Asymmetrische Verschlüsselungsverfahren
|
|
- Günther Lothar Jaeger
- vor 5 Jahren
- Abrufe
Transkript
1 Asymmetrische Verschlüsselungsverfahren Einmalsignaturen Björn Kaidel (Vertretung für Prof. Müller-Quade) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen KIT Die Forschungsuniversität in der Helmholtz-Gemeinschaft
2 Hinweis: Folien Folien stammen zum Großteil aus VL Digitale Signaturen Kapitelnummern usw. beziehen sich auf Skript dieser Vorlesung B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
3 Inhalt Einmalsignaturen (Kap. 2) Einmalsignaturen aus Einwegfkt. (Kap 2.2) B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
4 Einmalsignaturen Generelles Ziel: Signaturen, die viele Nachrichten signieren können. Vorstufe: Signaturen, die nur eine Nachricht sicher signieren können. Genannt Einmalsignaturen B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
5 Einmalsignaturen Generelles Ziel: Signaturen, die viele Nachrichten signieren können. Vorstufe: Signaturen, die nur eine Nachricht sicher signieren können. Genannt Einmalsignaturen. Achtung: Können auch mehrmals verwendet werden werden dann aber evtl. unsicher! Also: Keine Sicherheitssaussage mehr bei mehrfacher Verwendung B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
6 EUF-1-CMA C EUF-1-CMA pk A m σ m, σ Vfy(pk, m, σ ) = 1 m = m? Rest (Def., Gewinnbedingung etc.): Analog zu normaler EUF-CMA-Def B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
7 Warum Einmalsignaturen? Hilfreicher Baustein für stärkere Verfahren. Einfach(er) zu konstruieren. Generisch auf Mehrmal -Signaturen erweiterbar B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
8 Einwegfunktionen Einwegfunktion f : {0, 1} {0, 1} Idee: Geg. x {0, 1} ist f (x) leicht/effizient berechenbar. Geg. y = f (x) ist es schwer f 1 (y) zu berechnen. Anm: Einwegfunktion sind ein grundlegender Krypto-Baustein! B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
9 Einwegfunktionen-Sicherheitsexperiment C Einweg A B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
10 Einwegfunktionen-Sicherheitsexperiment x {0, 1} k y := f (x) C Einweg y A B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
11 Einwegfunktionen-Sicherheitsexperiment x {0, 1} k y := f (x) C Einweg y A x f (x ) = y? A gewinnt, falls f (x ) = y B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
12 Einwegfunktionen-Sicherheitsexperiment x {0, 1} k y := f (x) C Einweg y A x f (x ) = y? A gewinnt, falls f (x ) = y. Anm: Es muss nicht x = x gelten! B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
13 Einwegfunktion (Definition) Def. 22 (Einwegfunktion): Eine Funktion f ist eine Einwegfunktion, wenn f in Polynomialzeit berechenbar ist und für alle PPT A gilt, dass Pr[A(1 k, y := f (x)) = x : x {0, 1} k, f (x ) = y] negl(k) für eine in k vernachlässigbare Funktion negl B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
14 Einwegfunktionen: Kandidaten Existenz von Einwegfkt. impliziert P = N P. Existenz daher unklar B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
15 Einwegfunktionen: Kandidaten Existenz von Einwegfkt. impliziert P = N P. Existenz daher unklar. Kandidaten: kryptographische Hashfunktionen diskrete Exponentialfunktion x g x g Erzeuger von zyklischer Gruppe G RSA-Funktion x x e mod N für geeignete (e, N) B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
16 Lamports Einmalsignaturverfahren (Kap ) Σ = (Gen, Sign, Vfy) Nachrichtenraum {0, 1} n, n = n(k) Benötigt Einwegfunktion f B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
17 Lamports Einmalsignaturverfahren (Kap ) Σ = (Gen, Sign, Vfy) Nachrichtenraum {0, 1} n, n = n(k) Benötigt Einwegfunktion f Gen(1 k ) : Wähle x 1,0, x 1,1,..., x n,0, x n,1 zufällig aus {0, 1} k j {1,..., n} : y j,0 := f (x j,0 ) und y j,1 := f (x j,1 ) B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
18 Lamports Einmalsignaturverfahren (Kap ) Σ = (Gen, Sign, Vfy) Nachrichtenraum {0, 1} n, n = n(k) Benötigt Einwegfunktion f Gen(1 k ) : Wähle x 1,0, x 1,1,..., x n,0, x n,1 zufällig aus {0, 1} k j {1,..., n} : y j,0 := f (x j,0 ) und y j,1 := f (x j,1 ) ( ) x1,0... x sk = n,0 x 1,1... x n,1 ( ) y1,0... y pk = n,0 y 1,1... y n, B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
19 Lamports Einmalsignaturverfahren (2) ( ) x1,0... x sk = n,0 x 1,1... x n,1 ( ) y1,0... y pk = n,0 y 1,1... y n, B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
20 Lamports Einmalsignaturverfahren (2) ( ) x1,0... x sk = n,0 x 1,1... x n,1 Sign(sk, m) : m = m 1 m 2... m n {0, 1} n σ = (x 1,m1, x 2,m2,..., x n,mn ) ( ) y1,0... y pk = n,0 y 1,1... y n, B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
21 Lamports Einmalsignaturverfahren (2) ( ) x1,0... x sk = n,0 x 1,1... x n,1 Sign(sk, m) : m = m 1 m 2... m n {0, 1} n σ = (x 1,m1, x 2,m2,..., x n,mn ) ( ) y1,0... y pk = n,0 y 1,1... y n,1 Vfy(pk, m, σ) : m = m 1... m n, σ = (x 1, x 2,..., x n) Überprüfe für alle i {1,..., n}, ob gilt: f (x i ) = y i,m i? B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
22 Lamports Einmalsignaturverfahren (2) ( ) x1,0... x sk = n,0 x 1,1... x n,1 Sign(sk, m) : m = m 1 m 2... m n {0, 1} n σ = (x 1,m1, x 2,m2,..., x n,mn ) ( ) y1,0... y pk = n,0 y 1,1... y n,1 Vfy(pk, m, σ) : m = m 1... m n, σ = (x 1, x 2,..., x n) Überprüfe für alle i {1,..., n}, ob gilt: f (x i ) = y i,m i? Correctness: Klar. Beispiel: Tafel B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
23 Lamport: Sicherheit Theorem 23: Für jeden EUF-1-CMA PPT-Angreifer A mit Laufzeit t A und Erfolgswkt. ɛ A existiert ein PPT- Angreifer B, der f invertiert, in Zeit t B t A mit Erfolgswkt. ɛ B ɛ A /2n B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
24 Lamport: Sicherheit Theorem 23: Für jeden EUF-1-CMA PPT-Angreifer A mit Laufzeit t A und Erfolgswkt. ɛ A existiert ein PPT- Angreifer B, der f invertiert, in Zeit t B t A mit Erfolgswkt. ɛ B ɛ A /2n. Beweis: Reduktion: EUF-1-CMA-Sicherheit auf Einwegeigenschaft von f. Simulation: B simuliert EUF-1-CMA-Spiel für A. Extraktion: B verwendet Ausgabe von A, um zu gewinnen B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
25 Lamport: Sicherheitsbeweis Details: siehe Tafel. Beweisübersicht: Einwegfkt. EUF-1-CMA C Einweg B A B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
26 Lamport: Sicherheitsbeweis Details: siehe Tafel. Beweisübersicht: Einwegfkt. EUF-1-CMA C Einweg B A x {0, 1} k y := f (x) y B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
27 Lamport: Sicherheitsbeweis Details: siehe Tafel. Beweisübersicht: Einwegfkt. EUF-1-CMA C Einweg B A x {0, 1} k y := f (x) y Berechne pk, sk geeignet pk B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
28 Lamport: Sicherheitsbeweis Details: siehe Tafel. Beweisübersicht: Einwegfkt. EUF-1-CMA C Einweg B A x {0, 1} k y := f (x) y Berechne pk, sk geeignet pk 1 m = m 1... m n σ B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
29 Lamport: Sicherheitsbeweis Details: siehe Tafel. Beweisübersicht: Einwegfkt. EUF-1-CMA C Einweg B A x {0, 1} k y := f (x) y Berechne pk, sk geeignet pk 1 x m = m 1... m n σ m, σ = Simulation, 3 = Extraktion B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
30 Lamport: Sicherheitsbeweis (Zusammenfassung) Benutze A, um f 1 (x) zu berechnen, indem man f (x) in den Public Key einbettet, sodass: B die Nachricht m signieren kann (wähle Rest von pk selbst). A mit hoher Wkt. zum Fälschen f 1 (x) berechnen muss B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
31 Lamport: Zusammenfassung EUF-1-CMA-sicher Einfach & Elegant Benötigt nur Existenz von Einwegfunktionen (schwächste Krypto-Annahme!) Nicht sehr effizient Viele Auswertungen der Einwegfunktion Sehr große Schlüssel B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
32 Mehrmal-Signaturverfahren aus Einmalsignaturverfahren Bekannt: Einmalsignaturverfahren Σ (1) Vorteil: Effizient & einfach zu konstruieren Nachteil: Sicherheit nur bei einmaliger Anwendung B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
33 Mehrmal-Signaturverfahren aus Einmalsignaturverfahren Bekannt: Einmalsignaturverfahren Σ (1) Vorteil: Effizient & einfach zu konstruieren Nachteil: Sicherheit nur bei einmaliger Anwendung Gesucht: Mehrmal -Signaturen q-mal-signaturverfahren B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
34 Erster Ansatz Naives Vorgehen: benutze q Schlüsselpaare B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
35 Erster Ansatz Naives Vorgehen: benutze q Schlüsselpaare Gen(1 k ) : (pk i, sk i ) Gen (1) (1 k ) für alle i {1,..., q} pk := (pk 1,..., pk q ) sk := (sk 1,..., sk q, st = 1) Achtung: zustandsbehaftet Hier: Zustand ist Zähler st {1,..., q} B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
36 Erster Ansatz Naives Vorgehen: benutze q Schlüsselpaare Gen(1 k ) : (pk i, sk i ) Gen (1) (1 k ) für alle i {1,..., q} pk := (pk 1,..., pk q ) sk := (sk 1,..., sk q, st = 1) Achtung: zustandsbehaftet Hier: Zustand ist Zähler st {1,..., q} Sign(sk, m) : i := st σ i Sign (1) (sk i, m) σ := (σ i, i) st := st B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
37 Erster Ansatz Naives Vorgehen: benutze q Schlüsselpaare Gen(1 k ) : (pk i, sk i ) Gen (1) (1 k ) für alle i {1,..., q} pk := (pk 1,..., pk q ) sk := (sk 1,..., sk q, st = 1) Achtung: zustandsbehaftet Hier: Zustand ist Zähler st {1,..., q} Sign(sk, m) : Vfy(pk, m, σ = (σ i, i)) : i := st σ i Sign (1) (sk i, m) σ := (σ i, i) st := st + 1 Vfy (1) (pk i, m, σ i )? = B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
38 Erster Ansatz Übung 34: Theorem Wenn Σ (1) EUF-1-naCMA-sicher ist, dann ist das obige Verfahren EUF-q-naCMA-sicher. Theorem Wenn Σ (1) EUF-1-CMA-sicher ist, dann ist das obige Verfahren EUF-q-CMA-sicher B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
39 Erster Ansatz Übung 34: Theorem Wenn Σ (1) EUF-1-naCMA-sicher ist, dann ist das obige Verfahren EUF-q-naCMA-sicher. Theorem Wenn Σ (1) EUF-1-CMA-sicher ist, dann ist das obige Verfahren EUF-q-CMA-sicher. Eigenschaften bezogen auf Signaturenanzahl: pk Ω(q) sk Ω(q) σ Θ(1) B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
40 Erster Ansatz Übung 34: Theorem Wenn Σ (1) EUF-1-naCMA-sicher ist, dann ist das obige Verfahren EUF-q-naCMA-sicher. Theorem Wenn Σ (1) EUF-1-CMA-sicher ist, dann ist das obige Verfahren EUF-q-CMA-sicher. Eigenschaften bezogen auf Signaturenanzahl: pk Ω(q) sk Ω(q) σ Θ(1) effizienter? B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
41 Zwischenschritt Gen(1 k ) : Sign(sk, m) : (pk i, sk i ) Gen (1) (1 k ) für alle i {1,..., q} pk := (pk 1,..., pk q ) sk := (sk 1,..., sk q, st = 1) Vfy(pk, m, σ) : i := st σ i Sign (1) (sk i, m) σ := (σ i, i) st := st + 1 Vfy (1) (pk i, m, σ i )? = B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
42 Zwischenschritt H Hashfunktion Gen(1 k ) : Sign(sk, m) : (pk i, sk i ) Gen (1) (1 k ) für alle i {1,..., q} pk := (pk 1,..., pk q ) sk := (sk 1,..., sk q, st = 1) Vfy(pk, m, σ) : i := st σ i Sign (1) (sk i, m) σ := (σ i, i) st := st + 1 Vfy (1) (pk i, m, σ i )? = B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
43 Zwischenschritt H Hashfunktion Gen(1 k ) : (pk i, sk i ) Gen (1) (1 k ) für alle i {1,..., q} pk := H(pk 1,..., pk q ) sk := (sk 1,..., sk q, pk 1,..., pk q, st = 1) Sign(sk, m) : Vfy(pk, m, σ) : i := st σ i Sign (1) (sk i, m) σ := (σ i, i) st := st + 1 Vfy (1) (pk i, m, σ i )? = B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
44 Zwischenschritt H Hashfunktion Gen(1 k ) : (pk i, sk i ) Gen (1) (1 k ) für alle i {1,..., q} pk := H(pk 1,..., pk q ) sk := (sk 1,..., sk q, pk 1,..., pk q, st = 1) Sign(sk, m) : Vfy(pk, m, σ) : i := st σ i Sign (1) (sk i, m) σ := (σ i, i, pk 1,..., pk q ) st := st + 1 Vfy (1) (pk i, m, σ i )? = B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
45 Zwischenschritt H Hashfunktion Gen(1 k ) : (pk i, sk i ) Gen (1) (1 k ) für alle i {1,..., q} pk := H(pk 1,..., pk q ) sk := (sk 1,..., sk q, pk 1,..., pk q, st = 1) Sign(sk, m) : Vfy(pk, m, σ) : i := st σ i Sign (1) (sk i, m) σ := (σ i, i, pk 1,..., pk q ) st := st + 1 Vfy (1) (pk i, m, σ i )? = 1 und H(pk 1,..., pk q )? = pk B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
46 Zwischenschritt Übung (Bem. 35): Theorem Wenn Σ (1) EUF-1-naCMA-sicher ist und H kollisionsresistent, dann ist das obige Verfahren EUF-q-naCMA-sicher. Theorem Wenn Σ (1) EUF-1-CMA-sicher ist und H kollisionsresistent, dann ist das obige Verfahren EUF-q-CMA-sicher B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
47 Zwischenschritt Übung (Bem. 35): Theorem Wenn Σ (1) EUF-1-naCMA-sicher ist und H kollisionsresistent, dann ist das obige Verfahren EUF-q-naCMA-sicher. Theorem Wenn Σ (1) EUF-1-CMA-sicher ist und H kollisionsresistent, dann ist das obige Verfahren EUF-q-CMA-sicher. Eigenschaften bezogen auf Signaturenanzahl: pk O(1) sk Ω(q) σ Ω(q) jetzt: Einsparen bei der Signatur B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
48 Zwischenschritt Übung (Bem. 35): Theorem Wenn Σ (1) EUF-1-naCMA-sicher ist und H kollisionsresistent, dann ist das obige Verfahren EUF-q-naCMA-sicher. Theorem Wenn Σ (1) EUF-1-CMA-sicher ist und H kollisionsresistent, dann ist das obige Verfahren EUF-q-CMA-sicher. Eigenschaften bezogen auf Signaturenanzahl: pk O(1) sk Ω(q) σ Ω(q) jetzt: Einsparen bei der Signatur Merkle-Bäume B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
49 Merkle-Bäume Gen(1 k ) : (pk i, sk i ) Gen (1) (1 k ) für alle i {1,..., q} pk := Baum-Hash(pk 1,..., pk q ) sk := (sk 1,..., sk q, pk 1,..., pk q, st = 1) B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
50 Merkle-Bäume pk := h 0,1 in σ enthalten von Vfy berechnet h 1,1 h 1,2 h 2,1 h 2,2 h 2,3 h 2,4 h 3,1 h 3,2 h 3,3 h 3,4 h 3,5 h 3,6 h 3,7 h 3,8 pk 1 pk 2 pk 3 pk 4 pk 5 pk 6 pk 7 pk B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
51 Merkle-Bäume pk := h 0,1 in σ enthalten von Vfy berechnet h 1,1 h 1,2 h 2,1 h 2,2 h 2,3 h 2,4 h 3,1 h 3,2 h 3,3 h 3,4 h 3,5 h 3,6 h 3,7 h 3,8 pk 1 pk 2 pk 3 pk 4 pk 5 pk 6 pk 7 pk B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
52 Merkle-Bäume pk := h 0,1 in σ enthalten von Vfy berechnet h 1,1 h 1,2 h 2,1 h 2,2 h 2,3 h 2,4 h 3,1 h 3,2 h 3,3 h 3,4 h 3,5 h 3,6 h 3,7 h 3,8 pk 1 pk 2 pk 3 pk 4 pk 5 pk 6 pk 7 pk B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
53 Merkle-Bäume pk := h 0,1 in σ enthalten von Vfy berechnet h 1,1 h 1,2 h 2,1 h 2,2 h 2,3 h 2,4 h 3,1 h 3,2 h 3,3 h 3,4 h 3,5 h 3,6 h 3,7 h 3,8 pk 1 pk 2 pk 3 pk 4 pk 5 pk 6 pk 7 pk B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
54 Merkle-Bäume pk := h 0,1 in σ enthalten von Vfy berechnet h 1,1 h 1,2 h 2,1 h 2,2 h 2,3 h 2,4 h 3,1 h 3,2 h 3,3 h 3,4 h 3,5 h 3,6 h 3,7 h 3,8 pk 1 pk 2 pk 3 pk 4 pk 5 pk 6 pk 7 pk B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
55 Merkle-Bäume pk := h 0,1 in σ enthalten von Vfy berechnet h 1,1 h 1,2 h 2,1 h 2,2 h 2,3 h 2,4 h 3,1 h 3,2 h 3,3 h 3,4 h 3,5 h 3,6 h 3,7 h 3,8 pk 1 pk 2 pk 3 pk 4 pk 5 pk 6 pk 7 pk B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
56 Merkle-Bäume Gen(1 k ) : (pk i, sk i ) Gen (1) (1 k ) für alle i {1,..., q} pk := Baum-Hash(pk 1,..., pk q ) sk := (sk 1,..., sk q, pk 1,..., pk q, st = 1) B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
57 Merkle-Bäume Gen(1 k ) : (pk i, sk i ) Gen (1) (1 k ) für alle i {1,..., q} pk := Baum-Hash(pk 1,..., pk q ) sk := (sk 1,..., sk q, pk 1,..., pk q, st = 1) Sign(sk, m) : i := st σ i Sign (1) (sk i, m) σ := (σ i, i, pk i, Ko-Pfad) st := st B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
58 Ko-Pfad Definition Der Ko-Pfad eines Knotens v in einem Binärbaum mit Wurzel r ist die Folge aller Knoten u 1,..., u n, wobei u i der Geschwisterknoten des i-ten Knotens auf dem Pfad von v zu r ist B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
59 Merkle-Bäume pk := h 0,1 in σ enthalten von Vfy berechnet h 1,1 h 1,2 h 2,1 h 2,2 h 2,3 h 2,4 h 3,1 h 3,2 h 3,3 h 3,4 h 3,5 h 3,6 h 3,7 h 3,8 pk 1 pk 2 pk 3 pk 4 pk 5 pk 6 pk 7 pk B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
60 Merkle-Bäume pk := h 0,1 in σ enthalten von Vfy berechnet h 1,1 h 1,2 h 2,1 h 2,2 h 2,3 h 2,4 h 3,1 h 3,2 h 3,3 h 3,4 h 3,5 h 3,6 h 3,7 h 3,8 pk 1 pk 2 pk 3 pk 4 pk 5 pk 6 pk 7 pk B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
61 Merkle-Bäume Gen(1 k ) : (pk i, sk i ) Gen (1) (1 k ) für alle i {1,..., q} pk := Baum-Hash(pk 1,..., pk q ) sk := (sk 1,..., sk q, pk 1,..., pk q, st = 1) Sign(sk, m) : i := st σ i Sign (1) (sk i, m) σ := (σ i, i, pk i, Ko-Pfad) st := st B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
62 Merkle-Bäume Gen(1 k ) : (pk i, sk i ) Gen (1) (1 k ) für alle i {1,..., q} pk := Baum-Hash(pk 1,..., pk q ) sk := (sk 1,..., sk q, pk 1,..., pk q, st = 1) Sign(sk, m) : Vfy(pk, m, σ) : i := st σ i Sign (1) (sk i, m) σ := (σ i, i, pk i, Ko-Pfad) st := st + 1 berechne Wurzel h neu Vfy (1) (pk i, m, σ i )? = 1 und h? = pk B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
63 Merkle-Bäume pk := h 0,1 in σ enthalten von Vfy berechnet h 1,1 h 1,2 h 2,1 h 2,2 h 2,3 h 2,4 h 3,1 h 3,2 h 3,3 h 3,4 h 3,5 h 3,6 h 3,7 h 3,8 pk 1 pk 2 pk 3 pk 4 pk 5 pk 6 pk 7 pk B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
64 Merkle-Bäume pk := h 0,1 in σ enthalten von Vfy berechnet h 1,1 h 1,2 h 2,1 h 2,2 h 2,3 h 2,4 h 3,1 h 3,2 h 3,3 h 3,4 h 3,5 h 3,6 h 3,7 h 3,8 pk 1 pk 2 pk 3 pk 4 pk 5 pk 6 pk 7 pk B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
65 Merkle-Bäume pk := h 0,1 in σ enthalten von Vfy berechnet h 1,1 h 1,2 h 2,1 h 2,2 h 2,3 h 2,4 h 3,1 h 3,2 h 3,3 h 3,4 h 3,5 h 3,6 h 3,7 h 3,8 pk 1 pk 2 pk 3 pk 4 pk 5 pk 6 pk 7 pk B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
66 Merkle-Bäume pk := h 0,1 in σ enthalten von Vfy berechnet h 1,1 h 1,2 h 2,1 h 2,2 h 2,3 h 2,4 h 3,1 h 3,2 h 3,3 h 3,4 h 3,5 h 3,6 h 3,7 h 3,8 pk 1 pk 2 pk 3 pk 4 pk 5 pk 6 pk 7 pk B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
67 Merkle-Bäume pk := h 0,1 in σ enthalten von Vfy berechnet h 1,1 h 1,2 h 2,1 h 2,2 h 2,3 h 2,4 h 3,1 h 3,2 h 3,3 h 3,4 h 3,5 h 3,6 h 3,7 h 3,8 pk 1 pk 2 pk 3 pk 4 pk 5 pk 6 pk 7 pk B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
68 Merkle-Bäume Theorem Wenn Σ (1) EUF-1-naCMA-sicher ist und H kollisionsresistent, dann ist das obige Verfahren EUF-q-naCMA-sicher. Theorem Wenn Σ (1) EUF-1-CMA-sicher ist und H kollisionsresistent, dann ist das obige Verfahren EUF-q-CMA-sicher B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
69 Merkle-Bäume Theorem Wenn Σ (1) EUF-1-naCMA-sicher ist und H kollisionsresistent, dann ist das obige Verfahren EUF-q-naCMA-sicher. Theorem Wenn Σ (1) EUF-1-CMA-sicher ist und H kollisionsresistent, dann ist das obige Verfahren EUF-q-CMA-sicher. Eigenschaften bezogen auf Signaturenanzahl: pk O(1) sk Ω(q) σ Ω(log q) B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen
Digitale Signaturen. Einmalsignaturen Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Einmalsignaturen Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-11-04 B. Kaidel Digitale Signaturen: Einmalsignaturen KIT Die Forschungsuniversität
MehrDigitale Signaturen. Anwendung von Einmalsignaturen Björn Kaidel (mit Folien von Gunnar Hartung)
Digitale Signaturen Anwendung von Einmalsignaturen Björn Kaidel (mit Folien von Gunnar Hartung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-11-24 B. Kaidel Digitale Signaturen:
MehrDigitale Signaturen. Anwendung von Einmalsignaturen Gunnar Hartung, Björn Kaidel.
Digitale Signaturen Anwendung von Einmalsignaturen Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-11-18 G. Hartung Digitale Signaturen: Anwendung von
MehrDigitale Signaturen. RSA-FDH & das Random Oracle Model Jiaxin Pan (Slides from Björn Kaidel and Gunnar Hartung)
Digitale Signaturen RSA-FDH & das Random Oracle Model Jiaxin Pan (Slides from Björn Kaidel and Gunnar Hartung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2018-10-26 B. Kaidel Digitale
MehrDigitale Signaturen. GHR-und Chamäleon-Signaturen Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen GHR-und Chamäleon-Signaturen Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-01-12 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen KIT
MehrDigitale Signaturen. Sicherheitsdefinitionen Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Sicherheitsdefinitionen Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-10-28 B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen
MehrDigitale Signaturen. RSA-FDH & das Random Oracle Model Björn Kaidel (mit Folien von Gunnar Hartung)
Digitale Signaturen RSA-FDH & das Random Oracle Model Björn Kaidel (mit Folien von Gunnar Hartung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-12-01 B. Kaidel Digitale Signaturen:
MehrDigitale Signaturen. GHR-und Chamäleon-Signaturen Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen GHR-und Chamäleon-Signaturen Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen KIT
MehrDigitale Signaturen. Sicherheitsdefinitionen Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Sicherheitsdefinitionen Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-10-27 B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen KIT Die Forschungsuniversität
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Digitale Signaturen Prof. Jörn Müller-Quade mit Folien von G. Hartung und B. Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2018-01-25 J.
MehrDigitale Signaturen. seuf-cma & Pairings Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen seuf-cma & Pairings Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2018-01-19 B. Kaidel Digitale Signaturen: seuf-cma & Pairings KIT Die Forschungsuniversität
MehrVorlesung Digitale Signaturen im Wintersemester 2016/-17. Socrative-Fragen aus der Vorlesung vom
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Dozenten: Gunnar Hartung, Björn Kaidel Vorlesung Digitale Signaturen im Wintersemester 2016/-17 Socrative-Fragen aus der Vorlesung vom 25.11.2016
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Digitale Signaturen Björn Kaidel - Vertretung für Prof. Müller-Quade FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-01-19 B. Kaidel Asymmetrische
MehrDigitale Signaturen. Einführung Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Einführung Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-10-21 G. Hartung, B. Kaidel Digitale Signaturen: Einführung KIT Die Forschungsuniversität
MehrDigitale Signaturen. Einführung Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Einführung Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-10-20 B. Kaidel Digitale Signaturen: Einführung KIT Die Forschungsuniversität in der Helmholtz-Gemeinschaft
MehrDigitale Signaturen. seuf-cma & Pairings Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen seuf-cma & Pairings Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-01-20 B. Kaidel Digitale Signaturen: seuf-cma & Pairings KIT Die
MehrVorlesung Digitale Signaturen im Wintersemester 2017/-18. Socrative-Fragen aus der Vorlesung vom
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Dozenten: Björn Kaidel Vorlesung Digitale Signaturen im Wintersemester 2017/-18 Socrative-Fragen aus der Vorlesung vom 17.11.2017 1 Quiz 1:
MehrDigitale Signaturen. Wiederholung Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Wiederholung Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung KIT Die Forschungsuniversität
MehrBeliebige Anzahl von Signaturen
Beliebige Anzahl von Signaturen Algorithmus Signaturketten Sei Π = (Gen, Sign, Vrfy) ein Einwegsignaturverfahren. 1 Gen : (pk 1, sk 1 ) Gen(1 n ) 2 Sign : Signieren der Nachricht m i. Verwende gemerkten
MehrVorlesung Sicherheit
Vorlesung Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 23.05.2016 1 / 32 Überblick 1 Symmetrische Authentifikation von Nachrichten Ziel Konstruktionen MACs
MehrÜbung zur Vorlesung Sicherheit Übungsblatt 3. Björn Kaidel 1 / 52
Übung zur Vorlesung Sicherheit 21.05.2014 Übungsblatt 3 Björn Kaidel bjoern.kaidel@kit.edu 1 / 52 Kummerkasten Bitte helleren Laserpointer verwenden. Sind die Skriptlinks vertauscht? Nein! Wegen allgemeiner
MehrZiel: Zertifiziere Pfad von Wurzel zu m mittels Signaturen. Signieren Public-Keys auf Pfad inklusive der Nachbarknoten.
Merkle-Baum Idee: Konstruktion von Merkle-Bäumen Ersetze Signaturkette durch Baum (sogenannter Merkle-Baum). Verwenden Baum der Tiefe n für Nachrichten der Länge n. Die Wurzel erhält Label ɛ. Die Kinder
MehrDigitale Signaturen. Anwendung von Einmalsignaturen Gunnar Hartung, Björn Kaidel.
Digitale Signaturen Anwendung von Einmalsignaturen Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-11-15 G. Hartung Digitale Signaturen: Anwendung von
MehrVorlesung Sicherheit
Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 18.05.2015 1 / 30 Überblick 1 Asymmetrische Authentifikation von Nachrichten Erinnerung
MehrDigitale Signaturen. Parameterwahl & RSA-PSS Björn Kaidel (mit Folien von Gunnar Hartung)
Digitale Signaturen Parameterwahl & RSA-PSS Björn Kaidel (mit Folien von Gunnar Hartung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-11-15 B. Kaidel Digitale Signaturen: RSA-PSS
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Vorlesung 4 Alexander Koch (Vertretung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-11-10 Alexander Koch Asymmetrische Verschlüsselungsverfahren
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Vorlesung 4 Alexander Koch (Vertretung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 KIT 2015-11-12 Universität desalexander Landes Baden-Württemberg
MehrInstitut für Theoretische Informatik Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Klausur. Lösung
Institut für Theoretische Informatik Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2017 Klausur Lösung 02.08.2017 Vorname: Nachname: Matrikelnummer: Klausur-ID: Hinweise - Schreiben
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 30.04.2018 1 / 35 Überblick 1 Hashfunktionen Motivation Formalisierung Die Merkle-Damgård-Konstruktion (Weitere) Angriffe auf Hashfunktionen Zusammenfassung
MehrSicherheit von Merkle Signaturen
Sicherheit von Merkle Signaturen Algorithmus Angreifer A für die Einwegsignatur EINGABE: pk, Zugriff auf eine Anfrage an Orakel Sign sk ( ) 1 Berechne (pk (i), sk (i) ) Gen(1 n ) für i = 1,...,l. Wähle
MehrInstitut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Nachklausur. Lösung Hinweise
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2016 Nachklausur Lösung 12.10.2016 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung
MehrInstitut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Nachklausur Hinweise
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2016 Nachklausur 12.10.2016 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 29.04.2013 1 / 22 Überblick 1 Zusammenfassung und Korrektur Zusammenfassung Korrektur Definition semantische Sicherheit 2 Hashfunktionen Motivation Formalisierung
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 12.05.2014 1 / 26 Überblick 1 Hashfunktionen Erinnerung Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel:
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Björn Kaidel - Vertretung für Prof. J. Müller-Quade (Folien von A. Koch) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 17.11.2016 Björn Kaidel
MehrÜbung zur Vorlesung. Sicherheit Übungsblatt 5 Björn Kaidel
Übung zur Vorlesung Sicherheit 30.06.2016 Übungsblatt 5 Björn Kaidel bjoern.kaidel@kit.edu https://b.socrative.com/login/student/ Room: SICHERHEIT Bitte gleich einloggen! 1 / 55 Evaluation (siehe Evaluations-PDF)
MehrRSA Full Domain Hash (RSA-FDH) Signaturen
RSA Full Domain Hash (RSA-FDH) Signaturen Signatur RSA-FDH Sei H : {0, 1} Z N ein Random-Oracle. 1 Gen: (N, e, d) GenRSA(1 n ) mit pk = (N, e) und sk = (N, d). 2 Sign: Für eine Nachricht m {0, 1} berechne
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 15.05.2017 1 / 25 Überblick 1 Hashfunktionen Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel: RSA
MehrInstitut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Klausur Hinweise
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Klausur 21.07.2015 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen
MehrHomomorphe Verschlüsselung
Homomorphe Verschlüsselung Definition Homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : G G für Gruppen G, G. Π heißt homomorph, falls Enc(m 1 ) G Enc(m 2 ) eine gültige Verschlüsselung
MehrVoll homomorpe Verschlüsselung
Voll homomorpe Verschlüsselung Definition Voll homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : R R für Ringe R, R. Π heißt voll homomorph, falls 1 Enc(m 1 ) + Enc(m 2 ) eine gültige
MehrVorlesung Sicherheit
Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 02.05.2016 1 / 22 Überblick 1 Hashfunktionen Erinnerung Formalisierung Die Merkle-Damgård-Konstruktion
MehrInstitut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Nachklausur. Lösungsvorschlag Hinweise
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Nachklausur Lösungsvorschlag 29.09.2015 Vorname: Nachname: Matrikelnummer: Hinweise - Für
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 08.05.2017 1 / 32 Überblick 1 Blockchiffren Erinnerung Varianten von DES Beispiel: AES Angriffe auf Blockchiffren 2 Formalisierung von Sicherheit (symmetrischer
MehrÜbung zur Vorlesung Sicherheit Übungsblatt 2. Alexander Koch Björn Kaidel
Übung zur Vorlesung Sicherheit 07.05.2014 Übungsblatt 2 Alexander Koch alexander.koch@kit.edu Björn Kaidel bjoern.kaidel@kit.edu 1 / 32 Kummerkasten In der Übung lauter und deutlicher sprechen: Wir geben
MehrVorlesung Sicherheit
Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 20.04.2014 1 / 28 Überblick 1 Blockchiffren Erinnerung Angriffe auf Blockchiffren 2 Formalisierung
MehrRabin Verschlüsselung 1979
Rabin Verschlüsselung 1979 Idee: Rabin Verschlüsselung Beobachtung: Berechnen von Wurzeln in Z p ist effizient möglich. Ziehen von Quadratwurzeln in Z N ist äquivalent zum Faktorisieren. Vorteil: CPA-Sicherheit
MehrRSA Full Domain Hash (RSA-FDH) Signaturen
RSA Full Domain Hash (RSA-FDH) Signaturen Signatur RSA-FDH Sei H : {0, 1} Z N ein Random-Oracle. 1 Gen: (N, e, d) GenRSA(1 n ) mit pk = (N, e) und sk = (N, d). 2 Sign: Für eine Nachricht m {0, 1} berechne
MehrIch bedanke mich bei Florian Böhl, Benny Fuhry, Gunnar Hartung, Jan Holz, Björn Kaidel, Eike Kiltz, Evgheni Kirzner, Jessica Koch, Julia Rohlfing,
Digitale Signaturen Tibor Jager tibor.jager@rub.de Horst Görtz Institut für IT-Sicherheit Lehrstuhl für Netz- und Datensicherheit Ruhr-Universität Bochum Letzte Aktualisierung: 6. Oktober 2015 Ich bedanke
MehrÜbungsblatt 3. Stammvorlesung Sicherheit im Sommersemester Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Übungsblatt 3 Aufgabe 1. Beurteilen Sie für die folgenden Konstruktionen jeweils, ob es sich
MehrÜbung zur Vorlesung Sicherheit Übungsblatt 2. Alexander Koch Björn Kaidel
Übung zur Vorlesung Sicherheit 07.05.2014 Übungsblatt 2 Alexander Koch alexander.koch@kit.edu Björn Kaidel bjoern.kaidel@kit.edu 1 / 32 Kummerkasten In der Übung lauter und deutlicher sprechen: Wir geben
MehrInstitut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Übungsblatt 5. pk = (g, y) und sk = (g, x). ? = y H(t m) t. g s
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Übungsblatt 5 Hinweis: Übungsblätter können freiwillig bei Jessica Koch, Raum 256, Geb.
MehrHomomorphe Verschlüsselung
Homomorphe Verschlüsselung Definition Homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : G G für Gruppen G, G. Π heißt homomorph, falls Enc(m 1 ) G Enc(m 2 ) eine gültige Verschlüsselung
MehrVorlesung Sicherheit
Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 08.06.2015 1 / 34 Überblick 1 Schlüsselaustauschprotokolle Erinnerung Weitere Schlüsselaustauschtypen
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 06.05.2013 1 / 25 Überblick 1 Hashfunktionen Erinnerung Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel:
MehrCPA-Sicherheit ist ungenügend
CPA-Sicherheit ist ungenügend Definition CCA CCA (=Chosen Ciphertext Attack) ist ein Angriff, bei dem der Angreifer sich Chiffretext seiner Wahl entschlüsseln lassen kann. Beispiele in denen CPA nicht
MehrExistenz von Einwegfunktionen
Existenz von Einwegfunktionen Satz Einweg-Eigenschaft von f FO Unter der Faktorisierungsannahme ist f FO eine Einwegfunktion. Beweis: f FO ist mittels FACTOR-ONEWAY effizient berechenbar. z.z.: Invertierer
MehrHashfunktionen und Kollisionen
Hashfunktionen und Kollisionen Definition Hashfunktion Eine Hashfunktion ist ein Paar (Gen, H) von pt Algorithmen mit 1 Gen: s Gen(1 n ). Gen ist probabilistisch. 2 H: H s berechnet Funktion {0, 1} {0,
MehrDigitale Unterschriften. Angriffe und Sicherheitsmodelle. Bemerkungen. Angriffe und Sicherheitsmodelle
Digitale Unterschriften Auch digitale Signaturen genannt. Nachrichten aus Nachrichtenraum: M M. Signaturen aus Signaturenraum: σ S. Schlüssel sind aus Schlüsselräumen: d K 1, e K 2. SignierungsverfahrenS
MehrVorlesung Sicherheit
Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 04.05.2015 1 / 20 Kummerkasten Vorlesungsfolien bitte einen Tag vorher hochladen : Sollte
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 23.06.2014 1 / 26 Überblick 1 Zero-Knowledge-Protokolle Erinnerung Beispiel für Zero-Knowledge-Protokoll Analyse des Beispiel-Zero-Knowledge-Protokolls Proof-of-Knowledge-Eigenschaft
MehrInstitut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Nachklausur
Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz IKS Institut für Kryptographie und Sicherheit Stammvorlesung Sicherheit im Sommersemester 2013 Nachklausur 07.10.2013 Vorname: Nachname:
MehrSocrative-Fragen aus der Übung vom
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Übungsleiter: Björn Kaidel, Alexander Koch Stammvorlesung Sicherheit im Sommersemester 2016 Socrative-Fragen aus der Übung vom 28.04.2016
MehrInstitut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Klausur Hinweise
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Klausur 22.07.2014 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 26.06.2017 1 / 41 Überblick 1 Identifikationsprotokolle Erinnerung Sicherheitsmodell Ein sicheres Protokoll Noch ein sicheres Protokoll 2 Zero-Knowledge-Protokolle
MehrBemerkungen. Orientierung. Digitale Unterschriften. Angriffe und Sicherheitsmodelle
Orientierung Haben bisher im Public-Key Bereich nur Verschlüsselung betrachtet. Haben dafür geeignete mathematische Strukturen und ihre Eigenschaften diskutiert. RSA, Rabin: Restklassenringe modulo n,
MehrPrivacy-Preserving Authentication 2 Kryptografische Bausteine WS 2015/2016
Privacy-Preserving Authentication 2 Kryptografische Bausteine WS 2015/2016 Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum Übersicht 1 Vorteil und Sicherheit 2 Hash Funktionen 3 Digitale
MehrVIII. Digitale Signaturen
VIII. Digitale Signaturen Bob Eve Eve möchte - lauschen - ändern - personifizieren Alice 1 Aufgaben - Vertraulichkeit - Lauschen - Authentizität - Tauschen des Datenursprungs - Integrität - Änderung der
MehrInstitut für Theoretische Informatik Prof. Dr. Dennis Hofheinz Übungsleiter: Thomas Agrikola. Stammvorlesung Sicherheit im Sommersemester 2017
Institut für Theoretische Informatik Prof. Dr. Dennis Hofheinz Übungsleiter: Thomas Agrikola Stammvorlesung Sicherheit im Sommersemester 2017 Übungsblatt 4 Aufgabe 1. Wir instanziieren das ElGamal-Verschlüsselungsverfahren
MehrUnunterscheidbarkeit von Chiffretexten
Ununterscheidbarkeit von Chiffretexten Spiel Ununterscheidbarkeit von Chiffretexten PrivK eav A,Π (n) Sei Π ein Verschlüsselungsverfahren und A ein Angreifer. 1 (m 0, m 1 ) A. 2 k Gen(1 n ). 3 Wähle b
MehrUnunterscheidbarkeit von Chiffretexten
Ununterscheidbarkeit von Chiffretexten Spiel Ununterscheidbarkeit von Chiffretexten PrivK eav A,Π (n) Sei Π ein Verschlüsselungsverfahren und A ein Angreifer. (m 0, m ) A. 2 k Gen( n ). 3 Wähle b R {0,
MehrÜbung zur Vorlesung Sicherheit Übungsblatt 4. Björn Kaidel 1 / 70
Übung zur Vorlesung Sicherheit 18.06.2015 Übungsblatt 4 Björn Kaidel bjoern.kaidel@kit.edu 1 / 70 RSA: Warnung! Mehrere Nachfragen nach der letzten Übung: Wir wollen zu e ein d berechnen mit e d = 1 mod
MehrPrinzipien der modernen Kryptographie Sicherheit
Prinzipien der modernen Kryptographie Sicherheit Prinzip 1 Sicherheitsziel Die Sicherheitsziele müssen präzise definiert werden. Beispiele für ungenügende Definitionen von Sicherheit: Kein Angreifer kann
MehrUnunterscheidbarkeit von Chiffretexten
Ununterscheidbarkeit von Chiffretexten Spiel Ununterscheidbarkeit von Chiffretexten PrivK eav A,Π (n) Sei Π ein Verschlüsselungsverfahren und A ein Angreifer. 1 (m 0, m 1 ) A. 2 k Gen(1 n ). 3 Wähle b
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 25.04.2013 1 / 19 Überblick 1 Blockchiffren Erinnerung Beispiel: AES Angriffe auf Blockchiffren 2 Formalisierung von Sicherheit (symmetrischer Verschlüsselung)
MehrVII. Hashfunktionen und Authentifizierungscodes
VII. Hashfunktionen und Authentifizierungscodes Bob Eve Eve möchte - lauschen - ändern - personifizieren Alice 1 Aufgaben - Vertraulichkeit Lauschen - Authentizität Tauschen des Datenursprungs - Integrität
MehrKap. 2: Fail-Stop Unterschriften
Stefan Lucks 2: Fail-Stop Unterschriften 17 Digital Unterschreiben und Bezahlen Kap. 2: Fail-Stop Unterschriften Digitale Unterschriften (Synomym: Digitale Signaturen ): Fälschen mutmaßlich hart (RSA-Wurzeln,
MehrStromchiffre. Algorithmus Stromchiffre
Stromchiffre Algorithmus Stromchiffre Sei G ein Pseudozufallsgenerator mit Expansionsfaktor l(n). Wir definieren Π s = (Gen, Enc, Dec) mit Sicherheitsparameter n für Nachrichten der Länge l(n). 1 Gen:
MehrPrinzip 2 Präzisierung der Annahmen
Prinzip 2 Präzisierung der Annahmen Prinzip 2 Komplexitätsannahme Es muss spezifiziert werden, unter welchen Annahmen das System als sicher gilt. Eigenschaften: Angriffstyp COA, KPA, CPA oder CCA muss
Mehrhttps://b.socrative.com/login/student/
Übung zur Vorlesung Sicherheit 23.06.2016 Übungsblatt 4 Björn Kaidel bjoern.kaidel@kit.edu https://b.socrative.com/login/student/ Room: SICHERHEIT Bitte gleich einloggen! 1 / 62 Feedback: Kummerkasten/Feedback
MehrPublic Key Kryptographie
4. Dezember 2007 Outline 1 Einführung 2 3 4 Einführung 1976 Whitefield Diffie und Martin Hellman 2 Schlüsselprinzip Asymmetrische Verschlüsselungsverfahren public Key private Key Anwendung E-Mail PGP openpgp
MehrEinführung in digitale Signaturen
Einführung in digitale Signaturen Hannes Thalheim Universität Leipzig 8. Januar 2018 Zusammenfassung Für eine sichere Kommunikation im Web ist die Geheimhaltung von Nachrichten so wichtig wie das Wissen,
MehrStromchiffre. Algorithmus Stromchiffre
Stromchiffre Algorithmus Stromchiffre Sei G ein Pseudozufallsgenerator mit Expansionsfaktor l(n). Wir definieren Π s = (Gen, Enc, Dec) mit Sicherheitsparameter n für Nachrichten der Länge l(n). 1 Gen:
Mehrhttps://b.socrative.com/login/student/
Übung zur Vorlesung Sicherheit 23.06.2016 Übungsblatt 4 Björn Kaidel bjoern.kaidel@kit.edu https://b.socrative.com/login/student/ Room: SICHERHEIT Bitte gleich einloggen! 1 / 62 Feedback: Kummerkasten/Feedback
MehrElliptic Curve Cryptography
Elliptic Curve Cryptography Institut für Informatik Humboldt-Universität zu Berlin 10. November 2013 ECC 1 Aufbau 1 Asymmetrische Verschlüsselung im Allgemeinen 2 Elliptische Kurven über den reellen Zahlen
MehrHardcore-Prädikat. Definition Hardcore-Prädikat. Ziel: Destilliere Komplexität des Invertierens auf ein Bit.
Hardcore-Prädikat Ziel: Destilliere Komplexität des Invertierens auf ein Bit. Definition Hardcore-Prädikat Sei Π f eine Einwegfunktion. Sei hc ein deterministischer pt Alg mit Ausgabe eines Bits hc(x)
MehrHybride Verschlüsselungsverfahren
Hybride Verschlüsselungsverfahren Ziel: Flexibilität von asym. Verfahren und Effizienz von sym. Verfahren. Szenario: Sei Π = (Gen, Enc, Dec) ein PK-Verschlüsselungsverfahren und Π = (Gen, Enc, Dec ) ein
MehrBlinde Signaturen, geheime Abstimmungen und digitale Münzen
Blinde Signaturen, geheime Abstimmungen und digitale Münzen Claus Diem Im Wintersemester 2017 / 18 Crypto 1982 Geheime Abstimmungen Eine geheime Abstimmung Problem. Eine Gruppe von Personen will per Brief
MehrPrinzipien der modernen Kryptographie Sicherheit
Prinzipien der modernen Kryptographie Sicherheit Prinzip 1 Sicherheitsziel Die Sicherheitsziele müssen präzise definiert werden. Beispiele für ungenügende Definitionen von Sicherheit Kein Angreifer kann
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 26.05.2014 1 / 32 Überblick 1 Hinweis 2 Asymmetrische Authentifikation von Nachrichten Erinnerung RSA als Signaturschema ElGamal-Signaturen Hash-Then-Sign
MehrÜbung zur Vorlesung Sicherheit Übungsblatt 2. Alexander Koch Björn Kaidel
Übung zur Vorlesung Sicherheit 07.05.2014 Übungsblatt 2 Alexander Koch alexander.koch@kit.edu Björn Kaidel bjoern.kaidel@kit.edu 1 / 39 Werbung: KASTEL-Zertifikat Nachweis für Spezialisierung in IT-Sicherheit
MehrSicherer MAC für Nachrichten beliebiger Länge
Sicherer MAC für Nachrichten beliebiger Länge Korollar Sicherer MAC für Nachrichten beliebiger Länge Sei F eine Pseudozufallsfunktion. Dann ist Π MAC2 für Π = Π MAC sicher. Nachteile: Für m ({0, 1} n 4
MehrEinwegfunktionen. Problemseminar. Komplexitätstheorie und Kryptographie. Martin Huschenbett. 30. Oktober 2008
Problemseminar Komplexitätstheorie und Kryptographie Martin Huschenbett Student am Institut für Informatik an der Universität Leipzig 30. Oktober 2008 1 / 33 Gliederung 1 Randomisierte Algorithmen und
MehrKryptographische Protokolle
Kryptographische Protokolle Lerneinheit 4: Schlüsselvereinbarung Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen Sommersemester 2017 8.5.2017 Einleitung Einleitung In dieser Lerneinheit
Mehr6: Public-Key Kryptographie (Grundidee)
6: Public-Key Kryptographie (Grundidee) Ein Teil des Schlüssels ist nur dem Empfänger bekannt. Der auch dem Sender bekannte Teil kann sogar veröffentlicht werden. Man spricht dann von einem Schlüsselpaar.
MehrVerteilte Kyroptographie
Verteilte Kyroptographie Klassische kryptographische Verfahren Kryptographische Hash-Funktionen Public-Key-Signaturen Verteilte Mechanismen Schwellwert-Signaturen Verteilt generierte Zufallszahlen Verteilte
MehrAlgorithmische Methoden für schwere Optimierungsprobleme
Algorithmische Methoden für schwere Optimierungsprobleme Prof. Dr. Henning Meyerhenke Institut für Theoretische Informatik 1 KIT Henning Universität desmeyerhenke, Landes Baden-Württemberg Institutund
Mehr