Digitale Signaturen. Anwendung von Einmalsignaturen Gunnar Hartung, Björn Kaidel.
|
|
- Frank Wolf
- vor 5 Jahren
- Abrufe
Transkript
1 Digitale Signaturen Anwendung von Einmalsignaturen Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen KIT Die Forschungsuniversität in der Helmholtz-Gemeinschaft
2 Socrative: Wiederholung Room: SIGNATUREN Bitte jetzt einloggen, falls ihr mitmachen wollt :) Bleibt am Besten einfach während der VL eingeloggt. Erstes Quiz läuft bereits & kann ausgefüllt werden! G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen
3 Inhalt Socrative Von EUF-naCMA-Sicherheit zu EUF-CMA-Sicherheit (Kap. 2.4) Einschub: Beweisstruktur (nicht im Skript) Sicherheitsbeweis (Kap 2.4) G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen
4 Socrative vom letzten Mal (Skript) Warum kann man die Einmalsignaturverfahren aus der letzten VL nicht mehrfach verwenden? G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen
5 Socrative vom letzten Mal (Skript) Warum kann man die Einmalsignaturverfahren aus der letzten VL nicht mehrfach verwenden? Es gibt Angriffe, die möglich werden, wenn man zwei Signaturen kennt G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen
6 Dlog-Einmalsignaturverfahren (Skript) Gegeben: G = g, g, p = G Gen(1 k ) : x, ω Z p h := g x, c := g ω sk = (x, ω) pk = (g, h, c) Sign(sk, m) : σ = ω m x (mod p) Vfy(pk, m, σ) : c? = g m h σ G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen
7 Dlog-Einmalsignaturverfahren (Skript) Gegeben: G = g, g, p = G Gen(1 k ) : x, ω Z p h := g x, c := g ω sk = (x, ω) pk = (g, h, c) Sign(sk, m) : σ = ω m x (mod p) Vfy(pk, m, σ) : c? = g m h σ Angriff mit zwei Signaturen σ 1, σ 2 für Nachrichten m 1 = m 2 : Es gilt σ 1 = σ 2 und: g m 1h σ 1 = c = g m 2h σ 2 m 1 + xσ 1 m 2 + xσ 2 (mod p) x m 1 m 2 σ 2 σ 1 (mod p) = Angreifer kann x berechnen G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen
8 Dlog-Einmalsignaturverfahren (Skript) Gegeben: G = g, g, p = G Gen(1 k ) : x, ω Z p h := g x, c := g ω sk = (x, ω) pk = (g, h, c) Sign(sk, m) : σ = ω m x (mod p) Vfy(pk, m, σ) : c? = g m h σ Gegeben x, m und σ und beliebige Nachricht m ist σ := σ + m m x (mod p) eine gültige Signatur für m : g m h σ = g m hσ+ m m x = g m h σ h m m x = g m h σ (g x ) m m x = g m h σ g m m = g m h σ = c = Angreifer kann σ für beliebige m berechnen G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen
9 RSA-Einmalsignaturen (Skript) Gen(1 k ) : wähle N, e, d geeignet J, c Z n sk = d pk = (N, e, J, c) Sign(sk, m) : σ = ( c J m ) d (mod N) Vfy(pk, m, σ) : c? J m σ e (mod N) G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen
10 RSA-Einmalsignaturen (Skript) Gen(1 k ) : wähle N, e, d geeignet J, c Z n sk = d pk = (N, e, J, c) Sign(sk, m) : σ = ( c J m ) d (mod N) Vfy(pk, m, σ) : c? J m σ e (mod N) Angriff mit zwei Signaturen σ 1, σ 2 für Nachrichten m 1 = m 2 : Sei obda. m 1 > m 2. Dann gilt J m 1σ e 1 = c = J m 2σ e 2 (mod N) J m 1 m 2 (σ 2 /σ 1 ) e (mod N) = berechne mit Shamirs Trick ein x Z N sodass x e J (mod N) G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen
11 RSA-Einmalsignaturen (Skript) Gen(1 k ) : wähle N, e, d geeignet J, c Z n sk = d pk = (N, e, J, c) Sign(sk, m) : σ = ( c J m ) d (mod N) Vfy(pk, m, σ) : c? J m σ e (mod N) Gegeben x, m, σ und beliebige Nachricht m ist σ := σx m m (mod N) eine gültige Signatur für m: J m (σ ) e J m (σx m m ) e J m σ e (x e ) m m J m σ e J m m J m σ e c (mod N) = Angreifer kann σ für beliebige m berechnen G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen
12 Socrative vom letzten Mal Wunsch (?): Beweise auf Folien, Vorlesung Nachmittags aktuell: bewusst nicht auf Folien Beweise zum Nachlesen im Skript (siehe Vorlesungs-Homepage) mitschreiben möglich, aber nicht nötig Zweck? G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen
13 Socrative vom letzten Mal Wunsch (?): Beweise auf Folien, Vorlesung Nachmittags aktuell: bewusst nicht auf Folien Beweise zum Nachlesen im Skript (siehe Vorlesungs-Homepage) mitschreiben möglich, aber nicht nötig Zweck? Termin jetzt leider schwer zu ändern :( G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen
14 Inhalt Socrative Von EUF-naCMA-Sicherheit zu EUF-CMA-Sicherheit (Kap. 2.4) Einschub: Beweisstruktur (nicht im Skript) Sicherheitsbeweis (Kap 2.4) G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen
15 Von EUF-naCMA-Sicherheit zu EUF-CMA-Sicherheit Heute: Gegeben ein EUF-naCMA-sicheres Signaturverfahren Σ und ein EUF-1-naCMA-sicheres Einmalsignaturverfahren Σ (1), konstruiere ein EUF-CMA-sicheres Signaturverfahren Σ. Transformation G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen
16 Transformation Seien Σ = (Gen, Sign, Vfy ) und Σ (1) = (Gen (1), Sign (1), Vfy (1) ) digitale Signaturverfahren. Wir konstruieren Σ = (Gen, Sign, Vfy) : Gen(1 k ): (pk, sk) := (pk, sk ) Gen (1 k ) G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen
17 Transformation Sign(sk, m) : Vfy(pk, m, σ) : gibt 1 aus wenn sonst 0. (pk (1), sk (1) ) Gen (1) (1 k ) σ Sign (sk, pk (1) ) σ (1) Sign (1) (sk (1), m) σ := (pk (1), σ (1), σ ) Vfy (pk, pk (1), σ ) = 1 Vfy (1) (pk (1), m, σ (1) ) = 1, G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen
18 Transformation Intuition: σ = ( pk (1), σ (1), σ ) G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen
19 Transformation Intuition: σ = ( pk (1), σ (1), σ ) zufälliger neuer Schlüssel G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen
20 Transformation Intuition: σ = ( pk (1), σ (1), σ ) zufälliger neuer Schlüssel Garantiert: pk (1) stammt vom Eigentümer von pk G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen
21 Transformation Intuition: Signiert eigentliche Nachricht (unter pk (1) ) σ = ( pk (1), σ (1), σ ) zufälliger neuer Schlüssel Garantiert: pk (1) stammt vom Eigentümer von pk G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen
22 Inhalt Socrative Von EUF-naCMA-Sicherheit zu EUF-CMA-Sicherheit (Kap. 2.4) Einschub: Beweisstruktur (nicht im Skript) Sicherheitsbeweis (Kap 2.4) G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen
23 Einschub: Beweisstruktur (Skript) Behauptung: Wenn Σ EUF-naCMA-sicher ist, und Σ (1) EUF-1-naCMA-sicher ist, dann ist Σ EUF-CMA-sicher G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen
24 Einschub: Beweisstruktur (Skript) Behauptung: Wenn Σ EUF-naCMA-sicher ist, und Σ (1) EUF-1-naCMA-sicher ist, dann ist Σ EUF-CMA-sicher. Wie führt man einen Sicherheitsbeweis mit zwei Annahmen? Was muss gezeigt werden? G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen
25 Einschub: Beweisstruktur (Skript) Lehrreich: Wie funktionieren eigentlich normale Sicherheitsbeweise? G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen
26 Einschub: Beweisstruktur (Skript) Lehrreich: Wie funktionieren eigentlich normale Sicherheitsbeweise? Seien A eine Annahme (z.b. f ist eine Einwegfunktion ), S eine Sicherheits-Aussage (z.b. das Lamport-Verfahren mit f ist EUF-1-naCMA-sicher ) G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen
27 Einschub: Beweisstruktur (Skript) Lehrreich: Wie funktionieren eigentlich normale Sicherheitsbeweise? Seien A eine Annahme (z.b. f ist eine Einwegfunktion ), S eine Sicherheits-Aussage (z.b. das Lamport-Verfahren mit f ist EUF-1-naCMA-sicher ) Zu zeigen: A = S G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen
28 Einschub: Beweisstruktur (Skript) Lehrreich: Wie funktionieren eigentlich normale Sicherheitsbeweise? Seien A eine Annahme (z.b. f ist eine Einwegfunktion ), S eine Sicherheits-Aussage (z.b. das Lamport-Verfahren mit f ist EUF-1-naCMA-sicher ) Zu zeigen: A = S Wir zeigen immer: S = A G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen
29 Einschub: Beweisstruktur (Skript) Lehrreich: Wie funktionieren eigentlich normale Sicherheitsbeweise? Seien A eine Annahme (z.b. f ist eine Einwegfunktion ), S eine Sicherheits-Aussage (z.b. das Lamport-Verfahren mit f ist EUF-1-naCMA-sicher ) Zu zeigen: A = S Wir zeigen immer: S = A Warum reicht das? G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen
30 Einschub: Beweisstruktur (Skript) Lehrreich: Wie funktionieren eigentlich normale Sicherheitsbeweise? Seien A eine Annahme (z.b. f ist eine Einwegfunktion ), S eine Sicherheits-Aussage (z.b. das Lamport-Verfahren mit f ist EUF-1-naCMA-sicher ) Zu zeigen: A = S Wir zeigen immer: S = A Warum reicht das? (A S) ( S A)! G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen
31 Einschub: Beweisstruktur (Skript) Lehrreich: Wie funktionieren eigentlich normale Sicherheitsbeweise? Seien A eine Annahme (z.b. f ist eine Einwegfunktion ), S eine Sicherheits-Aussage (z.b. das Lamport-Verfahren mit f ist EUF-1-naCMA-sicher ) Zu zeigen: A = S Wir zeigen immer: S = A Warum reicht das? (A S) ( S A)! A S A = S S = A G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen
32 Einschub: Beweisstruktur (Skript) Nun: A und B Annahmen Σ ist EUF-naCMA-sicher Σ (1) ist EUF-1-naCMA-sicher G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen
33 Einschub: Beweisstruktur (Skript) Nun: A und B Annahmen Σ ist EUF-naCMA-sicher Σ (1) ist EUF-1-naCMA-sicher S wieder gewünschte Sicherheits-Aussage Σ ist EUF-CMA-sicher G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen
34 Einschub: Beweisstruktur (Skript) Nun: A und B Annahmen Σ ist EUF-naCMA-sicher Σ (1) ist EUF-1-naCMA-sicher S wieder gewünschte Sicherheits-Aussage Σ ist EUF-CMA-sicher Zu zeigen: (A B) = S G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen
35 Einschub: Beweisstruktur (Skript) Nun: A und B Annahmen Σ ist EUF-naCMA-sicher Σ (1) ist EUF-1-naCMA-sicher S wieder gewünschte Sicherheits-Aussage Σ ist EUF-CMA-sicher Zu zeigen: (A B) = S Äquivalent dazu: S = (A B) G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen
36 Einschub: Beweisstruktur (Skript) Nun: A und B Annahmen Σ ist EUF-naCMA-sicher Σ (1) ist EUF-1-naCMA-sicher S wieder gewünschte Sicherheits-Aussage Σ ist EUF-CMA-sicher Zu zeigen: (A B) = S Äquivalent dazu: S = (A B) Äquivalent dazu: S = ( A) ( B) G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen
37 Einschub: Beweisstruktur (Skript) Nun: A und B Annahmen Σ ist EUF-naCMA-sicher Σ (1) ist EUF-1-naCMA-sicher S wieder gewünschte Sicherheits-Aussage Σ ist EUF-CMA-sicher Zu zeigen: (A B) = S Äquivalent dazu: S = (A B) Äquivalent dazu: S = ( A) ( B) Wir zeigen nun: S = ( A) ( B) G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen
38 Inhalt Socrative Von EUF-naCMA-Sicherheit zu EUF-CMA-Sicherheit (Kap. 2.4) Einschub: Beweisstruktur (nicht im Skript) Sicherheitsbeweis (Kap 2.4) G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen
39 Sicherheit Theorem (32, leicht anders als im Skript) Für jeden PPT-Angreifer A, der die EUF-CMA-Sicherheit von Σ in Zeit t A mit Erfolgswahrscheinlichkeit ɛ A bricht, und dabei höchstens q Signaturanfragen stellt, existieren PPT-Angreifer B, C mit Laufzeiten t B t A, t C t A, und: B bricht die EUF-1-naCMA-Sicherheit von Σ (1) mit Erfolgswahrscheinlichkeit ɛ B ɛ A 2q, oder C bricht die EUF-naCMA-Sicherheit von Σ mit Erfolgswahrscheinlichkeit ɛ C ɛ A G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen
40 Reduktion auf Sicherheit von Σ (1) EUF-1-naCMA EUF-CMA EUF-1-naCMA-Challenger B A G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen
41 Reduktion auf Sicherheit von Σ (1) EUF-1-naCMA EUF-CMA EUF-1-naCMA-Challenger B A wähle pk geeignet pk G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen
42 Reduktion auf Sicherheit von Σ (1) EUF-1-naCMA EUF-CMA EUF-1-naCMA-Challenger B A wähle pk geeignet pk m i Berechne σ i geeignet σ i G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen
43 Reduktion auf Sicherheit von Σ (1) EUF-1-naCMA EUF-CMA EUF-1-naCMA-Challenger B A wähle pk geeignet pk m i m i pk (1) i, σ (1) i Berechne σ i geeignet σ i G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen
44 Reduktion auf Sicherheit von Σ (1) EUF-1-naCMA EUF-CMA EUF-1-naCMA-Challenger B A wähle pk geeignet pk m i m i pk (1) i, σ (1) i Berechne σ i geeignet m, σ m, σ (1) 2 σ i G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen
45 Socrative Room: SIGNATUREN Was müssen wir zeigen, um den Beweis zu führen? Welche Fakten und Annahmen nutzen wir im Beweis aus? G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen
46 Reduktion auf Sicherheit von Σ EUF-naCMA EUF-CMA EUF-naCMA-Challenger C A G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen
47 Reduktion auf Sicherheit von Σ EUF-naCMA EUF-naCMA-Challenger C A pk (1) (1) 1,..., pk q wähle pk (1) i EUF-CMA G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen
48 Reduktion auf Sicherheit von Σ EUF-naCMA EUF-naCMA-Challenger C A pk (1) (1) 1,..., pk q wähle pk (1) i EUF-CMA pk, σ 1,..., σ q pk G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen
49 Reduktion auf Sicherheit von Σ EUF-naCMA EUF-naCMA-Challenger C A pk (1) (1) 1,..., pk q wähle pk (1) i EUF-CMA pk, σ 1,..., σ q pk 1 m i Berechne σ i geeignet σ i G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen
50 Reduktion auf Sicherheit von Σ EUF-naCMA EUF-naCMA-Challenger C A pk (1) (1) 1,..., pk q wähle pk (1) i EUF-CMA pk, σ 1,..., σ q pk 1 m i Berechne σ i geeignet m, σ m, σ (1) 3 σ i G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen
51 Socrative Room: SIGNATUREN Teacher s Question: Anmerkungen zur VL, Wünsche, Kritik, G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen
Digitale Signaturen. Einmalsignaturen Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Einmalsignaturen Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-11-04 B. Kaidel Digitale Signaturen: Einmalsignaturen KIT Die Forschungsuniversität
MehrDigitale Signaturen. RSA-FDH & das Random Oracle Model Björn Kaidel (mit Folien von Gunnar Hartung)
Digitale Signaturen RSA-FDH & das Random Oracle Model Björn Kaidel (mit Folien von Gunnar Hartung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-12-01 B. Kaidel Digitale Signaturen:
MehrDigitale Signaturen. GHR-und Chamäleon-Signaturen Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen GHR-und Chamäleon-Signaturen Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-01-12 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen KIT
MehrDigitale Signaturen. Sicherheitsdefinitionen Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Sicherheitsdefinitionen Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-10-27 B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen KIT Die Forschungsuniversität
MehrDigitale Signaturen. Sicherheitsdefinitionen Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Sicherheitsdefinitionen Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-10-28 B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen
MehrVorlesung Digitale Signaturen im Wintersemester 2016/-17. Socrative-Fragen aus der Vorlesung vom
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Dozenten: Gunnar Hartung, Björn Kaidel Vorlesung Digitale Signaturen im Wintersemester 2016/-17 Socrative-Fragen aus der Vorlesung vom 25.11.2016
MehrDigitale Signaturen. RSA-FDH & das Random Oracle Model Jiaxin Pan (Slides from Björn Kaidel and Gunnar Hartung)
Digitale Signaturen RSA-FDH & das Random Oracle Model Jiaxin Pan (Slides from Björn Kaidel and Gunnar Hartung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2018-10-26 B. Kaidel Digitale
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Einmalsignaturen Björn Kaidel (Vertretung für Prof. Müller-Quade) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2018-02-01 B. Kaidel Asymmetrische
MehrDigitale Signaturen. GHR-und Chamäleon-Signaturen Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen GHR-und Chamäleon-Signaturen Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen KIT
MehrDigitale Signaturen. Anwendung von Einmalsignaturen Gunnar Hartung, Björn Kaidel.
Digitale Signaturen Anwendung von Einmalsignaturen Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-11-15 G. Hartung Digitale Signaturen: Anwendung von
MehrDigitale Signaturen. Einführung Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Einführung Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-10-21 G. Hartung, B. Kaidel Digitale Signaturen: Einführung KIT Die Forschungsuniversität
MehrVorlesung Digitale Signaturen im Wintersemester 2017/-18. Socrative-Fragen aus der Vorlesung vom
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Dozenten: Björn Kaidel Vorlesung Digitale Signaturen im Wintersemester 2017/-18 Socrative-Fragen aus der Vorlesung vom 17.11.2017 1 Quiz 1:
MehrDigitale Signaturen. seuf-cma & Pairings Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen seuf-cma & Pairings Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2018-01-19 B. Kaidel Digitale Signaturen: seuf-cma & Pairings KIT Die Forschungsuniversität
MehrDigitale Signaturen. Parameterwahl & RSA-PSS Björn Kaidel (mit Folien von Gunnar Hartung)
Digitale Signaturen Parameterwahl & RSA-PSS Björn Kaidel (mit Folien von Gunnar Hartung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-11-15 B. Kaidel Digitale Signaturen: RSA-PSS
MehrDigitale Signaturen. Einführung Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Einführung Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-10-20 B. Kaidel Digitale Signaturen: Einführung KIT Die Forschungsuniversität in der Helmholtz-Gemeinschaft
MehrDigitale Signaturen. Anwendung von Einmalsignaturen Björn Kaidel (mit Folien von Gunnar Hartung)
Digitale Signaturen Anwendung von Einmalsignaturen Björn Kaidel (mit Folien von Gunnar Hartung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-11-24 B. Kaidel Digitale Signaturen:
MehrDigitale Signaturen. seuf-cma & Pairings Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen seuf-cma & Pairings Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-01-20 B. Kaidel Digitale Signaturen: seuf-cma & Pairings KIT Die
MehrDigitale Signaturen. Wiederholung Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Wiederholung Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung KIT Die Forschungsuniversität
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Digitale Signaturen Prof. Jörn Müller-Quade mit Folien von G. Hartung und B. Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2018-01-25 J.
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Digitale Signaturen Björn Kaidel - Vertretung für Prof. Müller-Quade FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-01-19 B. Kaidel Asymmetrische
MehrVorlesung Sicherheit
Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 18.05.2015 1 / 30 Überblick 1 Asymmetrische Authentifikation von Nachrichten Erinnerung
MehrBeliebige Anzahl von Signaturen
Beliebige Anzahl von Signaturen Algorithmus Signaturketten Sei Π = (Gen, Sign, Vrfy) ein Einwegsignaturverfahren. 1 Gen : (pk 1, sk 1 ) Gen(1 n ) 2 Sign : Signieren der Nachricht m i. Verwende gemerkten
MehrVorlesung Sicherheit
Vorlesung Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 23.05.2016 1 / 32 Überblick 1 Symmetrische Authentifikation von Nachrichten Ziel Konstruktionen MACs
MehrÜbung zur Vorlesung. Sicherheit Übungsblatt 5 Björn Kaidel
Übung zur Vorlesung Sicherheit 30.06.2016 Übungsblatt 5 Björn Kaidel bjoern.kaidel@kit.edu https://b.socrative.com/login/student/ Room: SICHERHEIT Bitte gleich einloggen! 1 / 55 Evaluation (siehe Evaluations-PDF)
MehrZiel: Zertifiziere Pfad von Wurzel zu m mittels Signaturen. Signieren Public-Keys auf Pfad inklusive der Nachbarknoten.
Merkle-Baum Idee: Konstruktion von Merkle-Bäumen Ersetze Signaturkette durch Baum (sogenannter Merkle-Baum). Verwenden Baum der Tiefe n für Nachrichten der Länge n. Die Wurzel erhält Label ɛ. Die Kinder
MehrSicherheit von Merkle Signaturen
Sicherheit von Merkle Signaturen Algorithmus Angreifer A für die Einwegsignatur EINGABE: pk, Zugriff auf eine Anfrage an Orakel Sign sk ( ) 1 Berechne (pk (i), sk (i) ) Gen(1 n ) für i = 1,...,l. Wähle
MehrÜbung zur Vorlesung Sicherheit Übungsblatt 3. Björn Kaidel 1 / 52
Übung zur Vorlesung Sicherheit 21.05.2014 Übungsblatt 3 Björn Kaidel bjoern.kaidel@kit.edu 1 / 52 Kummerkasten Bitte helleren Laserpointer verwenden. Sind die Skriptlinks vertauscht? Nein! Wegen allgemeiner
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Vorlesung 4 Alexander Koch (Vertretung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-11-10 Alexander Koch Asymmetrische Verschlüsselungsverfahren
MehrRSA Full Domain Hash (RSA-FDH) Signaturen
RSA Full Domain Hash (RSA-FDH) Signaturen Signatur RSA-FDH Sei H : {0, 1} Z N ein Random-Oracle. 1 Gen: (N, e, d) GenRSA(1 n ) mit pk = (N, e) und sk = (N, d). 2 Sign: Für eine Nachricht m {0, 1} berechne
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Vorlesung 4 Alexander Koch (Vertretung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 KIT 2015-11-12 Universität desalexander Landes Baden-Württemberg
MehrInstitut für Theoretische Informatik Prof. Dr. Dennis Hofheinz Übungsleiter: Thomas Agrikola. Stammvorlesung Sicherheit im Sommersemester 2017
Institut für Theoretische Informatik Prof. Dr. Dennis Hofheinz Übungsleiter: Thomas Agrikola Stammvorlesung Sicherheit im Sommersemester 2017 Übungsblatt 4 Aufgabe 1. Wir instanziieren das ElGamal-Verschlüsselungsverfahren
MehrInstitut für Theoretische Informatik Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Klausur. Lösung
Institut für Theoretische Informatik Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2017 Klausur Lösung 02.08.2017 Vorname: Nachname: Matrikelnummer: Klausur-ID: Hinweise - Schreiben
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 23.06.2014 1 / 26 Überblick 1 Zero-Knowledge-Protokolle Erinnerung Beispiel für Zero-Knowledge-Protokoll Analyse des Beispiel-Zero-Knowledge-Protokolls Proof-of-Knowledge-Eigenschaft
MehrHomomorphe Verschlüsselung
Homomorphe Verschlüsselung Definition Homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : G G für Gruppen G, G. Π heißt homomorph, falls Enc(m 1 ) G Enc(m 2 ) eine gültige Verschlüsselung
MehrInstitut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Klausur Hinweise
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Klausur 21.07.2015 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen
MehrRSA Full Domain Hash (RSA-FDH) Signaturen
RSA Full Domain Hash (RSA-FDH) Signaturen Signatur RSA-FDH Sei H : {0, 1} Z N ein Random-Oracle. 1 Gen: (N, e, d) GenRSA(1 n ) mit pk = (N, e) und sk = (N, d). 2 Sign: Für eine Nachricht m {0, 1} berechne
Mehrhttps://b.socrative.com/login/student/
Übung zur Vorlesung Sicherheit 23.06.2016 Übungsblatt 4 Björn Kaidel bjoern.kaidel@kit.edu https://b.socrative.com/login/student/ Room: SICHERHEIT Bitte gleich einloggen! 1 / 62 Feedback: Kummerkasten/Feedback
Mehrhttps://b.socrative.com/login/student/
Übung zur Vorlesung Sicherheit 23.06.2016 Übungsblatt 4 Björn Kaidel bjoern.kaidel@kit.edu https://b.socrative.com/login/student/ Room: SICHERHEIT Bitte gleich einloggen! 1 / 62 Feedback: Kummerkasten/Feedback
MehrInstitut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Nachklausur. Lösung Hinweise
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2016 Nachklausur Lösung 12.10.2016 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Björn Kaidel - Vertretung für Prof. J. Müller-Quade (Folien von A. Koch) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 17.11.2016 Björn Kaidel
MehrInstitut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Nachklausur Hinweise
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2016 Nachklausur 12.10.2016 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung
MehrHardcore-Prädikat. Definition Hardcore-Prädikat. Ziel: Destilliere Komplexität des Invertierens auf ein Bit.
Hardcore-Prädikat Ziel: Destilliere Komplexität des Invertierens auf ein Bit. Definition Hardcore-Prädikat Sei Π f eine Einwegfunktion. Sei hc ein deterministischer pt Alg mit Ausgabe eines Bits hc(x)
MehrBlinde Signaturen, geheime Abstimmungen und digitale Münzen
Blinde Signaturen, geheime Abstimmungen und digitale Münzen Claus Diem Im Wintersemester 2017 / 18 Crypto 1982 Geheime Abstimmungen Eine geheime Abstimmung Problem. Eine Gruppe von Personen will per Brief
MehrÜbung zur Vorlesung Sicherheit Übungsblatt 4. Björn Kaidel 1 / 70
Übung zur Vorlesung Sicherheit 18.06.2015 Übungsblatt 4 Björn Kaidel bjoern.kaidel@kit.edu 1 / 70 RSA: Warnung! Mehrere Nachfragen nach der letzten Übung: Wir wollen zu e ein d berechnen mit e d = 1 mod
MehrDigitale Unterschriften. Angriffe und Sicherheitsmodelle. Bemerkungen. Angriffe und Sicherheitsmodelle
Digitale Unterschriften Auch digitale Signaturen genannt. Nachrichten aus Nachrichtenraum: M M. Signaturen aus Signaturenraum: σ S. Schlüssel sind aus Schlüsselräumen: d K 1, e K 2. SignierungsverfahrenS
MehrRabin Verschlüsselung 1979
Rabin Verschlüsselung 1979 Idee: Rabin Verschlüsselung Beobachtung: Berechnen von Wurzeln in Z p ist effizient möglich. Ziehen von Quadratwurzeln in Z N ist äquivalent zum Faktorisieren. Vorteil: CPA-Sicherheit
MehrInstitut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Nachklausur
Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz IKS Institut für Kryptographie und Sicherheit Stammvorlesung Sicherheit im Sommersemester 2013 Nachklausur 07.10.2013 Vorname: Nachname:
MehrUnunterscheidbarkeit von Chiffretexten
Ununterscheidbarkeit von Chiffretexten Spiel Ununterscheidbarkeit von Chiffretexten PrivK eav A,Π (n) Sei Π ein Verschlüsselungsverfahren und A ein Angreifer. 1 (m 0, m 1 ) A. 2 k Gen(1 n ). 3 Wähle b
MehrUnunterscheidbarkeit von Chiffretexten
Ununterscheidbarkeit von Chiffretexten Spiel Ununterscheidbarkeit von Chiffretexten PrivK eav A,Π (n) Sei Π ein Verschlüsselungsverfahren und A ein Angreifer. (m 0, m ) A. 2 k Gen( n ). 3 Wähle b R {0,
MehrHybride Verschlüsselungsverfahren
Hybride Verschlüsselungsverfahren Ziel: Flexibilität von asym. Verfahren und Effizienz von sym. Verfahren. Szenario: Sei Π = (Gen, Enc, Dec) ein PK-Verschlüsselungsverfahren und Π = (Gen, Enc, Dec ) ein
MehrUnunterscheidbarkeit von Chiffretexten
Ununterscheidbarkeit von Chiffretexten Spiel Ununterscheidbarkeit von Chiffretexten PrivK eav A,Π (n) Sei Π ein Verschlüsselungsverfahren und A ein Angreifer. 1 (m 0, m 1 ) A. 2 k Gen(1 n ). 3 Wähle b
MehrIch bedanke mich bei Florian Böhl, Benny Fuhry, Gunnar Hartung, Jan Holz, Björn Kaidel, Eike Kiltz, Evgheni Kirzner, Jessica Koch, Julia Rohlfing,
Digitale Signaturen Tibor Jager tibor.jager@rub.de Horst Görtz Institut für IT-Sicherheit Lehrstuhl für Netz- und Datensicherheit Ruhr-Universität Bochum Letzte Aktualisierung: 6. Oktober 2015 Ich bedanke
MehrInstitut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Übungsblatt 5. pk = (g, y) und sk = (g, x). ? = y H(t m) t. g s
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Übungsblatt 5 Hinweis: Übungsblätter können freiwillig bei Jessica Koch, Raum 256, Geb.
MehrCPA-Sicherheit ist ungenügend
CPA-Sicherheit ist ungenügend Definition CCA CCA (=Chosen Ciphertext Attack) ist ein Angriff, bei dem der Angreifer sich Chiffretext seiner Wahl entschlüsseln lassen kann. Beispiele in denen CPA nicht
MehrBemerkungen. Orientierung. Digitale Unterschriften. Angriffe und Sicherheitsmodelle
Orientierung Haben bisher im Public-Key Bereich nur Verschlüsselung betrachtet. Haben dafür geeignete mathematische Strukturen und ihre Eigenschaften diskutiert. RSA, Rabin: Restklassenringe modulo n,
MehrInstitut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Nachklausur. Lösungsvorschlag Hinweise
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Nachklausur Lösungsvorschlag 29.09.2015 Vorname: Nachname: Matrikelnummer: Hinweise - Für
MehrVoll homomorpe Verschlüsselung
Voll homomorpe Verschlüsselung Definition Voll homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : R R für Ringe R, R. Π heißt voll homomorph, falls 1 Enc(m 1 ) + Enc(m 2 ) eine gültige
MehrDigitale Signaturen. Kapitel 8
Digitale Signaturen Kapitel 8 Handschriftliche vs. digitale Unterschrift digitalisieren mp3 Unterschrift digitale Unterschrift von D.H. für mp3? (Scannen und als Bitmap anhängen z.b. zu leicht zu fälschen)
MehrInstitut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Klausur Hinweise
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Klausur 22.07.2014 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen
MehrHomomorphe Verschlüsselung
Homomorphe Verschlüsselung Definition Homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : G G für Gruppen G, G. Π heißt homomorph, falls Enc(m 1 ) G Enc(m 2 ) eine gültige Verschlüsselung
MehrVorlesung Sicherheit
Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 08.06.2015 1 / 34 Überblick 1 Schlüsselaustauschprotokolle Erinnerung Weitere Schlüsselaustauschtypen
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 26.05.2014 1 / 32 Überblick 1 Hinweis 2 Asymmetrische Authentifikation von Nachrichten Erinnerung RSA als Signaturschema ElGamal-Signaturen Hash-Then-Sign
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 17.06.2013 1 / 33 Überblick 1 Zero-Knowledge-Protokolle Erinnerung Analyse des Beispiel-Zero-Knowledge-Protokolls Proof-of-Knowledge-Eigenschaft Beziehung
MehrAlgorithmische Methoden für schwere Optimierungsprobleme
Algorithmische Methoden für schwere Optimierungsprobleme Prof. Dr. Henning Meyerhenke Institut für Theoretische Informatik 1 KIT Henning Universität desmeyerhenke, Landes Baden-Württemberg Institutund
MehrÜbungsblatt 3. Stammvorlesung Sicherheit im Sommersemester Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Übungsblatt 3 Aufgabe 1. Beurteilen Sie für die folgenden Konstruktionen jeweils, ob es sich
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 26.06.2017 1 / 41 Überblick 1 Identifikationsprotokolle Erinnerung Sicherheitsmodell Ein sicheres Protokoll Noch ein sicheres Protokoll 2 Zero-Knowledge-Protokolle
MehrPrivacy-Preserving Authentication 2 Kryptografische Bausteine WS 2015/2016
Privacy-Preserving Authentication 2 Kryptografische Bausteine WS 2015/2016 Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum Übersicht 1 Vorteil und Sicherheit 2 Hash Funktionen 3 Digitale
MehrExistenz von Einwegfunktionen
Existenz von Einwegfunktionen Satz Einweg-Eigenschaft von f FO Unter der Faktorisierungsannahme ist f FO eine Einwegfunktion. Beweis: f FO ist mittels FACTOR-ONEWAY effizient berechenbar. z.z.: Invertierer
MehrHashfunktionen und Kollisionen
Hashfunktionen und Kollisionen Definition Hashfunktion Eine Hashfunktion ist ein Paar (Gen, H) von pt Algorithmen mit 1 Gen: s Gen(1 n ). Gen ist probabilistisch. 2 H: H s berechnet Funktion {0, 1} {0,
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 12.05.2014 1 / 26 Überblick 1 Hashfunktionen Erinnerung Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel:
MehrPrinzipien der modernen Kryptographie Sicherheit
Prinzipien der modernen Kryptographie Sicherheit Prinzip 1 Sicherheitsziel Die Sicherheitsziele müssen präzise definiert werden. Beispiele für ungenügende Definitionen von Sicherheit: Kein Angreifer kann
MehrPrinzip 2 Präzisierung der Annahmen
Prinzip 2 Präzisierung der Annahmen Prinzip 2 Komplexitätsannahme Es muss spezifiziert werden, unter welchen Annahmen das System als sicher gilt. Eigenschaften: Angriffstyp COA, KPA, CPA oder CCA muss
MehrPrinzipien der modernen Kryptographie Sicherheit
Prinzipien der modernen Kryptographie Sicherheit Prinzip 1 Sicherheitsmodell Das Sicherheitsmodell (Berechnungsmodell, Angriffstypen, Sicherheitsziele) muss präzise definiert werden. Berechnungsmodell:
MehrTheoretische Grundlagen der Informatik
Theoretische Grundlagen der Informatik Vorlesung am 5. Dezember 2017 INSTITUT FÜR THEORETISCHE 0 05.12.2017 Dorothea Wagner - Theoretische Grundlagen der Informatik INSTITUT FÜR THEORETISCHE KIT Die Forschungsuniversität
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 15.05.2017 1 / 25 Überblick 1 Hashfunktionen Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel: RSA
MehrEinwegfunktionen Ziel: CPA-sichere Verschlüsselung aus Trapdoor-Einwegpermutation Später: CCA-sichere Verschlüsselung aus Trapdoor-Einwegperm.
Einwegfunktionen Ziel: CPA-sichere Verschlüsselung aus Trapdoor-Einwegpermutation Später: CCA-sichere Verschlüsselung aus Trapdoor-Einwegperm. Spiel Invertieren Invert A,f (n) Sei f : 0, 1} 0, 1} effizient
MehrDie Logik der Sicherheit
Die Logik der Sicherheit Seminar im Sommersemester 2016 Vorbesprechung, 20.04.2016 FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 20.04.2016 Gunnar Hartung, Julia Hesse, Alexander Koch
MehrTheoretische Grundlagen der Informatik
Theoretische Grundlagen der Informatik Vorlesung am 18. Januar 2018 INSTITUT FÜR THEORETISCHE 0 18.01.2018 Dorothea Wagner - Theoretische Grundlagen der Informatik INSTITUT FÜR THEORETISCHE KIT Die Forschungsuniversität
MehrSocrative-Fragen aus der Übung vom
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Übungsleiter: Björn Kaidel, Alexander Koch Stammvorlesung Sicherheit im Sommersemester 2016 Socrative-Fragen aus der Übung vom 28.04.2016
MehrTheoretische Grundlagen der Informatik
Theoretische Grundlagen der Informatik 0 KIT 10.11.2011 Universität des Dorothea Landes Baden-Württemberg Wagner - Theoretische und Grundlagen der Informatik nationales Forschungszentrum Vorlesung in am
MehrTheoretische Grundlagen der Informatik
Theoretische Grundlagen der Informatik Übung am 3..2 INSTITUT FÜR THEORETISCHE KIT 7..2 Universität des Andrea Landes Schumm Baden-Württemberg - Theoretische und Grundlagen der Informatik INSTITUT FÜR
MehrÜbungsblatt 4. Stammvorlesung Sicherheit im Sommersemester Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Übungsblatt 4 Aufgabe 1. Wir instanziieren das ElGamal-Verschlüsselungsverfahren aus der
MehrVIII. Digitale Signaturen
VIII. Digitale Signaturen Bob Eve Eve möchte - lauschen - ändern - personifizieren Alice 1 Aufgaben - Vertraulichkeit - Lauschen - Authentizität - Tauschen des Datenursprungs - Integrität - Änderung der
MehrSicherheit von ElGamal
Sicherheit von ElGamal Satz CPA-Sicherheit ElGamal ElGamal Π ist CPA-sicher unter der DDH-Annahme. Beweis: Sei A ein Angreifer auf ElGamal Π mit Erfolgsws ɛ(n) := Ws[PubK cpa A,Π (n) = 1]. Wir konstruieren
MehrSicherheit von hybrider Verschlüsselung
Sicherheit von hybrider Verschlüsselung Satz Sicherheit hybrider Verschlüsselung Sei Π ein CPA-sicheres PK-Verschlüsselungsverfahren und Π ein KPA-sicheres SK-Verschlüsselungsverfahren. Dann ist das hybride
MehrÜbung zur Vorlesung. Sicherheit Übungsblatt 6 Alexander Koch
Übung zur Vorlesung Sicherheit 14.07.2015 Übungsblatt 6 Alexander Koch alexander.koch@kit.edu https://b.socrative.com/login/student/ Room: SICHERHEIT Bitte gleich einloggen! 1 / 26 Sicherheit Übungsblatt
MehrAlgorithmen I - Tutorium 28 Nr. 1
Algorithmen I - Tutorium 28 Nr. 1 04.05.2017: Spaß mit O-Kalkül, Schleifeninvarianten, Laufzeit Marc Leinweber marc.leinweber@student.kit.edu INSTITUT FÜR THEORETISCHE INFORMATIK (ITI), PROF. DR. JÖRN
MehrPrinzipien der modernen Kryptographie Sicherheit
Prinzipien der modernen Kryptographie Sicherheit Prinzip 1 Sicherheitsziel Die Sicherheitsziele müssen präzise definiert werden. Beispiele für ungenügende Definitionen von Sicherheit Kein Angreifer kann
MehrTheoretische Grundlagen der Informatik
Theoretische Grundlagen der Informatik Vorlesung am 17. Januar 2012 INSTITUT FÜR THEORETISCHE 0 KIT 18.01.2012 Universität des Dorothea Landes Baden-Württemberg Wagner - Theoretische und Grundlagen der
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 06.05.2013 1 / 25 Überblick 1 Hashfunktionen Erinnerung Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel:
MehrVerteilte Kyroptographie
Verteilte Kyroptographie Klassische kryptographische Verfahren Kryptographische Hash-Funktionen Public-Key-Signaturen Verteilte Mechanismen Schwellwert-Signaturen Verteilt generierte Zufallszahlen Verteilte
MehrÜbungsblatt 1. Lorenz Leutgeb. 30. März 2015
Übungsblatt Lorenz Leutgeb 30. März 205 Aufgabe. Annahmen ohne Einschränkungen: P Σ und P Γ. Per Definitionem der Reduktion: P P 2 f : Σ Γ wobei f total und berechenbar, genau so, dass: w Σ : w P f(w)
MehrStromchiffre. Algorithmus Stromchiffre
Stromchiffre Algorithmus Stromchiffre Sei G ein Pseudozufallsgenerator mit Expansionsfaktor l(n). Wir definieren Π s = (Gen, Enc, Dec) mit Sicherheitsparameter n für Nachrichten der Länge l(n). 1 Gen:
MehrTheoretische Grundlagen der Informatik
Theoretische Grundlagen der Informatik Vorlesung am 23. November 2017 INSTITUT FÜR THEORETISCHE 0 23.11.2017 Dorothea Wagner - Theoretische Grundlagen der Informatik INSTITUT FÜR THEORETISCHE KIT Die Forschungsuniversität
MehrÜbung zur Vorlesung Sicherheit Übungsblatt 2. Alexander Koch Björn Kaidel
Übung zur Vorlesung Sicherheit 07.05.2014 Übungsblatt 2 Alexander Koch alexander.koch@kit.edu Björn Kaidel bjoern.kaidel@kit.edu 1 / 39 Werbung: KASTEL-Zertifikat Nachweis für Spezialisierung in IT-Sicherheit
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 30.04.2018 1 / 35 Überblick 1 Hashfunktionen Motivation Formalisierung Die Merkle-Damgård-Konstruktion (Weitere) Angriffe auf Hashfunktionen Zusammenfassung
MehrMerkle-Damgard Transformation
Merkle-Damgard Transformation Ziel: Konstruiere H : {0, 1} {0, 1} l aus h : {0, 1} 2l {0, 1} l. Algorithmus Merkle-Damgard Konstruktion Sei (Gen, h) eine kollisionsresistente Hashfunktion mit h : {0, 1}
Mehr