig anders als bei Verschlüsselungsverfahren! Nebenbemerkung: Determinismus bzw. Eindeutigkeit von Signaturen kann sogar vorteilhaft sein Sicherheitsbegri seuf-cma automatisch erfüllt, wenn EUF-CMA-sicher 22 / 62
61 Sicherheit Übungsblatt 4 Aufgabe 2 (2) Betrachte Σ mit: Gen (1 k ) := Gen(1 k ), Sign (sk, M) := Sign(sk, M) (M bitw. Inverse von M), Ver (pk, M, σ) = Ver(pk, M, σ) (a) Korrektheit: 23 / 62
62 Sicherheit Übungsblatt 4 Aufgabe 2 (2) Betrachte Σ mit: Gen (1 k ) := Gen(1 k ), Sign (sk, M) := Sign(sk, M) (M bitw. Inverse von M), Ver (pk, M, σ) = Ver(pk, M, σ) (a) Korrektheit: Ver (pk, M, σ) = Ver(pk, M, σ) = Ver(pk, M, Sign(sk, M)) = 1. (folgt aus Korrektheit von Σ) 23 / 62
63 Sicherheit Übungsblatt 4 Aufgabe 2 (2) Betrachte Σ mit: Gen (1 k ) := Gen(1 k ), Sign (sk, M) := Sign(sk, M) (M bitw. Inverse von M), Ver (pk, M, σ) = Ver(pk, M, σ) (b) Zeigen Sie: Σ ist EUF-CMA-sicher. 24 / 62
64 Sicherheit Übungsblatt 4 Aufgabe 2 (2) Betrachte Σ mit: Gen (1 k ) := Gen(1 k ), Sign (sk, M) := Sign(sk, M) (M bitw. Inverse von M), Ver (pk, M, σ) = Ver(pk, M, σ) (b) Zeigen Sie: Σ ist EUF-CMA-sicher. Widerspruchsbeweis/Reduktion: Annahme: Σ nicht EUF-CMA-sicher. D.h. es existiert PPT A mit nicht-vernachl. Erfolgswkt. Konstruiere Angreifer B gegen Σ mit nicht-vernachl. Erfolgswkt. Widerspruch zur EUF-CMA-Sicherheit von Σ. D.h. Σ ist EUF-CMA-sicher. 24 / 62
65 Sicherheit Übungsblatt 4 Aufgabe 2 (2) Simulation des Orakels: B hat Zugri auf Σ-Sign-Orakel. A braucht Zugri auf Σ -Sign -Orakel. B muss Σ -Sign -Orakel simulieren. Zur Erinnerung: Sign (sk, M) := Sign(sk, M) Sign(sk, )-Orakel B A 25 / 62
66 Sicherheit Übungsblatt 4 Aufgabe 2 (2) Simulation des Orakels: B hat Zugri auf Σ-Sign-Orakel. A braucht Zugri auf Σ -Sign -Orakel. B muss Σ -Sign -Orakel simulieren. Zur Erinnerung: Sign (sk, M) := Sign(sk, M) Sign(sk, )-Orakel B M A 25 / 62
67 Sicherheit Übungsblatt 4 Aufgabe 2 (2) Simulation des Orakels: B hat Zugri auf Σ-Sign-Orakel. A braucht Zugri auf Σ -Sign -Orakel. B muss Σ -Sign -Orakel simulieren. Zur Erinnerung: Sign (sk, M) := Sign(sk, M) Sign(sk, )-Orakel M B M A 25 / 62
68 σ = Sign(sk, M) σ Sicherheit Übungsblatt 4 Aufgabe 2 (2) Simulation des Orakels: B hat Zugri auf Σ-Sign-Orakel. A braucht Zugri auf Σ -Sign -Orakel. B muss Σ -Sign -Orakel simulieren. Zur Erinnerung: Sign (sk, M) := Sign(sk, M) Sign(sk, )-Orakel M B M A 25 / 62
69 Sicherheit Übungsblatt 4 Aufgabe 2 (2) Verwendung der Fälschung: A schickt Fälschung M, σ. C B M, σ A 26 / 62
70 Sicherheit Übungsblatt 4 Aufgabe 2 (2) Verwendung der Fälschung: A schickt Fälschung M, σ. C M, σ B M, σ A 26 / 62
71 Sicherheit Übungsblatt 4 Aufgabe 2 (2) Verwendung der Fälschung: A schickt Fälschung M, σ. C M, σ B M, σ A Ist M, σ eine gültige Fälschung für Σ so gilt: 1 = Ver (pk, M, σ ) = Ver(pk, M, σ ) Wenn M nie von A ans Orakel geschickt, so schickt B nie M an sein Orakel d.h. M ist frisch (Wichtig!) 26 / 62
72 Sicherheit Übungsblatt 4 Aufgabe 2 (2) Beweisende: B simuliert das EUF-CMA-Spiel für A perfekt. Gibt A eine gültige Fälschung aus, so auch B. B gewinnt A gewinnt. Also: Pr[B gewinnt] nicht vernachlässigbar. Widerspruch zur EUF-CMA-Sicherheit von Σ. Σ muss ebenfalls EUF-CMA-sicher sein. 27 / 62
73 Sicherheit Übungsblatt 4 Aufgabe 2 Fazit: Was kann EUF-CMA? Theoretischen Umgang mit Signaturen üben Transformationen wie diese im Signaturumfeld sehr wichtig! Generell werden Signaturen häug als Building Block verwendet. 28 / 62
74 Demo: Unsinnige Kollisionen Wir haben in der Übung schon viele Sicherheitseigenschaften gebrochen Kritik: IND-CPA, Kollisionsresistenz, EUF-CMA,... Beispiele konstruiert Unsinnige Brüche, praxisfern 29 / 62
75 Demo: Unsinnige Kollisionen Wir haben in der Übung schon viele Sicherheitseigenschaften gebrochen Kritik: IND-CPA, Kollisionsresistenz, EUF-CMA,... Beispiele konstruiert Unsinnige Brüche, praxisfern Jetzt: Bsp. aus der Praxis, das sinnlose Kollisionen verwendet :)... und auch zeigt, warum unsere starke Kollisionsresistenzdenition nicht zu stark ist. 29 / 62
76 Demo: PostScript Kollisionen Ziel: zwei unterschiedliche PostScript-Dateien mit gleichem MD5-Hash, aber sinnvollem Inhalt MD5: veraltete Hashfunktion, war früher Standard Gilt als gebrochen man kann aber nur zufällige Kollisionen ezient nden. Wichtig: Basiert auf Merkle-Damgård-Konstruktion 30 / 62
77 Demo: PostScript Kollisionen Ziel: zwei unterschiedliche PostScript-Dateien mit gleichem MD5-Hash, aber sinnvollem Inhalt MD5: veraltete Hashfunktion, war früher Standard Gilt als gebrochen man kann aber nur zufällige Kollisionen ezient nden. Wichtig: Basiert auf Merkle-Damgård-Konstruktion Demo 1: Zwei solche PostScript-Dateien 30 / 62
78 Demo Schritt 1: MD5 Kollisionen Wie geht das? 31 / 62
79 Demo Schritt 1: MD5 Kollisionen Wie geht das? Schritt 1: MD 5 Kollisionen berechnen Form der Kollision ist uns egal Dürfen also beliebig sein, z.b. irgendwelche Zeichenfolgen Wir können Kollisionen M 1 M 2 berechnen, sodass M1 = M 2 Mi = 2 MD5-Blockgröÿe (Technik dazu können wir hier nicht besprechen) 31 / 62
80 Demo Schritt 1: MD5 Kollisionen Wie geht das? Schritt 1: MD 5 Kollisionen berechnen Form der Kollision ist uns egal Dürfen also beliebig sein, z.b. irgendwelche Zeichenfolgen Wir können Kollisionen M 1 M 2 berechnen, sodass M1 = M 2 Mi = 2 MD5-Blockgröÿe (Technik dazu können wir hier nicht besprechen) Demo 2: MD5 Kollisionen berechnen 31 / 62
81 Demo Schritt 2: Post Script If/Else Schritt 2: Nutzen Eigenschaften von PostScript aus PostScript ist eine Art Programmiersprache für Dokumente und bietet eine If/Else-Abfrage 32 / 62
82 Demo Schritt 2: Post Script If/Else Schritt 2: Nutzen Eigenschaften von PostScript aus PostScript ist eine Art Programmiersprache für Dokumente und bietet eine If/Else-Abfrage Demo 3: PostScript If/Else 32 / 62
83 Demo Schritt 3: MD5-Zwischenwerte (1) MD5 basiert auf Merkle-Damgård-Konstruktion Wir können Zwischenwerte davon berechnen und Kollisionen beginnend ab den Zwischenwerten berechnen Kollisionen berechnen: MD5 benutzt Initialisierungsvektor IV ist in MD5 eigentlich fest & standardisiert Setzen Initialisierungsvektor auf berechnete Zwischenwerte und berechnen ab da Kollision (Technik sonst wie in Schritt 1) 33 / 62
84 Demo Schritt 3: MD5-Zwischenwerte (2) Wir benutzen das, um Kollisionen ab einem bestimmten Text (Header) zu berechnen. Headergröÿe = eine Blockgröÿe Keine Demo: Zwischenwerte für Header habe ich vorberechnet Im Prinzip MD5-Berechnung, wird nur vorzeitig abgebrochen 34 / 62
85 Demo Schritt 4: Length Extension Attack (1) Problem von MD-Konstruktion: Length Extension Gegeben H(M 1 ) & M 1, aber nicht M 1 : H(M 1 M 1 M 2 ) leicht berechenbar (für beliebige M 2 ) Wir können also quasi Text anhängen Achtung: Widerspricht nicht der Kollisionsresistenz 35 / 62
86 Demo Schritt 4: Length Extension Attack (1) Problem von MD-Konstruktion: Length Extension Gegeben H(M 1 ) & M 1, aber nicht M 1 : H(M 1 M 1 M 2 ) leicht berechenbar (für beliebige M 2 ) Wir können also quasi Text anhängen Achtung: Widerspricht nicht der Kollisionsresistenz Aber: Hängen wir an zwei Kollisionen der gleichen Länge den gleichen Text an, ist das auch eine Kollision. 35 / 62
87 Demo Schritt 4: Length Extension Attack (2) Noch einfacher: M 1, M 2 Kollision, uns bekannt, M 1 = M 2 M i durch Blockgröÿe teilbar M 3 beliebige Nachricht M 1 M 3 und M 2 M 3 sind ebenfalls Kollisionen (wir benden uns in dieser Situation) 36 / 62
88 Demo Schritt 4: Length Extension Attack (2) Noch einfacher: M 1, M 2 Kollision, uns bekannt, M 1 = M 2 M i durch Blockgröÿe teilbar M 3 beliebige Nachricht M 1 M 3 und M 2 M 3 sind ebenfalls Kollisionen (wir benden uns in dieser Situation) Demo 5: Einfache Length Extension mit selbstgewähltem Header 36 / 62
89 Demo Schritt 5: Finale Wir haben alles, was wir brauchen: 1. Irgendwelche Kollisionen (ab selbstgewähltem Header) 2. If/Else in PostScript Wir brauchen noch Kollisionen, die keine Klammern enhalten Sonst evtl. Syntax-Probleme Heuristisch: Kein Problem 3. Length Extension bzw. einfache Variante davon Das müssen wir nur noch zusammensetzen... Demo 5: Finale 37 / 62
90 Demo Noch mehr...? Noch mehr Spaÿ mit MD5-Kollisionen: Zertikate fälschen Extrahierbare Archive Programme MP3s / 62
91 Demo Noch mehr...? Noch mehr Spaÿ mit MD5-Kollisionen: Zertikate fälschen Extrahierbare Archive Programme MP3s und das alles ausgehend von scheinbar unbrauchbaren Kollisionen :) 38 / 62
92 Demo - Fazit MD5 nicht mehr verwenden, auch nicht als Prüfsumme! Unsere Def. von Kollisionsresistenz praxisrelevant Angrie, auch wenn auf den ersten Blick unsinnig, können gefährlich sein 39 / 62
93 Socrative-Frage: H(K M) als MAC Frage vom Anfang: Warum nicht H(K M) als MAC verwenden? 40 / 62
94 Socrative-Frage: H(K M) als MAC Frage vom Anfang: Warum nicht H(K M) als MAC verwenden? Antwort: Length Extension Attack Dadurch nicht EUF-CMA-sicher, in Praxis auch nicht sicher Schlüssellänge bekannt/standardisiert Nachrichtenlänge vorhersehbar/bekannt 40 / 62
95 Unterbrechung... Übungsevaluation Bitte nur die Übung evaluieren Textantworten am Hilfreichsten :) bitte schreibt dazu, auf wen (Alex, Björn oder beide) ihr euch bezieht Vorlesungsevaluation nächsten Montag (wir sind noch nicht am Ende der Übung :) ) 41 / 62
96 Socrative: Wahlverfahren & Co Room: SICHERHEIT App um Quizze durchzuführen Zugang durch Browser oder App Als Quizteilnehmer kein Account notwendig. 42 / 62
97 Sicherheit Übungsblatt 4 Aufgabe 4 Doktor Meta Aufgabe (Story siehe Blatt) Betrachte folgendes Wahlverfahren: Ja/Nein-Wahl n N Wähler (polynomiell im Sicherheitsparam.) G zyklische Gruppe Ordnung p von G ist prim, n < p g sei Erzeuger, e G das neutrale Element von G Es gibt eine Wahlautorität (Organisiert die Wahl) Verwendet ElGamal-Verschlüsselung 3 Phasen: Setup, Abstimmung, Auszählung 43 / 62
98 Sicherheit Übungsblatt 4 Aufgabe 4 Setup: Wahlautorität berechnet pk = (G, g, g x ) sk = (G, g, x) mit x Zp Wahlautorität gibt pk öentlich bekannt. (also im Prinzip nichts anderes als ElGamal-Schlüsselerzeugung) 44 / 62
99 Sicherheit Übungsblatt 4 Aufgabe 4 Abstimmung: Ja-Stimme: Verschlüssele g C := Enc(pk, g) = (g y, g xy g), y Z p Nein-Stimme: Verschlüssele eg C := Enc(pk, g) = (g y, g xy e G ), y Z p Schicke C an die Wahlautorität 45 / 62
100 Sicherheit Übungsblatt 4 Aufgabe 4 Auszählung: Wahlautorität hat Chirate C 1 = (C 1,1, C 1,2 ),..., C n = (C n,1, C n,2 ) Auszählung wie folgt: 1. Berechne C = (Π n i=1 C i,1, Π n i=1 C i,2) 2. Berechne Dec(sk, C) =: M 3. Berechne DLog i von M zur Basis g (d.h. g i = M) 4. Ergebnis: i Ja-Stimmen, n i Nein-Stimmen 46 / 62
101 Sicherheit Übungsblatt 4 Aufgabe 4 (1.) (1.) Zeigen Sie, dass das Wahlverfahren das korrekte Ergebnis berechnet, wenn sich alle Parteien an das Verfahren halten. 47 / 62
102 Sicherheit Übungsblatt 4 Aufgabe 4 (1.) Sei v N 0, v < n die Anzahl der Ja-Stimmen OBdA C 1,..., C v Chirate der Ja-Stimmen, C v+1,..., C n die der Nein-Stimmen Dann gilt: 1 < i v : C i = (C i,1, C i,2 ) = (g y i, g xy i g) (mit y i Z p ) v < i n : C i = (C i,1, C i,2 ) = (g y i, g xy i e G ) (mit y i Z p ) 48 / 62
103 Sicherheit Übungsblatt 4 Aufgabe 4 (1.) Im ersten Schritt wird C = ( n i=1 C i,1, n i=1 C i,2) berechnet: 49 / 62
104 Sicherheit Übungsblatt 4 Aufgabe 4 (1.) Im ersten Schritt wird C = ( n i=1 C i,1, n i=1 C i,2) berechnet: n C i,1 = i=1 n g y i = g y 1+ +y n, i=1 49 / 62
105 Sicherheit Übungsblatt 4 Aufgabe 4 (1.) Im ersten Schritt wird C = ( n i=1 C i,1, n i=1 C i,2) berechnet: n C i,1 = i=1 n C i,2 = i=1 n g y i = g y 1+ +y n, i=1 v g xy i g i=1 i=v+1 n g xy i e G = g x(y 1+ +y n) g v. 49 / 62
106 Sicherheit Übungsblatt 4 Aufgabe 4 (1.) Im ersten Schritt wird C = ( n i=1 C i,1, n i=1 C i,2) berechnet: n C i,1 = i=1 n C i,2 = i=1 n g y i = g y 1+ +y n, i=1 v g xy i g i=1 i=v+1 n g xy i e G = g x(y 1+ +y n) g v. C ist also Chirat von g v Somit Dec(sk, C) = g v =: M DLog g von M ist v = Anzahl Ja-Stimmen 49 / 62
107 Sicherheit Übungsblatt 4 Aufgabe 4 (2.) (2.) Wie kann der diskrete Logarithmus von M ezient berechnet werden, obwohl er in G schwierig zu berechnen sein muss? (weiterhin halten sich alle Parteien an das Verfahren) 50 / 62
108 Sicherheit Übungsblatt 4 Aufgabe 4 (2.) Anzahl Wähler n ist festgelegt... und polynomiell im Sicherheitsparameter! D.h. Brute-Force hier okay: Probiere für alle 0 i n Überprüfe, ob g i = M erfüllt Sobald erfüllt, gebe i aus i ist eindeutig und wird gefunden Laufzeit ist polynomiell, da n poly. im Sicherheitsparam. (daraus folgt: G = p exponentiell im Sicherheitsparam., damit DLog schwierig) 51 / 62
109 Sicherheit Übungsblatt 4 Aufgabe 4 (3.) (3.) Vorteil gegenüber trivialen Lösungen, z.b. Abstimmung per unverschlüsselter ? 52 / 62
110 Sicherheit Übungsblatt 4 Aufgabe 4 (3.) (3.) Vorteil gegenüber trivialen Lösungen, z.b. Abstimmung per unverschlüsselter ? Eigentlich nur die verschlüsselte Übertragung der Stimme... Schützt (in beschränktem Maÿe) das Wahlgeheimnis (mehr dazu später) 52 / 62
111 Sicherheit Übungsblatt 4 Aufgabe 4 (4.) (4.) Wie kann man das Wahlergebnis manipulieren? 53 / 62
112 Sicherheit Übungsblatt 4 Aufgabe 4 (4.) (4.) Wie kann man das Wahlergebnis manipulieren? Verfahren sichert weder Integrität noch Authentizität der gesendeten Stimmee Man-in-the-Middle-Angri möglich... Chirate abfangen, selbstgewählte Chirate senden; Chirate manipulieren (Homomorphie!) Unmögliche Stimmen senden: z.b. g 50 verschlüsseln = 50 Ja-Stimmen oder g 1 = -1 Ja-Stimme 53 / 62
113 Sicherheit Übungsblatt 4 Aufgabe 4 (5.) (5.) Nachteile des Verfahrens? Sehr viele / 62
114 Sicherheit Übungsblatt 4 Aufgabe 4 (5.) Manipulierbarkeit: Siehe vorherige Aufgabe 55 / 62
115 Sicherheit Übungsblatt 4 Aufgabe 4 (5.) Wahlgeheimnis: Verschlüsselung sichert Wahlgeheimnis gegenüber Dritten Wahlautorität kann aber jedes Chirat einzeln entschlüsseln und eindeutig den einzelnen Wählern zuordnen! Stimmen zwar nicht signiert o.ä., aber Wahlautorität kann sich einfach merken, wer was schickt Also: Stimmeneinsammlung muss irgendwie anonymisiert werden 56 / 62
116 Sicherheit Übungsblatt 4 Aufgabe 4 (5.) Erpressungsfreiheit: Grobe Def: Erpressung der Form Wähle Option X, sonst passiert Y soll nicht möglich sein. Hier nicht gegeben, z.b.: Wahlautorität kann Wahlgeheimnis brechen. Also: Wahlautorität kann überprüfen, wer für welche Option stimmt und dadurch Wähler erpressen. Erpressungsfreiheit ist nicht trivial! 57 / 62
117 Sicherheit Übungsblatt 4 Aufgabe 4 (5.) Nachvollziehbarkeit: Niemand kann nachvollziehen, ob die eigene Stimme tatsächlich gezählt wurde oder ob die Auszählung überhaupt korrekt ausgeführt wurde. Man möchte, dass das möglich ist Viele Verfahren geben Wähler eine Art Quittung Quittung ermöglicht Überprüfung Auch nicht einfach zu realisieren! Quittung evtl. problematisch bzgl. Erpressungsfreiheit / 62
118 Sicherheit Übungsblatt 4 Aufgabe 4 (5.) Ehrlicher Ablauf: Unehrliches Verhalten fällt nicht unbedingt auf bzw. wird nicht verhindert Insbesondere kleine Abweichungen werden kaum auallen Schicke g 1, g 2 etc. Wenn es auällt, dann erst zu spät (nach Auszählung) Mögliche (schlechte) Lösung hier: Wahlautorität entschlüsselt und überprüft alle Stimmen einzeln Aber: Problematisch bzgl. Wahlgeheimnis / 62
119 Sicherheit Übungsblatt 4 Aufgabe 4 Fazit: Wahlverfahren als Beispiel für komplexe Krypto-Protokolle Realisierung nicht trivial Wie immer: Wie deniert man überhaupt Sicherheit? Krypto. Verfahren (hier Verschlüsselung) nicht unbedingt so mächtig, wie man denkt Weitere Beispiele: Datenbankauslagerung, Cloud Computing, Mehrparteienberechnungen, Smart Meter / 62
120 Sicherheit Übungsblatt 4 Aufgabe 4 (6.) Bonusfrage: Warum muss der DLog schwierig sein, damit El- Gamal sicher sein kann? Schlüssel: pk = g x, sk = x Wäre Dlog einfach, könnte man also DLog von g x ziehen und würde den geheimen Schlüssel bekommen. 61 / 62
121 Sicherheit Übungsblatt 5 A1: RSA-Signaturen, DSA EUF-CMA Rechnen in Gruppen üben A2: Die-Hellman Schlüsselaustausch Rechnen in Gruppen üben A3: Schlüsselaustausch Formal betrachtet A4: Doktor Meta TLS bzw. CRIME Formal und Praktisch! Formal: IND-CPA Praktisch: CRIME (vereinfacht) implementieren 62 / 62
https://b.socrative.com/login/student/
Übung zur Vorlesung Sicherheit 23.06.2016 Übungsblatt 4 Björn Kaidel bjoern.kaidel@kit.edu https://b.socrative.com/login/student/ Room: SICHERHEIT Bitte gleich einloggen! 1 / 62 Feedback: Kummerkasten/Feedback
Übung zur Vorlesung Sicherheit Übungsblatt 4. Björn Kaidel 1 / 70
Übung zur Vorlesung Sicherheit 18.06.2015 Übungsblatt 4 Björn Kaidel bjoern.kaidel@kit.edu 1 / 70 RSA: Warnung! Mehrere Nachfragen nach der letzten Übung: Wir wollen zu e ein d berechnen mit e d = 1 mod
Übung zur Vorlesung Sicherheit Übungsblatt 3. Björn Kaidel 1 / 52
Übung zur Vorlesung Sicherheit 21.05.2014 Übungsblatt 3 Björn Kaidel bjoern.kaidel@kit.edu 1 / 52 Kummerkasten Bitte helleren Laserpointer verwenden. Sind die Skriptlinks vertauscht? Nein! Wegen allgemeiner
Übung zur Vorlesung. Sicherheit Übungsblatt 5 Björn Kaidel
Übung zur Vorlesung Sicherheit 30.06.2016 Übungsblatt 5 Björn Kaidel bjoern.kaidel@kit.edu https://b.socrative.com/login/student/ Room: SICHERHEIT Bitte gleich einloggen! 1 / 55 Evaluation (siehe Evaluations-PDF)
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Klausur Hinweise
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Klausur 21.07.2015 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Nachklausur Hinweise
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2016 Nachklausur 12.10.2016 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung
Übungsblatt 4. Stammvorlesung Sicherheit im Sommersemester Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Übungsblatt 4 Aufgabe 1. Wir instanziieren das ElGamal-Verschlüsselungsverfahren aus der
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Nachklausur. Lösung Hinweise
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2016 Nachklausur Lösung 12.10.2016 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung
Institut für Theoretische Informatik Prof. Dr. Dennis Hofheinz Übungsleiter: Thomas Agrikola. Stammvorlesung Sicherheit im Sommersemester 2017
Institut für Theoretische Informatik Prof. Dr. Dennis Hofheinz Übungsleiter: Thomas Agrikola Stammvorlesung Sicherheit im Sommersemester 2017 Übungsblatt 4 Aufgabe 1. Wir instanziieren das ElGamal-Verschlüsselungsverfahren
Vorlesung Sicherheit
Vorlesung Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 23.05.2016 1 / 32 Überblick 1 Symmetrische Authentifikation von Nachrichten Ziel Konstruktionen MACs
Digitale Signaturen. Einmalsignaturen Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Einmalsignaturen Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-11-04 B. Kaidel Digitale Signaturen: Einmalsignaturen KIT Die Forschungsuniversität
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Nachklausur. Lösungsvorschlag Hinweise
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Nachklausur Lösungsvorschlag 29.09.2015 Vorname: Nachname: Matrikelnummer: Hinweise - Für
Digitale Signaturen. Einführung Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Einführung Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-10-20 B. Kaidel Digitale Signaturen: Einführung KIT Die Forschungsuniversität in der Helmholtz-Gemeinschaft
Asymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Einmalsignaturen Björn Kaidel (Vertretung für Prof. Müller-Quade) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2018-02-01 B. Kaidel Asymmetrische
Digitale Signaturen. GHR-und Chamäleon-Signaturen Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen GHR-und Chamäleon-Signaturen Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen KIT
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Klausur Hinweise
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Klausur 22.07.2014 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen
Vorlesung Digitale Signaturen im Wintersemester 2017/-18. Socrative-Fragen aus der Vorlesung vom
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Dozenten: Björn Kaidel Vorlesung Digitale Signaturen im Wintersemester 2017/-18 Socrative-Fragen aus der Vorlesung vom 17.11.2017 1 Quiz 1:
Digitale Signaturen. Einführung Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Einführung Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-10-21 G. Hartung, B. Kaidel Digitale Signaturen: Einführung KIT Die Forschungsuniversität
Homomorphe Verschlüsselung
Homomorphe Verschlüsselung Definition Homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : G G für Gruppen G, G. Π heißt homomorph, falls Enc(m 1 ) G Enc(m 2 ) eine gültige Verschlüsselung
Übung zur Vorlesung Sicherheit Übungsblatt 2. Alexander Koch Björn Kaidel
Übung zur Vorlesung Sicherheit 07.05.2014 Übungsblatt 2 Alexander Koch alexander.koch@kit.edu Björn Kaidel bjoern.kaidel@kit.edu 1 / 32 Kummerkasten In der Übung lauter und deutlicher sprechen: Wir geben
Übung zur Vorlesung Sicherheit Übungsblatt 2. Alexander Koch Björn Kaidel
Übung zur Vorlesung Sicherheit 07.05.2014 Übungsblatt 2 Alexander Koch alexander.koch@kit.edu Björn Kaidel bjoern.kaidel@kit.edu 1 / 32 Kummerkasten In der Übung lauter und deutlicher sprechen: Wir geben
Digitale Signaturen. Sicherheitsdefinitionen Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Sicherheitsdefinitionen Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-10-28 B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen
Digitale Signaturen. seuf-cma & Pairings Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen seuf-cma & Pairings Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2018-01-19 B. Kaidel Digitale Signaturen: seuf-cma & Pairings KIT Die Forschungsuniversität
Übungsblatt 3. Stammvorlesung Sicherheit im Sommersemester Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Übungsblatt 3 Aufgabe 1. Beurteilen Sie für die folgenden Konstruktionen jeweils, ob es sich
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Übungsblatt 5. pk = (g, y) und sk = (g, x). ? = y H(t m) t. g s
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Übungsblatt 5 Hinweis: Übungsblätter können freiwillig bei Jessica Koch, Raum 256, Geb.
Digitale Signaturen. seuf-cma & Pairings Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen seuf-cma & Pairings Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-01-20 B. Kaidel Digitale Signaturen: seuf-cma & Pairings KIT Die
Digitale Signaturen. RSA-FDH & das Random Oracle Model Björn Kaidel (mit Folien von Gunnar Hartung)
Digitale Signaturen RSA-FDH & das Random Oracle Model Björn Kaidel (mit Folien von Gunnar Hartung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-12-01 B. Kaidel Digitale Signaturen:
Digitale Signaturen. GHR-und Chamäleon-Signaturen Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen GHR-und Chamäleon-Signaturen Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-01-12 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen KIT
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Klausur Hinweise
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Klausur 22.07.2014 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen
Digitale Signaturen. RSA-FDH & das Random Oracle Model Jiaxin Pan (Slides from Björn Kaidel and Gunnar Hartung)
Digitale Signaturen RSA-FDH & das Random Oracle Model Jiaxin Pan (Slides from Björn Kaidel and Gunnar Hartung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2018-10-26 B. Kaidel Digitale
Vorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 15.05.2017 1 / 25 Überblick 1 Hashfunktionen Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel: RSA
Vorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 12.05.2014 1 / 26 Überblick 1 Hashfunktionen Erinnerung Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel:
Digitale Signaturen. Anwendung von Einmalsignaturen Gunnar Hartung, Björn Kaidel.
Digitale Signaturen Anwendung von Einmalsignaturen Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-11-18 G. Hartung Digitale Signaturen: Anwendung von
Vorlesung Digitale Signaturen im Wintersemester 2016/-17. Socrative-Fragen aus der Vorlesung vom
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Dozenten: Gunnar Hartung, Björn Kaidel Vorlesung Digitale Signaturen im Wintersemester 2016/-17 Socrative-Fragen aus der Vorlesung vom 25.11.2016
Institut für Theoretische Informatik Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Klausur. Lösung
Institut für Theoretische Informatik Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2017 Klausur Lösung 02.08.2017 Vorname: Nachname: Matrikelnummer: Klausur-ID: Hinweise - Schreiben
Asymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Vorlesung 4 Alexander Koch (Vertretung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 KIT 2015-11-12 Universität desalexander Landes Baden-Württemberg
Asymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Digitale Signaturen Prof. Jörn Müller-Quade mit Folien von G. Hartung und B. Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2018-01-25 J.
Asymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Digitale Signaturen Björn Kaidel - Vertretung für Prof. Müller-Quade FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-01-19 B. Kaidel Asymmetrische
Ziel: Zertifiziere Pfad von Wurzel zu m mittels Signaturen. Signieren Public-Keys auf Pfad inklusive der Nachbarknoten.
Merkle-Baum Idee: Konstruktion von Merkle-Bäumen Ersetze Signaturkette durch Baum (sogenannter Merkle-Baum). Verwenden Baum der Tiefe n für Nachrichten der Länge n. Die Wurzel erhält Label ɛ. Die Kinder
Vorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 06.05.2013 1 / 25 Überblick 1 Hashfunktionen Erinnerung Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel:
Digitale Signaturen. Sicherheitsdefinitionen Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Sicherheitsdefinitionen Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-10-27 B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen KIT Die Forschungsuniversität
Asymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Vorlesung 4 Alexander Koch (Vertretung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-11-10 Alexander Koch Asymmetrische Verschlüsselungsverfahren
Übung zur Vorlesung Sicherheit Übungsblatt 2. Alexander Koch Björn Kaidel
Übung zur Vorlesung Sicherheit 07.05.2014 Übungsblatt 2 Alexander Koch alexander.koch@kit.edu Björn Kaidel bjoern.kaidel@kit.edu 1 / 39 Werbung: KASTEL-Zertifikat Nachweis für Spezialisierung in IT-Sicherheit
Socrative-Fragen aus der Übung vom
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Übungsleiter: Björn Kaidel, Alexander Koch Stammvorlesung Sicherheit im Sommersemester 2016 Socrative-Fragen aus der Übung vom 28.04.2016
Vorlesung Sicherheit
Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 18.05.2015 1 / 30 Überblick 1 Asymmetrische Authentifikation von Nachrichten Erinnerung
Voll homomorpe Verschlüsselung
Voll homomorpe Verschlüsselung Definition Voll homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : R R für Ringe R, R. Π heißt voll homomorph, falls 1 Enc(m 1 ) + Enc(m 2 ) eine gültige
Übung zur Vorlesung Sicherheit Übungsblatt 2. Alexander Koch Björn Kaidel
Übung zur Vorlesung Sicherheit 07.05.2014 Übungsblatt 2 Alexander Koch alexander.koch@kit.edu Björn Kaidel bjoern.kaidel@kit.edu 1 / 39 Werbung: KASTEL-Zertifikat Nachweis für Spezialisierung in IT-Sicherheit
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Übungsblatt 4
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Übungsblatt 4 Hinweis: Übungsblätter können freiwillig bei Florian Böhl, Raum 255, Geb.
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Nachklausur Hinweise
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Nachklausur 29.09.2014 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung
Sicherheit von Merkle Signaturen
Sicherheit von Merkle Signaturen Algorithmus Angreifer A für die Einwegsignatur EINGABE: pk, Zugriff auf eine Anfrage an Orakel Sign sk ( ) 1 Berechne (pk (i), sk (i) ) Gen(1 n ) für i = 1,...,l. Wähle
Vorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 23.06.2014 1 / 26 Überblick 1 Zero-Knowledge-Protokolle Erinnerung Beispiel für Zero-Knowledge-Protokoll Analyse des Beispiel-Zero-Knowledge-Protokolls Proof-of-Knowledge-Eigenschaft
Vorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 30.04.2018 1 / 35 Überblick 1 Hashfunktionen Motivation Formalisierung Die Merkle-Damgård-Konstruktion (Weitere) Angriffe auf Hashfunktionen Zusammenfassung
Björn Kaidel Alexander Koch
Übung zur Vorlesung Sicherheit Übung 1 Björn Kaidel Bjoern.Kaidel@kit.edu Alexander Koch Alexander.Koch@kit.edu 23.04.2015 1 / 31 Sicherheit Literatur zur Vorlesung Jonathan Katz, Yehuda Lindell. Introduction
Homomorphe Verschlüsselung
Homomorphe Verschlüsselung Definition Homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : G G für Gruppen G, G. Π heißt homomorph, falls Enc(m 1 ) G Enc(m 2 ) eine gültige Verschlüsselung
Kryptographie und Komplexität
Kryptographie und Komplexität Einheit 5 Kryptosysteme auf der Basis diskreter Logarithmen 1. Diffie Hellman Schlüsselaustausch 2. El Gamal Systeme 3. Angriffe auf Diskrete Logarithmen 4. Elliptische Kurven
Hashfunktionen und Kollisionen
Hashfunktionen und Kollisionen Definition Hashfunktion Eine Hashfunktion ist ein Paar (Gen, H) von pt Algorithmen mit 1 Gen: s Gen(1 n ). Gen ist probabilistisch. 2 H: H s berechnet Funktion {0, 1} {0,
Beliebige Anzahl von Signaturen
Beliebige Anzahl von Signaturen Algorithmus Signaturketten Sei Π = (Gen, Sign, Vrfy) ein Einwegsignaturverfahren. 1 Gen : (pk 1, sk 1 ) Gen(1 n ) 2 Sign : Signieren der Nachricht m i. Verwende gemerkten
Public-Key-Verschlüsselung und Diskrete Logarithmen
Public-Key-Verschlüsselung und Diskrete Logarithmen Carsten Baum Institut für Informatik Universität Potsdam 10. Juni 2009 1 / 30 Inhaltsverzeichnis 1 Mathematische Grundlagen Gruppen, Ordnung, Primitivwurzeln
VI.4 Elgamal. - vorgestellt 1985 von Taher Elgamal. - nach RSA das wichtigste Public-Key Verfahren
VI.4 Elgamal - vorgestellt 1985 von Taher Elgamal - nach RSA das wichtigste Public-Key Verfahren - besitzt viele unterschiedliche Varianten, abhängig von zugrunde liegender zyklischer Gruppe - Elgamal
Kryptograhie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik
Kryptograhie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik Übersicht Zwecke der Krytographie Techniken Symmetrische Verschlüsselung( One-time Pad,
Vorlesung Sicherheit
Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 04.05.2015 1 / 20 Kummerkasten Vorlesungsfolien bitte einen Tag vorher hochladen : Sollte
Merkle-Damgard Transformation
Merkle-Damgard Transformation Ziel: Konstruiere H : {0, 1} {0, 1} l aus h : {0, 1} 2l {0, 1} l. Algorithmus Merkle-Damgard Konstruktion Sei (Gen, h) eine kollisionsresistente Hashfunktion mit h : {0, 1}
Digitale Signaturen. Anwendung von Einmalsignaturen Gunnar Hartung, Björn Kaidel.
Digitale Signaturen Anwendung von Einmalsignaturen Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-11-15 G. Hartung Digitale Signaturen: Anwendung von
CPA-Sicherheit ist ungenügend
CPA-Sicherheit ist ungenügend Definition CCA CCA (=Chosen Ciphertext Attack) ist ein Angriff, bei dem der Angreifer sich Chiffretext seiner Wahl entschlüsseln lassen kann. Beispiele in denen CPA nicht
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Übungsblatt 5
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Übungsblatt 5 Aufgabe 1. (1.) In der Vorlesung wurde gezeigt, dass Lehrbuch-RSA-Signaturen
Vorlesung Sicherheit
Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 08.06.2015 1 / 34 Überblick 1 Schlüsselaustauschprotokolle Erinnerung Weitere Schlüsselaustauschtypen
Vorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 29.04.2013 1 / 22 Überblick 1 Zusammenfassung und Korrektur Zusammenfassung Korrektur Definition semantische Sicherheit 2 Hashfunktionen Motivation Formalisierung
Digitale Signaturen. Anwendung von Einmalsignaturen Björn Kaidel (mit Folien von Gunnar Hartung)
Digitale Signaturen Anwendung von Einmalsignaturen Björn Kaidel (mit Folien von Gunnar Hartung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-11-24 B. Kaidel Digitale Signaturen:
Hybride Verschlüsselungsverfahren
Hybride Verschlüsselungsverfahren Ziel: Flexibilität von asym. Verfahren und Effizienz von sym. Verfahren. Szenario: Sei Π = (Gen, Enc, Dec) ein PK-Verschlüsselungsverfahren und Π = (Gen, Enc, Dec ) ein
Proseminar Bakkalaureat TM 2008/2009 Datensicherheit und Versicherungsmathematik Public-Key-Kryptosystem
Proseminar Bakkalaureat TM 2008/2009 Datensicherheit und Versicherungsmathematik Technische Universität Graz 29. Dezember 2008 Überblick Unterschied zwischen symmetrischen und asymmetrischen Verschlüsselungsverfahren
Blinde Signaturen, geheime Abstimmungen und digitale Münzen
Blinde Signaturen, geheime Abstimmungen und digitale Münzen Claus Diem Im Wintersemester 2017 / 18 Crypto 1982 Geheime Abstimmungen Eine geheime Abstimmung Problem. Eine Gruppe von Personen will per Brief
Digitale Signaturen. Einführung und das Schnorr Signatur Schema. 1 Digitale Signaturen Einführung & das Schnorr Signatur Schema.
Digitale Signaturen Einführung und das Schnorr Signatur Schema 1 Übersicht 1. Prinzip der digitalen Signatur 2. Grundlagen Hash Funktionen Diskreter Logarithmus 3. ElGamal Signatur Schema 4. Schnorr Signatur
Kryptologie. Bernd Borchert. Univ. Tübingen SS Vorlesung. Teil 10. Signaturen, Diffie-Hellman
Kryptologie Bernd Borchert Univ. Tübingen SS 2017 Vorlesung Teil 10 Signaturen, Diffie-Hellman Signatur Signatur s(m) einer Nachricht m Alice m, s(m) Bob K priv K pub K pub Signatur Signatur (Thema Integrity
VIII. Digitale Signaturen
VIII. Digitale Signaturen Bob Eve Eve möchte - lauschen - ändern - personifizieren Alice 1 Aufgaben - Vertraulichkeit - Lauschen - Authentizität - Tauschen des Datenursprungs - Integrität - Änderung der
Kryptographie und Komplexität
Kryptographie und Komplexität Einheit 5.2 ElGamal Systeme 1. Verschlüsselungsverfahren 2. Korrektheit und Komplexität 3. Sicherheitsaspekte Das ElGamal Verschlüsselungsverfahren Public-Key Verfahren von
Kryptographie - eine mathematische Einführung
Kryptographie - eine mathematische Einführung Rosa Freund 28. Dezember 2004 Überblick Grundlegende Fragestellungen Symmetrische Verschlüsselung: Blockchiffren, Hashfunktionen
Digitale Signaturen. Parameterwahl & RSA-PSS Björn Kaidel (mit Folien von Gunnar Hartung)
Digitale Signaturen Parameterwahl & RSA-PSS Björn Kaidel (mit Folien von Gunnar Hartung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-11-15 B. Kaidel Digitale Signaturen: RSA-PSS
Vorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 26.06.2017 1 / 41 Überblick 1 Identifikationsprotokolle Erinnerung Sicherheitsmodell Ein sicheres Protokoll Noch ein sicheres Protokoll 2 Zero-Knowledge-Protokolle
Hashfunktionen und MACs
3. Mai 2006 Message Authentication Code MAC: Message Authentication Code Was ist ein MAC? Der CBC-MAC Der XOR-MAC Kryptographische Hashfunktionen Iterierte Hashfunktionen Message Authentication Code Nachrichten
Kurzskript MfI:AGS WS 2018/19 Teil II: Gruppen / Teil III: Ringe 34
Kurzskript MfI:AGS WS 2018/19 Teil II: Gruppen / Teil III: Ringe 34 Satz 4.2.11 (Chinesischer Restsatz, Ring-Version) Sind N teilerfremd (d.h. ggt( ) =1), so ist die Abbildung ein Ring-Isomorphismus. :
Kryptographie. Nachricht
Kryptographie Kryptographie Sender Nachricht Angreifer Empfänger Ziele: Vertraulichkeit Angreifer kann die Nachricht nicht lesen (Flüstern). Integrität Angreifer kann die Nachricht nicht ändern ohne dass
Digitale Signaturen. Andreas Spillner. Kryptografie, SS 2018
Digitale Signaturen Andreas Spillner Kryptografie, SS 2018 Ausgangspunkt Digitale Signaturen bieten unter anderem das, was man auch mit einer eigenhändigen Unterschrift auf einem Dokument bezweckt. Beispiel:
4 Kryptologie. Übersicht
4 Kryptologie Übersicht 4.1 Der erweiterte euklidische Algorithmus................................ 38 4.2 Rechnen mit Restklassen modulo p................................... 39 4.3 Der kleine Satz von
Kryptographische Protokolle
Kryptographische Protokolle Lerneinheit 4: Schlüsselvereinbarung Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen Sommersemester 2017 8.5.2017 Einleitung Einleitung In dieser Lerneinheit
Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Nachklausur
Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz IKS Institut für Kryptographie und Sicherheit Stammvorlesung Sicherheit im Sommersemester 2013 Nachklausur 07.10.2013 Vorname: Nachname:
Sicherheit von ElGamal
Sicherheit von ElGamal Satz CPA-Sicherheit ElGamal ElGamal Π ist CPA-sicher unter der DDH-Annahme. Beweis: Sei A ein Angreifer auf ElGamal Π mit Erfolgsws ɛ(n) := Ws[PubK cpa A,Π (n) = 1]. Wir konstruieren
Trim Size: 176mm x 240mm Lang ftoc.tex V1-5.Juli :54 P.M. Page 9
Trim Size: 176mm x 240mm Lang ftoc.tex V1-5.Juli 2018 7:54 P.M. Page 9 Auf einen Blick Über den Autor... 7 Einleitung... 19 Teil I: Verschlüsseln... 25 Kapitel 1: Sicherheit in Zeiten des Internet... 27
Digitale Signaturen. Wiederholung Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Wiederholung Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung KIT Die Forschungsuniversität
RSA Full Domain Hash (RSA-FDH) Signaturen
RSA Full Domain Hash (RSA-FDH) Signaturen Signatur RSA-FDH Sei H : {0, 1} Z N ein Random-Oracle. 1 Gen: (N, e, d) GenRSA(1 n ) mit pk = (N, e) und sk = (N, d). 2 Sign: Für eine Nachricht m {0, 1} berechne
Privacy-Preserving Authentication 2 Kryptografische Bausteine WS 2015/2016
Privacy-Preserving Authentication 2 Kryptografische Bausteine WS 2015/2016 Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum Übersicht 1 Vorteil und Sicherheit 2 Hash Funktionen 3 Digitale
Institut für Theoretische Informatik Prof. Dr. Dennis Hofheinz Übungsleiter: Thomas Agrikola. Stammvorlesung Sicherheit im Sommersemester 2017
Institut für Theoretische Informatik Prof. Dr. Dennis Hofheinz Übungsleiter: Thomas Agrikola Stammvorlesung Sicherheit im Sommersemester 2017 Übungsblatt 5 Aufgabe 1. (1.) In der Vorlesung wurde gezeigt,
6: Public-Key Kryptographie (Grundidee)
6: Public-Key Kryptographie (Grundidee) Ein Teil des Schlüssels ist nur dem Empfänger bekannt. Der auch dem Sender bekannte Teil kann sogar veröffentlicht werden. Man spricht dann von einem Schlüsselpaar.
Kryptographie II Asymmetrische Kryptographie
Kryptographie II Asymmetrische Kryptographie Christopher Wolf Fakultät für Mathematik Ruhr-Universität Bochum Sommersemester 2010 Krypto II - Vorlesung 01-14.04.2010 () Schlüsselverteil-Center, Diffie-Hellman
Diskreter Logarithmus und Primkörper
Diskreter Logarithmus und Primkörper Neben dem RSA-Verfahren ist die ElGamal-Verschlüsselung 8 ein weiteres klassische Public-Key-Verfahren, welches von Taher ElGamal auf der Konferenz CRYPTO 84 vorgestellt
El Gamal Verschlüsselung und seine Anwendungen
El Gamal Verschlüsselung und seine Anwendungen Andrés Guevara July 11, 2005 1 Kurze Einführung in die Kryptographie Situation: Absender will Empfänger eine Nachricht schicken. Einige Ziele der Kryptographie
WS 2013/14. Diskrete Strukturen
WS 2013/14 Diskrete Strukturen Prof. Dr. J. Esparza Lehrstuhl für Grundlagen der Softwarezuverlässigkeit und theoretische Informatik Fakultät für Informatik Technische Universität München http://www7.in.tum.de/um/courses/ds/ws1314
Message Authentication Codes. Konstruktion von MACs. Hash-then-Encrypt. Sicherheitsmodell
Message Authentication Codes Entspricht Hashfunktionen mit geheimen Schlüsseln. h : K M H, MAC = h k (m). h parametrisierte Hashfunktion. m Nachricht. k geheimer Schlüssel. Mit der Nachricht m wird h k
7: Grundlagen der Public-Key-Kryptographie
7: Grundlagen der Public-Key-Kryptographie 214 7: Public-Key-Kryptographie 7: Grundlagen der Public-Key-Kryptographie Wiederholung: Symmetrische Kryptographie 1 Schlüssel für Sender und Empfänger Benötigt