Übung zur Vorlesung Sicherheit Übungsblatt 2. Alexander Koch Björn Kaidel
|
|
- Heinz Kraus
- vor 5 Jahren
- Abrufe
Transkript
1 Übung zur Vorlesung Sicherheit Übungsblatt 2 Alexander Koch alexander.koch@kit.edu Björn Kaidel bjoern.kaidel@kit.edu 1 / 32
2 Kummerkasten In der Übung lauter und deutlicher sprechen: Wir geben uns Mühe :) 2 / 32
3 Wdh.: IND-CPA für symm. Verschlüsselung Herausforderer C wählt Schlüssel K zufällig. C stellt Enc(K, )-Orakel für A bereit. C A Orakel M b {0, 1} M 0, M 1 C = Enc(K, M b ) C = Enc(K, M) b (Anfragen immer erlaubt!) b = b? 3 / 32
4 ÜB 2 Aufgabe 1 Zeigen Sie: Der CBC-Modus kann nicht IND-CPA-sicher sein, wenn der Initialisierungsvektor IV 1. fest und für jeden Verschlüsselungsvorgang gleich gewählt, oder 2. der IV ausgehend von einer xen Wahl bei jeder Verschlüsselung um 1 hochgezählt wird. 4 / 32
5 ÜB2 Aufgabe 1: IV fest Erinnerung: CBC-Modus C 0 = IV, C i = E(K, M i C i 1 ). Beobachtung: IV fest CBC-Modus deterministisch. 5 / 32
6 ÜB2 Aufgabe 1: IV fest Konstruiere folgenden Angreifer A: A wählt zwei gleichlange Nachrichten M 0 M 1. Er gibt diese als seine Challenge aus und erhält ein Challenge-Chirat C. C ist Chirat von M 0 oder M 1. A gibt M 0 an sein Verschlüsselungsorakel und erhält C 0 = Enc(K, M 0 ). A überprüft, ob C = C 0. Wenn ja, gibt er 0 aus, sonst 1. A gewinnt immer! 6 / 32
7 ÜB2 Aufgabe 1: IV wird hochgezählt Sei l die Blocklänge und IV 1 {0, 1} l der erste Initialisierungsvektor. Konstruiere folgenden Angreifer A: A schickt M 0 = 0 l ans Orakel und erhält C = Enc(K, M 0 ) = (IV 1, E(K, M 0 IV 1 )) = (IV 1, E(K, IV 1 )). A merkt sich X := E(K, IV 1 ) und IV 1. Er berechnet IV 2 = IV / 32
8 ÜB2 Aufgabe 1: IV wird hochgezählt A setzt M 1 = IV 1 IV 2. Er schickt M 0, M 1 als Challenge erhält C = (C1, C2 ) = (IV 2, E(K, M b IV 2 )). Wurde M 1 verschlüsselt, so gilt: C2 = E(K, M 1 IV 2 ) = E(K, IV 1 IV 2 IV 2 ) = E(K, IV 1 0 l ) = E(K, IV 1 ) = X. Ist also C2 = X, so gibt er 1 aus, sonst 0. A gewinnt immer! 8 / 32
9 ÜB2 Aufgabe 1 Fazit Randomisierte Verschlüsselung notwendig für IND-CPA-Sicherheit Intuitiv: IND-CPA-Sicherheit schützt vor passiven Angreifern 9 / 32
10 ÜB2 Aufgabe 2 Es sei SKE = (Enc, Dec) ein IND-CPA-sicheres, symmetrisches Verschlüsselungsverfahren. Wir konstruieren daraus zwei neue Verfahren. 10 / 32
11 ÜB2 Aufgabe 2 (1.) (a) Betrachte SKE mit Enc (K, M) := Enc(K, Enc(K, M)), Dec (K, C) := Dec(K, Dec(K, C)). (a) Korrektheit: Dec (K, Enc (K, M)) = Dec(K, Dec(K, Enc(K, Enc(K, M)))) = Dec(K, Enc(K, M)) = M 11 / 32
12 ÜB2 Aufgabe 2 (1.) (b) Betrachte SKE mit Enc (K, M) := Enc(K, Enc(K, M)), Dec (K, C) := Dec(K, Dec(K, C)). (b) IND-CPA-Sicherheit: Annahme: ez. Angreifer A auf SKE Konstruiere Angreifer B auf SKE. Existenz von B ist Widerspruch zur IND-CPA-Sicherheit von SKE! A kann nicht existieren. 12 / 32
13 ÜB2 Aufgabe 2 (1.) (b) Simulation des Enc -Orakels: Enc(K, )-Orakel M B M A C = Enc(K, M) C C = Enc(K, C ) C Beobachtung: C = Enc(K, Enc(K, M)) = Enc (K, M)! 13 / 32
14 ÜB2 Aufgabe 2 (1.) (b) Challenge: Enc-Orakel M i (i = 0, 1) B M 0, M 1 A C i = Enc(K, M i ) Herausforderer C 0, C 1 b {0, 1} C = Enc(K, C b )C b b b = b? 14 / 32
15 ÜB2 Aufgabe 2 (1.) (b) B simuliert das IND-CPA-Spiel für A perfekt. B gibt einfach das Bit von A aus. B gewinnt A gewinnt. Also: Pr[B gewinnt] 1/2 nicht vernachlässigbar. Widerspruch zur IND-CPA-Sicherheit von SKE. SKE muss ebenfalls IND-CPA-sicher sein. 15 / 32
16 ÜB2 Aufgabe 2 (2.) (a) Betrachte SKE mit Enc (K, M) := (M (0), Enc(K, M)) (= (C 1, C 2 )), Dec (K, C) := Dec(K, C 2 ). M (0) ist das niederwertigste Bit von M. (a) Korrektheit: Dec (K, C) = Dec(K, C 2 ) = Dec(K, Enc(K, M)) = M 16 / 32
17 ÜB2 Aufgabe 2 (2.) (b) Betrachte SKE mit Enc (K, M) := (M (0), Enc(K, M)) (= (C 1, C 2 )), Dec (K, C) := Dec(K, C 2 )). M (0) ist das niederwertigste Bit von M. (b) IND-CPA-Sicherheit: Angreifer A wählt M 0, M 1 mit M 0,(0) M 1,(0). C = (C1, C2 ) C1 = M b,(0). A kann eindeutig entscheiden! SKE nicht IND-CPA-sicher! 17 / 32
18 ÜB2 Aufgabe 2 Fazit Damit ein Verschlüsselungsschema IND-CPA-sicher sein kann, darf nicht mal ein Bit Information über den Klartext leaken.... kein Teil des Chirats eindeutig deterministisch vom Klartext abhängen. 18 / 32
19 ÜB2 Aufgabe 3, Blockchire mit Tweak Bisher: Blockchire E : {0, 1} k {0, 1} l {0, 1} l verschlüsselt deterministisch einen Nachrichtenblock, Betriebsmodus sorgt für Variabilität über IV : E : {0, 1} k {0, 1} v {0, 1} {0, 1}. Idee: Variabilität direkt in die Basisprimitive Blockchire einbauen, nicht erst im Betriebsmodus. Macht Beschreibung/Analyse einfacher Tweak-Wechsel schneller als Schlüsselwechsel Schlüssel für Unsicherheit Tweak für Variabilität 19 / 32
20 Blockchire mit Tweak: Konstruktion XEX Gegeben: Blockchire E : {0, 1} k 2 {0, 1} l {0, 1} l. Konstruiere: E TWEAK : {0, 1} k {0, 1} t {0, 1} l {0, 1} l. Setze: E TWEAK (K 1 K 2, T i, M) := E(K 1, M ), wobei := PAD(E(K 2, T ) i), PAD: {0, 1} {0, 1} l determ. Paddingfunktion, T {0, 1} l beliebige Tweakgrundlage, M {0, 1} l, K 1, K 2 {0, 1} k 2, i N. 20 / 32
21 Der XTS-Betriebsmodus XTS: XEX Tweakable Block Cipher with Ciphertext Stealing Geg.: XEX-Blockchire ( XOR-Encrypt-XOR) E TWEAK. Setze C i := E TWEAK (K, T i, M i ). T' K₂ E M 1 M 2 PAD( 1) PAD( 2) PAD( 3) M 3 K E E 1 K 1 K 1 E C 1 C 2 C 3 (Quelle: Wikipedia) Festplattenverschlüsselung: T Sektornummer, i Blocknummer im Sektor. 21 / 32
22 ÜB2 Aufgabe 3a: Vergleich XTS CBC Vor-/Nachteile bei Festplattenverschlüsselung Vorteil: Bei Änderung eines Klartextes muss nur ein XTS-Block neuberechnet werden, bei CBC alle Blöcke ab der Änderung (z.b. bis zum Sektorende). Nachteil: Der Schlüssel hat doppelte Länge. (Im Standard, nicht im Originalpaper, siehe: Phillip Rogaway: Ecient Instantiations of Tweakable Blockciphers and Renements to Modes OCB and PMAC, 2004.) 22 / 32
23 ÜB2 Aufgabe 3b Konstruiere E WEAK via: E WEAK (K 1 K 2, T i, M) := E(K 1, M ), wobei := PAD(T i). Was ist C 1 C 2, wenn C i := E WEAK (K, T i, i ), i := PAD(T i), i = 1, 2? C 1 C 2 = E(K 1, 1 1 ) 1 E(K 1, 2 2 ) 2 = E(K 1, 0) 1 E(K 1, 0) 2 = 1 2. (nicht zufällig) E WEAK (K,, ) von Zufallsfunktion unterscheidbar nicht sicher 23 / 32
24 XTS Nachteile You don't want XTS: 04/30/you-dont-want-xts/ Fazit: XTS Standard für Festplattenverschlüsselung, aber für andere Anwendungsfälle ungeeignet. XTS works like ECB. It's deterministic. If you're looking for the penguins, they're there, but you have to look for them across time instead of space: successive writes to the same sector-block location will repeat, but encryptions of the same plaintext at dierent locations will be randomized. Annahme: Angreifer sieht nicht viele Snapshots der Festplatte, z.b. guter Schutz bei Diebstahl eines Laptops. 24 / 32
25 ÜB2 Aufgabe 3c Python-Skript: Siehe Musterlösung. Hier: PAD(X i) := 2 i X mod 2 l. 25 / 32
26 Wdh.: Hashfunktionen Fingerabdruck H k : {0, 1} {0, 1} k k ist Sicherheitsparameter Kollisionsresistenz: Für alle PPT-Algorithmen A ist Pr[(X, X ) A(1 k ) : X X H k (X ) = H k (X )] vernachlässigbar. 26 / 32
27 Hashfunktionen: Beispiele Sei H : {0, 1} {0, 1} k eine kollisionsresistente Hashfunktion. Sind die folgenden Hashfunktionen ebenfalls kollisionsresistent? H (x) := H(x 1) H (x) := H(x) H(x) (x = bitweises Inverse von x) 27 / 32
28 Hashfunktionen: H H (x) := H(x 1) ist kollisionsresistent, denn: Angenommen es existiert PPT A, der x, x berechnet mit H (x) = H (x ). (mit nicht vernachlässigbarer Wkt.) Dann gilt H (x) = H(x 1) = H(x 1) = H (x ). Somit y = x 1, y = x 1 Kollision für H. Konstruiere aus A Angreifer gegen H. Widerspruch zur Kollsisionsresistenz von H. D.h. A kann nicht existieren und H ist kollisionsresistent. 28 / 32
29 Hashfunktion: H H (x) := H(x) H(x) ist nicht kollisionsresistent, denn: H (0) = H(0) H(1) = H(1) H(0) = H (1) Somit ist 0, 1 eine (von vielen möglichen) Kollision für H die ezient gefunden werden kann. Generell gilt: H (x) = H (x) 29 / 32
30 Kollisionsresistenz: Rezept Sei H kollisionsresistent, H aus H konstruiert (wie eben). Um Kollisionsresistenz zu zeigen: Konstruiere aus Kollision für H eine Kollision für H. (Kollision muss ezient berechenbar sein!) Um zu zeigen, dass H nicht kollisionsresistent: Zeige, wie man ezient eine Kollision berechnen kann! 30 / 32
31 Kollisionsresistenz: Rezept Zeige: H ist kollisionsresistent, weil Problem schwierig. (Problem z.b. RSA, diskreter Logarithmus...) Generelles Vorgehen Widerspruchsbeweis durch Reduktion Zeige: Kollisionen leicht berechenbar Problem leicht lösbar 31 / 32
32 Kollisionsresistenz: Rezept Auf Übungsblatt, Aufgabe 4: G zyklische Gruppe, prime Ordnung, g Erzeuger DLog: Geg. g, g x, berechne x (x zufällig gezogen) Annahme: DLog schwierig Vorgehen: Konstruiere aus geg. g, g x die Hashfunktion Zeige: Kollision leicht berechenbar x leicht berechenbar... Doktor Meta returns. 32 / 32
Übung zur Vorlesung Sicherheit Übungsblatt 2. Alexander Koch Björn Kaidel
Übung zur Vorlesung Sicherheit 07.05.2014 Übungsblatt 2 Alexander Koch alexander.koch@kit.edu Björn Kaidel bjoern.kaidel@kit.edu 1 / 32 Kummerkasten In der Übung lauter und deutlicher sprechen: Wir geben
MehrÜbung zur Vorlesung Sicherheit Übungsblatt 2. Alexander Koch Björn Kaidel
Übung zur Vorlesung Sicherheit 07.05.2014 Übungsblatt 2 Alexander Koch alexander.koch@kit.edu Björn Kaidel bjoern.kaidel@kit.edu 1 / 39 Werbung: KASTEL-Zertifikat Nachweis für Spezialisierung in IT-Sicherheit
MehrÜbung zur Vorlesung Sicherheit Übungsblatt 2. Alexander Koch Björn Kaidel
Übung zur Vorlesung Sicherheit 07.05.2014 Übungsblatt 2 Alexander Koch alexander.koch@kit.edu Björn Kaidel bjoern.kaidel@kit.edu 1 / 39 Werbung: KASTEL-Zertifikat Nachweis für Spezialisierung in IT-Sicherheit
MehrBjörn Kaidel Alexander Koch
Übung zur Vorlesung Sicherheit Übung 1 Björn Kaidel Bjoern.Kaidel@kit.edu Alexander Koch Alexander.Koch@kit.edu 23.04.2015 1 / 31 Sicherheit Literatur zur Vorlesung Jonathan Katz, Yehuda Lindell. Introduction
MehrÜbung zur Vorlesung Sicherheit Übungsblatt 3. Björn Kaidel 1 / 52
Übung zur Vorlesung Sicherheit 21.05.2014 Übungsblatt 3 Björn Kaidel bjoern.kaidel@kit.edu 1 / 52 Kummerkasten Bitte helleren Laserpointer verwenden. Sind die Skriptlinks vertauscht? Nein! Wegen allgemeiner
MehrInstitut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Nachklausur. Lösung Hinweise
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2016 Nachklausur Lösung 12.10.2016 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung
MehrInstitut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Klausur Hinweise
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Klausur 21.07.2015 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen
MehrInstitut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Nachklausur Hinweise
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2016 Nachklausur 12.10.2016 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung
MehrSocrative-Fragen aus der Übung vom
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Übungsleiter: Björn Kaidel, Alexander Koch Stammvorlesung Sicherheit im Sommersemester 2016 Socrative-Fragen aus der Übung vom 28.04.2016
MehrÜbungsblatt 3. Stammvorlesung Sicherheit im Sommersemester Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Übungsblatt 3 Aufgabe 1. Beurteilen Sie für die folgenden Konstruktionen jeweils, ob es sich
MehrInstitut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester 2013.
Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz IKS Institut für Kryptographie und Sicherheit Stammvorlesung Sicherheit im Sommersemester 2013 Übungsblatt 2 Aufgabe 1. Wir wissen,
MehrInstitut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Nachklausur. Lösungsvorschlag Hinweise
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Nachklausur Lösungsvorschlag 29.09.2015 Vorname: Nachname: Matrikelnummer: Hinweise - Für
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Vorlesung 4 Alexander Koch (Vertretung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 KIT 2015-11-12 Universität desalexander Landes Baden-Württemberg
MehrInstitut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Klausur Hinweise
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Klausur 22.07.2014 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 08.05.2017 1 / 32 Überblick 1 Blockchiffren Erinnerung Varianten von DES Beispiel: AES Angriffe auf Blockchiffren 2 Formalisierung von Sicherheit (symmetrischer
MehrKonstruktion CPA-sicherer Verschlüsselung
Konstrution CPA-sicherer Verschlüsselung Algorithmus Verschlüsselung Π B Sei F eine längenerhaltende, schlüsselabhängige Funtion auf n Bits. Wir definieren Π B = (Gen, Enc, Dec) für Nachrichtenraum M =
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Vorlesung 4 Alexander Koch (Vertretung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-11-10 Alexander Koch Asymmetrische Verschlüsselungsverfahren
MehrInstitut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Klausur Hinweise
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Klausur 22.07.2014 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen
MehrBjörn Kaidel Bjoern.Kaidel@kit.edu Alexander Koch Alexander.Koch@kit.edu 23.04.2015
Übung zur Vorlesung Sicherheit Übung 1 Björn Kaidel Bjoern.Kaidel@kit.edu Alexander Koch Alexander.Koch@kit.edu 23.04.2015 1 / 31 Sicherheit Literatur zur Vorlesung Jonathan Katz, Yehuda Lindell. Introduction
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 15.05.2017 1 / 25 Überblick 1 Hashfunktionen Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel: RSA
MehrÜbung zur Vorlesung. Sicherheit Übungsblatt 5 Björn Kaidel
Übung zur Vorlesung Sicherheit 30.06.2016 Übungsblatt 5 Björn Kaidel bjoern.kaidel@kit.edu https://b.socrative.com/login/student/ Room: SICHERHEIT Bitte gleich einloggen! 1 / 55 Evaluation (siehe Evaluations-PDF)
MehrInstitut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Nachklausur
Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz IKS Institut für Kryptographie und Sicherheit Stammvorlesung Sicherheit im Sommersemester 2013 Nachklausur 07.10.2013 Vorname: Nachname:
MehrDigitale Signaturen. Sicherheitsdefinitionen Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Sicherheitsdefinitionen Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-10-28 B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen
MehrÜbung zur Vorlesung Sicherheit Übung 1. Jessica Koch Thomas Agrikola
Übung zur Vorlesung Sicherheit Übung 1 Jessica Koch Jessica.Koch@kit.edu Thomas Agrikola Thomas.Agrikola@kit.edu 26.04.2018 1 / 38 Literatur zur Vorlesung Jonathan Katz, Yehuda Lindell. Introduction to
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 12.05.2014 1 / 26 Überblick 1 Hashfunktionen Erinnerung Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel:
MehrInstitut für Theoretische Informatik Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Klausur. Lösung
Institut für Theoretische Informatik Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2017 Klausur Lösung 02.08.2017 Vorname: Nachname: Matrikelnummer: Klausur-ID: Hinweise - Schreiben
MehrInstitut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Nachklausur Hinweise
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Nachklausur 29.09.2014 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 25.04.2013 1 / 19 Überblick 1 Blockchiffren Erinnerung Beispiel: AES Angriffe auf Blockchiffren 2 Formalisierung von Sicherheit (symmetrischer Verschlüsselung)
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Einmalsignaturen Björn Kaidel (Vertretung für Prof. Müller-Quade) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2018-02-01 B. Kaidel Asymmetrische
MehrVorlesung Sicherheit
Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 20.04.2014 1 / 28 Überblick 1 Blockchiffren Erinnerung Angriffe auf Blockchiffren 2 Formalisierung
MehrÜbung zur Vorlesung Sicherheit Übung 1. Thomas Agrikola
Übung zur Vorlesung Sicherheit Übung 1 Thomas Agrikola Thomas.Agrikola@kit.edu 04.05.2017 1 / 36 Literatur zur Vorlesung Jonathan Katz, Yehuda Lindell. Introduction to Modern Cryptography. ISBN 1-584-88551-3.
MehrPrinzipien der modernen Kryptographie Sicherheit
Prinzipien der modernen Kryptographie Sicherheit Prinzip 1 Sicherheitsziel Die Sicherheitsziele müssen präzise definiert werden. Beispiele für ungenügende Definitionen von Sicherheit: Kein Angreifer kann
MehrPrinzipien der modernen Kryptographie Sicherheit
Prinzipien der modernen Kryptographie Sicherheit Prinzip 1 Sicherheitsmodell Das Sicherheitsmodell (Berechnungsmodell, Angriffstypen, Sicherheitsziele) muss präzise definiert werden. Berechnungsmodell:
MehrDigitale Signaturen. Einmalsignaturen Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Einmalsignaturen Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-11-04 B. Kaidel Digitale Signaturen: Einmalsignaturen KIT Die Forschungsuniversität
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 06.05.2013 1 / 25 Überblick 1 Hashfunktionen Erinnerung Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel:
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 17.04.2014 1 / 26 Logistisches Überschneidungsfreiheit Vorlesung: nachfragen Übungsblatt nicht vergessen Frage: Wie viele würden korrigiertes Übungsblatt nutzen?
MehrHybride Verschlüsselungsverfahren
Hybride Verschlüsselungsverfahren Ziel: Flexibilität von asym. Verfahren und Effizienz von sym. Verfahren. Szenario: Sei Π = (Gen, Enc, Dec) ein PK-Verschlüsselungsverfahren und Π = (Gen, Enc, Dec ) ein
MehrStromchiffre. Algorithmus Stromchiffre
Stromchiffre Algorithmus Stromchiffre Sei G ein Pseudozufallsgenerator mit Expansionsfaktor l(n). Wir definieren Π s = (Gen, Enc, Dec) mit Sicherheitsparameter n für Nachrichten der Länge l(n). 1 Gen:
MehrPrinzip 2 Präzisierung der Annahmen
Prinzip 2 Präzisierung der Annahmen Prinzip 2 Komplexitätsannahme Es muss spezifiziert werden, unter welchen Annahmen das System als sicher gilt. Eigenschaften: Angriffstyp COA, KPA, CPA oder CCA muss
MehrStromchiffre. Algorithmus Stromchiffre
Stromchiffre Algorithmus Stromchiffre Sei G ein Pseudozufallsgenerator mit Expansionsfaktor l(n). Wir definieren Π s = (Gen, Enc, Dec) mit Sicherheitsparameter n für Nachrichten der Länge l(n). 1 Gen:
MehrVI.4 Elgamal. - vorgestellt 1985 von Taher Elgamal. - nach RSA das wichtigste Public-Key Verfahren
VI.4 Elgamal - vorgestellt 1985 von Taher Elgamal - nach RSA das wichtigste Public-Key Verfahren - besitzt viele unterschiedliche Varianten, abhängig von zugrunde liegender zyklischer Gruppe - Elgamal
MehrPrinzipien der modernen Kryptographie Sicherheit
Prinzipien der modernen Kryptographie Sicherheit Prinzip 1 Sicherheitsziel Die Sicherheitsziele müssen präzise definiert werden. Beispiele für ungenügende Definitionen von Sicherheit Kein Angreifer kann
MehrInstitut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Übungsblatt 5. pk = (g, y) und sk = (g, x). ? = y H(t m) t. g s
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Übungsblatt 5 Hinweis: Übungsblätter können freiwillig bei Jessica Koch, Raum 256, Geb.
MehrDigitale Signaturen. RSA-FDH & das Random Oracle Model Jiaxin Pan (Slides from Björn Kaidel and Gunnar Hartung)
Digitale Signaturen RSA-FDH & das Random Oracle Model Jiaxin Pan (Slides from Björn Kaidel and Gunnar Hartung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2018-10-26 B. Kaidel Digitale
MehrDigitale Signaturen. GHR-und Chamäleon-Signaturen Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen GHR-und Chamäleon-Signaturen Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen KIT
MehrHomomorphe Verschlüsselung
Homomorphe Verschlüsselung Definition Homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : G G für Gruppen G, G. Π heißt homomorph, falls Enc(m 1 ) G Enc(m 2 ) eine gültige Verschlüsselung
MehrDigitale Signaturen. GHR-und Chamäleon-Signaturen Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen GHR-und Chamäleon-Signaturen Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-01-12 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen KIT
MehrVII. Hashfunktionen und Authentifizierungscodes
VII. Hashfunktionen und Authentifizierungscodes Bob Eve Eve möchte - lauschen - ändern - personifizieren Alice 1 Aufgaben - Vertraulichkeit Lauschen - Authentizität Tauschen des Datenursprungs - Integrität
MehrZiel: Zertifiziere Pfad von Wurzel zu m mittels Signaturen. Signieren Public-Keys auf Pfad inklusive der Nachbarknoten.
Merkle-Baum Idee: Konstruktion von Merkle-Bäumen Ersetze Signaturkette durch Baum (sogenannter Merkle-Baum). Verwenden Baum der Tiefe n für Nachrichten der Länge n. Die Wurzel erhält Label ɛ. Die Kinder
MehrHashfunktionen und MACs
3. Mai 2006 Message Authentication Code MAC: Message Authentication Code Was ist ein MAC? Der CBC-MAC Der XOR-MAC Kryptographische Hashfunktionen Iterierte Hashfunktionen Message Authentication Code Nachrichten
MehrKonstruktion von MACs. Message Authentication Codes. Sicherheitsmodell CBC-MAC
Message Authentication Codes Entspricht Hashfunktionen mit geheimen Schlüsseln. h : K M H, MAC = h k (m). h parametrisierte Hashfunktion. m Nachricht. k geheimer Schlüssel. Mit der Nachricht m wird h k
MehrII.1 Verschlüsselungsverfahren
II.1 Verschlüsselungsverfahren Definition 2.1 Ein Verschlüsselungsverfahren ist ein 5-Tupel (P,C,K,E,D), wobei 1. P die Menge der Klartexte ist. 2. C die Menge der Chiffretexte ist. 3. K die Menge der
MehrDigitale Signaturen. RSA-FDH & das Random Oracle Model Björn Kaidel (mit Folien von Gunnar Hartung)
Digitale Signaturen RSA-FDH & das Random Oracle Model Björn Kaidel (mit Folien von Gunnar Hartung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-12-01 B. Kaidel Digitale Signaturen:
Mehrhttps://b.socrative.com/login/student/
Übung zur Vorlesung Sicherheit 23.06.2016 Übungsblatt 4 Björn Kaidel bjoern.kaidel@kit.edu https://b.socrative.com/login/student/ Room: SICHERHEIT Bitte gleich einloggen! 1 / 62 Feedback: Kummerkasten/Feedback
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Björn Kaidel - Vertretung für Prof. J. Müller-Quade (Folien von A. Koch) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 17.11.2016 Björn Kaidel
MehrMessage Authentication Codes. Konstruktion von MACs. Hash-then-Encrypt. Sicherheitsmodell
Message Authentication Codes Entspricht Hashfunktionen mit geheimen Schlüsseln. h : K M H, MAC = h k (m). h parametrisierte Hashfunktion. m Nachricht. k geheimer Schlüssel. Mit der Nachricht m wird h k
MehrVorlesung Sicherheit
Vorlesung Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 23.05.2016 1 / 32 Überblick 1 Symmetrische Authentifikation von Nachrichten Ziel Konstruktionen MACs
MehrUnunterscheidbarkeit von Chiffretexten
Ununterscheidbarkeit von Chiffretexten Spiel Ununterscheidbarkeit von Chiffretexten PrivK eav A,Π (n) Sei Π ein Verschlüsselungsverfahren und A ein Angreifer. 1 (m 0, m 1 ) A. 2 k Gen(1 n ). 3 Wähle b
MehrUnunterscheidbarkeit von Chiffretexten
Ununterscheidbarkeit von Chiffretexten Spiel Ununterscheidbarkeit von Chiffretexten PrivK eav A,Π (n) Sei Π ein Verschlüsselungsverfahren und A ein Angreifer. (m 0, m ) A. 2 k Gen( n ). 3 Wähle b R {0,
MehrUnunterscheidbarkeit von Chiffretexten
Ununterscheidbarkeit von Chiffretexten Spiel Ununterscheidbarkeit von Chiffretexten PrivK eav A,Π (n) Sei Π ein Verschlüsselungsverfahren und A ein Angreifer. 1 (m 0, m 1 ) A. 2 k Gen(1 n ). 3 Wähle b
MehrSicherheit von Merkle Signaturen
Sicherheit von Merkle Signaturen Algorithmus Angreifer A für die Einwegsignatur EINGABE: pk, Zugriff auf eine Anfrage an Orakel Sign sk ( ) 1 Berechne (pk (i), sk (i) ) Gen(1 n ) für i = 1,...,l. Wähle
MehrBeweisbar sichere Verschlüsselung
Beweisbar sichere Verschlüsselung ITS-Wahlpflichtvorlesung Dr. Bodo Möller Ruhr-Universität Bochum Horst-Görtz-Institut für IT-Sicherheit Lehrstuhl für Kommunikationssicherheit bmoeller@crypto.rub.de 11
MehrVorlesung Digitale Signaturen im Wintersemester 2017/-18. Socrative-Fragen aus der Vorlesung vom
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Dozenten: Björn Kaidel Vorlesung Digitale Signaturen im Wintersemester 2017/-18 Socrative-Fragen aus der Vorlesung vom 17.11.2017 1 Quiz 1:
MehrSicherheit von ElGamal
Sicherheit von ElGamal Satz CPA-Sicherheit ElGamal ElGamal Π ist CPA-sicher unter der DDH-Annahme. Beweis: Sei A ein Angreifer auf ElGamal Π mit Erfolgsws ɛ(n) := Ws[PubK cpa A,Π (n) = 1]. Wir konstruieren
MehrInstitut für Theoretische Informatik Prof. Dr. Dennis Hofheinz Übungsleiter: Thomas Agrikola. Stammvorlesung Sicherheit im Sommersemester 2017
Institut für Theoretische Informatik Prof. Dr. Dennis Hofheinz Übungsleiter: Thomas Agrikola Stammvorlesung Sicherheit im Sommersemester 2017 Übungsblatt 4 Aufgabe 1. Wir instanziieren das ElGamal-Verschlüsselungsverfahren
MehrDigitale Signaturen. Sicherheitsdefinitionen Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Sicherheitsdefinitionen Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-10-27 B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen KIT Die Forschungsuniversität
Mehrhttps://b.socrative.com/login/student/
Übung zur Vorlesung Sicherheit 23.06.2016 Übungsblatt 4 Björn Kaidel bjoern.kaidel@kit.edu https://b.socrative.com/login/student/ Room: SICHERHEIT Bitte gleich einloggen! 1 / 62 Feedback: Kummerkasten/Feedback
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 15.04.2013 1 / 29 Überblick 1 Sicherheit 2 Struktur der Vorlesung 3 Symmetrische Verschlüsselung Ziel Geheime Verfahren Kerckhoffs Prinzip Cäsar Vigenère Weitere
MehrVorlesung Sicherheit
Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 04.05.2015 1 / 20 Kummerkasten Vorlesungsfolien bitte einen Tag vorher hochladen : Sollte
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 29.04.2013 1 / 22 Überblick 1 Zusammenfassung und Korrektur Zusammenfassung Korrektur Definition semantische Sicherheit 2 Hashfunktionen Motivation Formalisierung
MehrSicherer MAC für Nachrichten beliebiger Länge
Sicherer MAC für Nachrichten beliebiger Länge Korollar Sicherer MAC für Nachrichten beliebiger Länge Sei F eine Pseudozufallsfunktion. Dann ist Π MAC2 für Π = Π MAC sicher. Nachteile: Für m ({0, 1} n 4
MehrAllgemeiner Aufbau der Information
Inhalt Definition Allgemeiner Aufbau der Information Arbeitsweise Unterschiedliche Arten Kryptographische Modi Definition Verschlüsselungsverfahren Plaintext wird in gleichlange Blöcke zerlegt immer mit
MehrHardcore-Prädikat. Definition Hardcore-Prädikat. Ziel: Destilliere Komplexität des Invertierens auf ein Bit.
Hardcore-Prädikat Ziel: Destilliere Komplexität des Invertierens auf ein Bit. Definition Hardcore-Prädikat Sei Π f eine Einwegfunktion. Sei hc ein deterministischer pt Alg mit Ausgabe eines Bits hc(x)
MehrHashfunktionen und Kollisionen
Hashfunktionen und Kollisionen Definition Hashfunktion Eine Hashfunktion ist ein Paar (Gen, H) von pt Algorithmen mit 1 Gen: s Gen(1 n ). Gen ist probabilistisch. 2 H: H s berechnet Funktion {0, 1} {0,
MehrKryptographie und Komplexität
Kryptographie und Komplexität Einheit 5.2 ElGamal Systeme 1. Verschlüsselungsverfahren 2. Korrektheit und Komplexität 3. Sicherheitsaspekte Das ElGamal Verschlüsselungsverfahren Public-Key Verfahren von
MehrCPA-Sicherheit ist ungenügend
CPA-Sicherheit ist ungenügend Definition CCA CCA (=Chosen Ciphertext Attack) ist ein Angriff, bei dem der Angreifer sich Chiffretext seiner Wahl entschlüsseln lassen kann. Beispiele in denen CPA nicht
MehrÜbung zur Vorlesung Sicherheit Übungsblatt 4. Björn Kaidel 1 / 70
Übung zur Vorlesung Sicherheit 18.06.2015 Übungsblatt 4 Björn Kaidel bjoern.kaidel@kit.edu 1 / 70 RSA: Warnung! Mehrere Nachfragen nach der letzten Übung: Wir wollen zu e ein d berechnen mit e d = 1 mod
MehrInstitut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Übungsblatt 3
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Übungsblatt 3 Hinweis: Übungsblätter können freiwillig bei Florian Böhl, Raum 255, Geb.
MehrMusterlösung der Nachklausur zur Vorlesung Sicherheit Sommersemester 2012
Institut für Kryptographie und Sicherheit Prof. Dr. Jörn Müller-Quade Musterlösung der Nachklausur zur Vorlesung Sicherheit Sommersemester 2012 Vorname Nachname Matrikelnummer Ergebniscode Hinweise Für
MehrDefinition Message Authentication Code (MAC) Ein Message Authentication Code (MAC) bzgl. des Nachrichtenraumen M besteht aus den ppt Alg.
Message Authentication Code (MAC) Szenario: Integrität und Authentizität mittels MACs. Alice und Bob besitzen gemeinsamen Schlüssel k. Alice berechnet für m einen MAC-Tag t als Funktion von m und k. Alice
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Digitale Signaturen Björn Kaidel - Vertretung für Prof. Müller-Quade FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-01-19 B. Kaidel Asymmetrische
MehrKryptographie I Symmetrische Kryptographie
Kryptographie I Symmetrische Kryptographie Alexander May Fakultät für Mathematik Ruhr-Universität Bochum Wintersemester 2012/13 Krypto I - Vorlesung 01-08.10.2012 Verschlüsselung, Kerckhoffs, Angreifer,
MehrUniversität Tübingen SS Kryptologie. B. Borchert, D. Reichl. Klausur , (90 min)
Universität Tübingen SS 2017 Kryptologie B. Borchert, D. Reichl Klausur 28.7.2017, 12.30-14.00 (90 min) Name: Matrikel-Nr.: Studiengang: MSc Informatik MSc Bioinformatik MSc Medieninformatik MSc Kognitionswissenschaft
MehrKryptographie I Symmetrische Kryptographie
Kryptographie I Symmetrische Kryptographie Alexander May Fakultät für Mathematik Ruhr-Universität Bochum Wintersemester 2009/10 Krypto I - Vorlesung 01-12.10.2009 Verschlüsselung, Kerckhoffs, Angreifer,
MehrKryptographie I Symmetrische Kryptographie
Kryptographie I Symmetrische Kryptographie Eike Kiltz 1 Fakultät für Mathematik Ruhr-Universität Bochum Wintersemester 2011/12 1 Basierend auf Folien von Alexander May. Krypto I - Vorlesung 01-10.10.2011
Mehr3 Public-Key-Kryptosysteme
Stand: 05.11.2013 Vorlesung Grundlagen und Methoden der Kryptographie Dietzfelbinger 3 Public-Key-Kryptosysteme 3.1 Verschlüsselung von Nachrichten Wir betrachten ganz einfache Kommunikationsszenarien.
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 23.05.2013 1 / 26 Überblick 1 Einschub: Seitenkanalangriffe Demonstration Simple Power Attacks (SPAs) (Weitere) Beispiele für Seitenkanäle Gegenmaßnahmen gegen
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 02.06.2014 1 / 34 Überblick 1 Einschub: Seitenkanalangriffe Demonstration Simple Power Attacks (SPAs) (Weitere) Beispiele für Seitenkanäle Gegenmaßnahmen gegen
MehrAlice (A) und Bob (B) wollen sicher kommunizieren (vgl. Schutzziele) Oskar (O) versucht, die Schutzziele zu durchbrechen
Vorlesung am 21.04.2015 3 Symmetrische Verschlüsselung Alice (A) und Bob (B) wollen sicher kommunizieren (vgl. Schutzziele) Oskar (O) versucht, die Schutzziele zu durchbrechen Passiver Angri : Abhören
MehrKryptographie und Komplexität
Kryptographie und Komplexität Einheit 5 Kryptosysteme auf der Basis diskreter Logarithmen 1. Diffie Hellman Schlüsselaustausch 2. El Gamal Systeme 3. Angriffe auf Diskrete Logarithmen 4. Elliptische Kurven
MehrBeweisbar sichere Verschlüsselung
Beweisbar sichere Verschlüsselung ITS-Wahlpflichtvorlesung Dr. Bodo Möller Ruhr-Universität Bochum Horst-Görtz-Institut für IT-Sicherheit Lehrstuhl für Kommunikationssicherheit bmoeller@crypto.rub.de 9
MehrInstitut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Klausur
Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz IKS Institut für Kryptographie und Sicherheit Stammvorlesung Sicherheit im Sommersemester 2013 Klausur 26.07.2013 Vorname: Nachname:
MehrErinnerung Blockchiffre
Erinnerung Blockchiffre Definition schlüsselabhängige Permutation Seien F, F 1 pt Algorithmen. F heißt schlüsselabhängige Permutation auf l Bits falls 1 F berechnet eine Funktion {0, 1} n {0, 1} l {0,
MehrVoll homomorpe Verschlüsselung
Voll homomorpe Verschlüsselung Definition Voll homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : R R für Ringe R, R. Π heißt voll homomorph, falls 1 Enc(m 1 ) + Enc(m 2 ) eine gültige
MehrVIII. Digitale Signaturen
VIII. Digitale Signaturen Bob Eve Eve möchte - lauschen - ändern - personifizieren Alice 1 Aufgaben - Vertraulichkeit - Lauschen - Authentizität - Tauschen des Datenursprungs - Integrität - Änderung der
MehrNachklausur zur Vorlesung Sicherheit Sommersemester 2012
Institut für Kryptographie und Sicherheit Prof. Dr. Jörn Müller-Quade Nachklausur zur Vorlesung Sicherheit Sommersemester 2012 Vorname Nachname Matrikelnummer Ergebniscode Hinweise Für die Bearbeitung
MehrDigitale Signaturen. seuf-cma & Pairings Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen seuf-cma & Pairings Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2018-01-19 B. Kaidel Digitale Signaturen: seuf-cma & Pairings KIT Die Forschungsuniversität
MehrDigitale Signaturen. seuf-cma & Pairings Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen seuf-cma & Pairings Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-01-20 B. Kaidel Digitale Signaturen: seuf-cma & Pairings KIT Die
Mehr