Übersicht: Undeniable-Signatures
|
|
- Axel Sommer
- vor 5 Jahren
- Abrufe
Transkript
1 R. Fischlin/1. Februar 2001 Übersicht: Undeniable-Signatures Im Gegensatz zu digitalen Unterschriften können bei sog. Undeniable- Signature-Schemata die Unterschriften nicht mit Hilfe des Public-Keys (selfauthentication), sondern nur in einem interaktiven Protokoll mit dem Confirmer (dem Signer oder einer von ihm authorisierten Stelle) geprüft werden. Als Anwendungen von Undeniable-Signatures sind u.a. denkbar: Interne, vertrauliche Informationen einer Firma sollen digital signiert werden. Allerdings möchte man, wenn der Inhalt der Dokumente an die Öffentlichkeit gelangt, die Urheberschaft abstreiten können. Nur legale Anwender sollen in der Lage sein zu überprüfen, ob die Daten (z.b. ein Java-Programm) im Originalzustand sind. 1 Chaum-Antwerpen-Undeniable Signatures Das Konzept der Undeniable-Signatures wurden von Chaum und van Antwerpen [CvA89] mit einem Verfahren basierend auf der Diffie-Hellmann- Annahme eingeführt. Die ursprünglichen Protokolle wurden ein Jahr später von Chaum [C90] durch solche mit Zero-Knowledge-Eigenschaft ersetzt. Sei p eine hinreichend große Primzahl, und G Z p eine von g erzeugte Untergruppe der primen Ordnung q. Mit Ausnahme des Einselementes ist jedes h G ein Generator von G. Wir nehmen im weiteren an, dass das Diskrete-Logarithmus-Problem in G effizient nicht zu lösen sei. Der Signer S wählt: Secret-Key: x R Z q. Public-Key: v := g x Die Unterschrift zu einer Nachricht m G, m 1, ist: 1 σ x (m) := m x. Öffentlicher Schlüssel v = g x, Nachricht m =: g y und zugehörige Unterschrift σ x (m) = m x stellen einen Diffie-Hellman-Tupel dar: ( v, m, σx (m) ) = (g x, g y, g yx ). 1 Cramer und Shoup [GS98] schlagen folgende Möglichkeit, die Nachrichten in die Gruppe G einzubetten, vor: Sei p = 2q + 1, und h eine kollisions-resistente Hashfunktion, die die Nachrichtenmenge nach [1, 1 p) abbildet. Dann liegt zur Nachricht m entweder der 2 Hashwert h(m) oder h(m) in G. 1
2 Das Fälschen einer Unterschrift zur Nachricht m ist äquivalent zur Berechnung des Diffie-Hellman-Keys von v und m. 2 Zum Prüfen einer Unterschrift z existieren zwei interaktive Protokolle, in denen S zu vorgelegtem m und z einem Verifier V beweist, ob z! = σ x (m). Conformation: S beweist V, dass z = σ x (m). Disavowal: S beweist V, dass z σ x (m). Mit Hilfe seines Secret-Keys x entscheidet der Signer S, ob z eine Unterschrift zu m ist und welches Protokoll, Conformation- oder Disavowal, er folglich ausführt. Weigert er sich eines der Protokolle ausführen, wird von vorgesetzter Stelle (z.b. Gericht) unterstellt, dass die Unterschrift korrekt ist. Mit dieser Auffassung ist es S umöglich, Unterschriften abzustreiten (undeniable Signatures). Abbildung 1: Confirmation-Protokoll Signer S Message m, z Verifier V x v := g x wähle c R Z q C := A g c X := C x Falls A m a g b, stoppe wähle a, b R Z q A A := m a g b C, X a, b c Teste C! = m a g b+c und X! = z a v b+c Satz 1.1 (Confirmation-Protokoll). Für das Protokoll 1 gilt: Falls z = m x, besteht S stets das Protokoll. 2 Um zu Verhindern, dass ein Angreifer y = log g m kennt, kann im Random-Oracle- Modell der zu unterschreibende Wert m durch den Hashwert H(m) ersetzt werden. Die Sicherheit des Schemas ist dann offenbar auf die Berechnung eines Diffie-Hellman-Keys mit Hilfe eines Decisional-DH-Orakels zu reduzieren. Einen ausführlichen Beweis dieser offensichtlichen Aussage geben [PO01]. 2
3 Falls z m x, besteht S (auch bei unbeschränkter Laufzeit) das Protokoll mit Wahrscheinlichkeit maximal 1 q. Das Protokoll ist perfekt zero-knowledge. Beweis. Siehe [C90]. Für den ZK-Simulator ist entscheidend, dass der Verifier V seine Challenge (a, b) hinterlegt. Zunächst sendet der simulierte Signer bzw. Prover (g r, g rx ) für zufälliges r R Z q, um anschließend die Werte (a, b) zu erhalten. Der Simulator setzt die Ausführung zurück an die Stelle, nachdem der Signer das Commitment zu (a, b) erhalten hat. Aufgrund der Diskreten-Logarithmus-Annahme kann der Verifier V das Commitment nicht anderweitig öffnen. Mit Kenntnis der hinterlegten Werte (a, b) sowie der öffentlichen Daten v = g x und z kann der simulierte Signer das Protokoll erfolgreich bestehen. Die Verteilung des Views (d.h. der übertragenen Daten) der simulierten Ausführung ist identisch zur echten Protokollausführung. Dem Disavowal-Protokoll einer (ungültigen) Unterschrift z zur Nachricht ml iegt folgende Idee zugrunde. Sei z =: m y. Der Verifier V hinterlegt zweimal das Paar (a, b) R Z 2 q, jedoch einmal bezüglich des Generators-Paars (m, g) und zum anderen bezüglich { (m x, g x ) falls z eine Unterschrift zu m ist, also z = m x. (z, v) = (m y, g x ) falls z keine Unterschrift zu m ist, also z m x. Für die beiden Commitments A 1 := m a g b und A 2 := z a v b erhalten wir folgende Beziehung: Es gilt: A 2 = A x 1 z = m x A x 1A 1 2 = m xa g xb m ya g xb = m a(x y) = (m x z 1 ) a Sei a aus dem Intervall [0, k) für ein Parameter k mittlerer Größe. Der Signer S kann, sofern m x z 1 ein Generator ist, den diskreten Logarithmus von A x 1 A 1 2 zur Basis m x z 1 durch Trial-&-Error in k Schritten bestimmen. Falls die Unterschrift z falsch ist, also z m x, erzeugt m x z 1 1 die Gruppe G. Der diskrete Logarithmus ist eindeutig bestimmt, nämlich a. Der Signer S beweist dem Verifier V durch die Antwort a die Ungültigkeit der Unterschrift. Falls die Unterschrift z echt ist, also z = m x, gilt m x z 1 = 1. Durch Erheben des Commitments A 1 in die x-te Potenz A 2 = A x 1 erhält man keine Informationen über den hinterlegten Wert a. Um im Disavowal- Protokoll zu betrügen, muß der Signer S den Wert a [0, k) raten, so dass eine Betrugswahrscheinlickeit von 1 k bleibt. 3
4 Für das Disavowal-Protokoll in Abbildung (2) verwenden wir zusätzlich ein h G mit h 1, wobei der Signer S den diskreten Logarithmus log g h nicht kennt. Abbildung 2: Disavowal-Protokoll Signer S Message m, z Verifier V x v := g x t := log g A x 1 /A 2 Falls t / [0, k), stoppe. wähle r R Z q T := g t h r Falls A 1 m a g b oder A 2 z a v b, stoppe wähle a R Z q, b R [0, k) A 1 := m a g b A 1, A 2 A 2 := z a v b T a, b t Teste t! = a Satz 1.2 (Disavowal-Protokoll). Für das Protokoll 2 gilt: Falls z m x, besteht S stets das Protokoll. Falls z = m x, besteht S das Protokoll mit Wahrscheinlichkeit maximal 1 k. Das Protokoll ist perfektes zero-knowledge. Beweis. Siehe [C90]. Ersetzt man das Commitment T im Disavowal-Protokoll 2 durch ein Schema mit Statistically-Binding-Eigenschaft, so gilt die Aussage von Satz 1.2 auch für S ohne Laufzeit-Beschränkung, allerdings ist das Protokoll dann nicht mehr perfektes zero-knowledge. Von Fujioka, Okamoto und Ohto [FOO91] stammt das Konzept der interaktiven Bi-Proofs, bei denen zu zwei disjunkten Sprachen L 1, L 2 der Prover in einem Protokoll beweist, in welcher der beiden Sprachen x L 1 L 2 liegt. Faßt man die gültigen Unterschriften zu einer vorgegebenen Nachricht m als Sprache L 1 und die ungültigen als L 2 auf, lassen sich Confirmation- 4
5 und Disavowal-Protokoll zu einem Protokoll zusammenfassen [FOO91]. Zwar wird das Protokoll mehrfach wiederholt, jedoch entfällt die Berechnung eines diskreten Logarithmus. Das Undeniable-Signature-Schema wurde von Gennaro, Krawczyk und Rabin [GKR97] auf RSA bzw. die Gruppe Z N übertragen, allerdings muß der RSA-Modul N das Produkt zweier starker Primzahlen sein. Als Hindernis erweist sich das Problem, dass nicht jedes m Z N die maximale (unbekannte) Ordnung hat. 2 Varianten: Convertible-Undeniable- und Designated- Confirmer-Signatures Charakteristisch von Undeniable-Signature-Schemata ist die Eigenschaft, dass Unterschriften nur durch Interaktion mit dem Signer zu überprüfen sind. Boyar, Chaum, Damgård und Pedersen [CA89] haben konvertierbare Undeniable-Signature eingeführt. Der Signer kann alle (gegebenenfalls auch einzelne) Undeniable-Signatures in übliche digitale Unterschriten konvertieren, die dann ohne Interaktion zu verifizieren sind. Satz 2.1 (Boyar, Chaum, Damgård und Pedersen 90). Genau dann gibt es sichere (Convertible-)Undeniable-Signature-Schemata, wenn Oneway- Funktionen (äquivalent sichere digitale Unterschrift-Verfahren) existieren. Sicherheit bedeutet in diesem Zusammenhang, dass das Schema Existially Unforgeable gegen Adaptive-Chosen-Plaintext-Angriffen ist. Wir gehen auf die Sicherheit von Undeniable-Signatures am Ende des Vortrags detailierter ein. Das auf einer ElGamal-Unterschrift basierende Schema [CA89] erwies sich als nicht sicher [DP96]. Damgard und Pedersen [DP96] haben später zwei Verfahren für konvertierbare Undeniable-Signatures vorgestellt, bei denen die zweite Komponente der eigentlichen ElGamal-Unterschrift mit einem Public-Key-Verfahren (Rabin, ElGamal) verschlüsselt ist. Den Secret-Key des Encryption-Verfahrens kennt der Signer. Jeder kann die Unterschrift eigenständig (wie eine gewöhnliche ElGamal-Unterschrift) verifizieren, ersetzt der Signer die verschlüsselte Komponente durch den eigentlichen Wert. In der ursprünglichen Konzeption der Undeniable-Signatures beweist der Signer im Confirmation- und Disavowal-Protokoll, dass eine Unterschrift korrekt ist oder nicht. Eine Unterschrift kann nur dann verifiziert werden, wenn der Signer in der Lage ist, eine Interaktion auszuführen. Um diesen möglichen Engpass zu beseitigen, hat Chaum [C94] das Konzept der Undeniable- zu Designated-Confirmer-Signatures verallgemeinert. Der Signer authorisiert einen sog. Confirmer, der anstelle seiner die Unterschriften bestätigt oder als falsch zurückweist. Dieser Ansatz ist eng verbunden mit Convertible-Undeniable-Signatures. Okamoto [O94] hat diese Idee von 5
6 Chaum aufgegriffen und formalisiert. Allerdings ist seine allgemeine Konstruktion eines Designated-Confirmer-Signature-Schemas fehlerhaft [MS98]. 3 Sicherheit von Undeniable-Signatures Ein Unterschriften-Schema heißt Existially Unforgeable gegen Adaptive- Chosen-Plaintext-Angriffe, wenn es einem Angreifer auch mit Hilfe eines Unterschriften-Orakels nicht gelingt, eine gültige Unterschrift zu einer beliebigen Nachricht (die er zuvor dem Orakel nicht zur Unterschrift vorgelegt hat) zu erzeugen [GMR88]. Chaum und van Antwerpen [CvA89] haben bei der Vorstellung des Konzepts der Undeniable-Signatures keine Sicherheits-Begriffe formuliert. Ein Schritt in die Richtung Sicherheit sind die überarbeiteten Confirmation- und Disavowal-Protokolle mit Zero-Knowledge-Eigenschaft [C90]. Dennoch lernt ein Angreifer anhand des Typs des ausgeführten Protokolls, ob ein Wert eine gültige Unterschrift zu einer vorgelegten Nachricht ist [FOO91]. Bezogen auf das Schema von Chaum und van Antwerpen [CvA89] entspricht die Möglichkeit, eine Unterschrift zu verifizieren, einem Decisional-Diffie- Hellman-Orakel. Der Sicherheitsbegriff (eines Undeniable-Signature-Verfahrens) basierend auf einem Existially-Forgery-Angriff, bei dem im Vergleich zum üblichen Unterschriften-Schema dem Angreifer zusätzlich ein Confirmer-Orakel zur Verfügung steht, greift zu kurz. Boyar, Chaum Damgård und Pedersen [CA89] geben als erste eine Formalisierung für die Undeniable-Eigenschaft, d.h. nur durch Interaktion mit dem Signer ist eine Unterschrift zu prüfen. Neben dem Existially-Forgery-Angriff gibt es den Angriff eines Distinguisher- Enemy [DP96]. Dieser versucht, eine potentielle Unterschrift z zu einer Nachricht m zu verifizieren, ohne das Signature-Orakel nach einer Unterschrift von m und das Confirmer-Orakel nach der Korrektheit der Unterschrift z zu fragen. Betrachten wir einen Distinguisher-Angriff. Der Angreifer wählt eine Nachricht m und erhält eine Challenge eines der beiden Typen: 1. Echte Unterschrift: Eine Unterschrift z := σ x (m) zu m samt View τ einer Ausführung eines Confirmation-Protokolls von z. 2. Fake: Eine gefälschte Unterschrift z := Fake(m) samt View τ einer (simulierten) Ausführung eines Confirmation-Protokolls von z, indem bewiesen wird, dass z eine Unterschrift zu m ist. Ziel des Distinguisher-Angreifers ist zu bestimmen, welchen durch fairen Münzwurf gewählten Typ der Angreifer als Challenge erhalten hat. Er kann Signature- und Confirmer-Orakel aufrufen, allerdings nicht zur Nachricht 6
7 m und zur Unterschrift z. Das Signature-Schema heißt Undeniable gegen Adaptive-Chosen-Plaintext-Angriffe, wenn die Erfolgswahrscheinlichkeit des Distinguisher-Angreifers nur unwesentlich über der Ratewahrscheinlichkeit liegt. Literatur [CA89] [CvA89] [C90] [C94] [FOO91] [GS98] [DP96] [DH76] J. Boyar, D. Chaum, I. Damgård und T. Persen: Convertible Undeniable Signatures, Advances in Cryptology Proceedings Crypto 90, Lecture Notes in Computer Science, Band 537, Springer-Verlag, Seiten , D. Chaum und H. van Antwerpen: Undeniable Signatures, Advances in Cryptology Proceedings Crypto 89, Lecture Notes in Computer Science, Band 435, Springer-Verlag, Seiten , D. Chaum: Zero-Knowledge Undeniable Signatures, Advances in Cryptology Proceedings Eurocrypt 90, Lecture Notes in Computer Science, Band 437, Springer-Verlag, Seiten , D. Chaum: Designated Confirmer Signatures, Advances in Cryptology Proceedings Eurocrypt 94, Lecture Notes in Computer Science, Band 437, Springer-Verlag, Seiten , A. Fujioka, T. Okamoto. und K. Otha: Interactive Bi-Proof Systems and Undeniable Signature Schemes, Advances in Cryptology Proceedings Eurocrypt 91, Lecture Notes in Computer Science, Band 547, Springer-Verlag, Seiten , R. Cramer und V. Shoup: A Practical Public Key Cryptosystem Provable Secure Against Adaptive Chosen Ciphertext Attack, Advances in Cryptology Proceedings Crypto 98, Lecture Notes in Computer Science, Band 1492, Springer-Verlag, Seiten 13 25, I. Damgård und T. Pedersen: New Convertible Undeniable Signatures, Advances in Cryptology Proceedings Eurocrypt 96, Lecture Notes in Computer Science, Band 1070, Springer-Verlag, Seiten , W. Diffie und M. Hellman: New Directions in Cryptography, IEEE Transaction on Information Theory, Band 22(6), Seiten ,
8 [GKR97] [GMR88] R. Gennaro, H. Krawczyk und T. Rabin: RSA-Based Undeniable Signatures, Advances in Cryptology Proceedings Crypto 97, Lecture Notes in Computer Science, Band 1294, Springer- Verlag, Seiten , O. Goldreich, S. Micali und R.L. Rivest: A Digital Signature Scheme Secure Against Adaptive Chosen Message Attacks, SIAM Journal on Computing, Band 17, Nr. 2, Seiten , [GMW96] O. Goldreich, S. Micali und A. Wigderson: Proofs that Yield Nothing but the Validity of the Assertion, and a Methodlogy of Cryptographic Protocol Design, Proceeding 27.te Annual Symposium on the Foundation of Computer Science (FOCS), ACM Press, Seiten , [MS98] [O94] [PO01] M. Michels und M. Stadler: Generic Constructions for Secure and Efficient Confirmer Signature Schemes, Advances in Cryptology Proceedings Eurocrypt 1998, Lecture Notes in Computer Science, Band 1403, Springer-Verlag, Seiten , T. Okamoto: Designated Confirmer Signatures and Public-Key Encryption are Equalent, Advances in Cryptology Proceedings Crypto 94, Lecture Notes in Computer Science, Band 839, Springer-Verlag, Seiten 61 74, D. Pointcheval und T. Okamoto: The Gap-Problems: a New Class of Problems for the Security of Cryptographic Schemes, Proceedings of the 2001 International Workshop on Practice and Theory in Public Key Cryptography (PKC 2001), Lecture Notes in Computer Science, Band 1992, Springer-Verlag,
Digitale Signaturen. Einführung und das Schnorr Signatur Schema. 1 Digitale Signaturen Einführung & das Schnorr Signatur Schema.
Digitale Signaturen Einführung und das Schnorr Signatur Schema 1 Übersicht 1. Prinzip der digitalen Signatur 2. Grundlagen Hash Funktionen Diskreter Logarithmus 3. ElGamal Signatur Schema 4. Schnorr Signatur
MehrVI.4 Elgamal. - vorgestellt 1985 von Taher Elgamal. - nach RSA das wichtigste Public-Key Verfahren
VI.4 Elgamal - vorgestellt 1985 von Taher Elgamal - nach RSA das wichtigste Public-Key Verfahren - besitzt viele unterschiedliche Varianten, abhängig von zugrunde liegender zyklischer Gruppe - Elgamal
MehrCramer-Shoup-Variante des ElGamal-Kryptoschemas
R. Fischlin/15. Februar 000 Cramer-Shoup-Variante des ElGamal-Kryptoschemas Wir stellen die Variante des ElGamal-Kryptoschemas von Cramer und Shoup [GS98] vor. Im Gegensatz zum urspünglichen System ist
MehrSeminar Kryptographie und Datensicherheit
Andere Protokolle für digitale Unterschriften Wintersemester 2006/2007 Gliederung 1 Provably Secure Signature Schemes Lamport Signature Scheme Full Domain Hash 2 Undeniable Signatures 3 Fail-stop Signature
MehrKryptographie und Kryptoanalyse Literaturhinweise
Kryptographie und Kryptoanalyse Literaturhinweise 21. April 2015 Begleitbuch inkl. Übungen und Musterlösungen: [1] Auswahl weiterer Bücher: [5, 10, 25, 30, 41, 45] Schlüsselaustausch: [9] Sicherheit kryptographischer
MehrHomomorphe Verschlüsselung
Homomorphe Verschlüsselung Definition Homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : G G für Gruppen G, G. Π heißt homomorph, falls Enc(m 1 ) G Enc(m 2 ) eine gültige Verschlüsselung
MehrKryptographie und Komplexität
Kryptographie und Komplexität Einheit 6.2 Digitale Signaturen 1. Sicherheitsanforderungen 2. RSA Signaturen 3. ElGamal Signaturen Wozu Unterschriften? Verbindliche Urheberschaft von Dokumenten Unterschrift
MehrDiskreter Logarithmus und Primkörper
Diskreter Logarithmus und Primkörper Neben dem RSA-Verfahren ist die ElGamal-Verschlüsselung 8 ein weiteres klassische Public-Key-Verfahren, welches von Taher ElGamal auf der Konferenz CRYPTO 84 vorgestellt
MehrZiel: Zertifiziere Pfad von Wurzel zu m mittels Signaturen. Signieren Public-Keys auf Pfad inklusive der Nachbarknoten.
Merkle-Baum Idee: Konstruktion von Merkle-Bäumen Ersetze Signaturkette durch Baum (sogenannter Merkle-Baum). Verwenden Baum der Tiefe n für Nachrichten der Länge n. Die Wurzel erhält Label ɛ. Die Kinder
MehrDigitale Signaturen. Andreas Spillner. Kryptografie, SS 2018
Digitale Signaturen Andreas Spillner Kryptografie, SS 2018 Ausgangspunkt Digitale Signaturen bieten unter anderem das, was man auch mit einer eigenhändigen Unterschrift auf einem Dokument bezweckt. Beispiel:
MehrDigitale Signaturen. Kapitel 8
Digitale Signaturen Kapitel 8 Handschriftliche vs. digitale Unterschrift digitalisieren mp3 Unterschrift digitale Unterschrift von D.H. für mp3? (Scannen und als Bitmap anhängen z.b. zu leicht zu fälschen)
MehrDigitale Unterschriften mit ElGamal
Digitale Unterschriften mit ElGamal Seminar Kryptographie und Datensicherheit Institut für Informatik Andreas Havenstein Inhalt Einführung RSA Angriffe auf Signaturen und Verschlüsselung ElGamal Ausblick
MehrPrivacy-Preserving Authentication 2 Kryptografische Bausteine WS 2015/2016
Privacy-Preserving Authentication 2 Kryptografische Bausteine WS 2015/2016 Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum Übersicht 1 Vorteil und Sicherheit 2 Hash Funktionen 3 Digitale
MehrBlinde Signaturen, geheime Abstimmungen und digitale Münzen
Blinde Signaturen, geheime Abstimmungen und digitale Münzen Claus Diem Im Wintersemester 2017 / 18 Crypto 1982 Geheime Abstimmungen Eine geheime Abstimmung Problem. Eine Gruppe von Personen will per Brief
MehrDigitale Signaturen. Anwendung von Einmalsignaturen Gunnar Hartung, Björn Kaidel.
Digitale Signaturen Anwendung von Einmalsignaturen Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-11-15 G. Hartung Digitale Signaturen: Anwendung von
MehrKryptographie und Komplexität
Kryptographie und Komplexität Einheit 5.2 ElGamal Systeme 1. Verschlüsselungsverfahren 2. Korrektheit und Komplexität 3. Sicherheitsaspekte Das ElGamal Verschlüsselungsverfahren Public-Key Verfahren von
MehrEin RSA verwandtes, randomisiertes Public Key Kryptosystem
Seminar Codes und Kryptographie WS 2003 Ein RSA verwandtes, randomisiertes Public Key Kryptosystem Kai Gehrs Übersicht 1. Motivation 2. Das Public Key Kryptosystem 2.1 p-sylow Untergruppen und eine spezielle
MehrVerteilte Kyroptographie
Verteilte Kyroptographie Klassische kryptographische Verfahren Kryptographische Hash-Funktionen Public-Key-Signaturen Verteilte Mechanismen Schwellwert-Signaturen Verteilt generierte Zufallszahlen Verteilte
MehrKryptographische Protokolle
Kryptographische Protokolle Lerneinheit 4: Schlüsselvereinbarung Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen Sommersemester 2017 8.5.2017 Einleitung Einleitung In dieser Lerneinheit
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 23.06.2014 1 / 26 Überblick 1 Zero-Knowledge-Protokolle Erinnerung Beispiel für Zero-Knowledge-Protokoll Analyse des Beispiel-Zero-Knowledge-Protokolls Proof-of-Knowledge-Eigenschaft
MehrHierarchical identity based cryptography, Certificateless public key cryptography
Hierarchical identity based cryptography, Certificateless public key cryptography Hannes Mehnert 07.12.2005 Übersicht Hierarchical identity based cryptography Hierarchical identity based encryption with
MehrSicherheit von Merkle Signaturen
Sicherheit von Merkle Signaturen Algorithmus Angreifer A für die Einwegsignatur EINGABE: pk, Zugriff auf eine Anfrage an Orakel Sign sk ( ) 1 Berechne (pk (i), sk (i) ) Gen(1 n ) für i = 1,...,l. Wähle
MehrVI. Public-Key Kryptographie
VI. Public-Key Kryptographie Definition 2.1 Ein Verschlüsselungsverfahren ist ein 5-Tupel (P,C,K,E,D), wobei 1. P die Menge der Klartexte ist. 2. C die Menge der Chiffretexte ist. 3. K die Menge der Schlüssel
MehrVorlesung Sicherheit
Vorlesung Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 23.05.2016 1 / 32 Überblick 1 Symmetrische Authentifikation von Nachrichten Ziel Konstruktionen MACs
MehrDigitale Signaturen. Proseminar Kryptographie und Datensicherheit SoSe Sandra Niemeyer
Digitale Signaturen Proseminar Kryptographie und Datensicherheit SoSe 2009 Sandra Niemeyer 24.06.2009 Inhalt 1. Signaturgesetz 2. Ziele 3. Sicherheitsanforderungen 4. Erzeugung digitaler Signaturen 5.
MehrKryptographie. Nachricht
Kryptographie Kryptographie Sender Nachricht Angreifer Empfänger Ziele: Vertraulichkeit Angreifer kann die Nachricht nicht lesen (Flüstern). Integrität Angreifer kann die Nachricht nicht ändern ohne dass
MehrKryptographie - eine mathematische Einführung
Kryptographie - eine mathematische Einführung Rosa Freund 28. Dezember 2004 Überblick Grundlegende Fragestellungen Symmetrische Verschlüsselung: Blockchiffren, Hashfunktionen
MehrDigitale Unterschriften. Angriffe und Sicherheitsmodelle. Bemerkungen. Angriffe und Sicherheitsmodelle
Digitale Unterschriften Auch digitale Signaturen genannt. Nachrichten aus Nachrichtenraum: M M. Signaturen aus Signaturenraum: σ S. Schlüssel sind aus Schlüsselräumen: d K 1, e K 2. SignierungsverfahrenS
MehrDigitale Signaturen. GHR-und Chamäleon-Signaturen Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen GHR-und Chamäleon-Signaturen Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen KIT
MehrVerschlüsselung durch Exponentiation (Pohlig, Hellman, 1976)
Verschlüsselung durch Exponentiation (Pohlig, Hellman, 1976) p : eine (grosse) Primzahl e : Zahl 0 < e < p mit ggt(e, p 1) = 1 d Inverses von e in Z p 1, dh d e 1 mod p 1 (= φ(p)) M : numerisch codierter
MehrPublic-Key-Verschlüsselung und Diskrete Logarithmen
Public-Key-Verschlüsselung und Diskrete Logarithmen Carsten Baum Institut für Informatik Universität Potsdam 10. Juni 2009 1 / 30 Inhaltsverzeichnis 1 Mathematische Grundlagen Gruppen, Ordnung, Primitivwurzeln
MehrInstitut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Klausur Hinweise
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Klausur 21.07.2015 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen
MehrAlgorithmische Kryptographie
Algorithmische Kryptographie Walter Unger, Dirk Bongartz Lehrstuhl für Informatik I 27. Januar 2005 Teil I Mathematische Grundlagen Einleitung Anforderungen Einfaches Protokoll (Shimon Even 1978) Sicherheitsaspekte
MehrKryptographie und Komplexität
Kryptographie und Komplexität Einheit 5 Kryptosysteme auf der Basis diskreter Logarithmen 1. Diffie Hellman Schlüsselaustausch 2. El Gamal Systeme 3. Angriffe auf Diskrete Logarithmen 4. Elliptische Kurven
MehrProseminar Bakkalaureat TM 2008/2009 Datensicherheit und Versicherungsmathematik Public-Key-Kryptosystem
Proseminar Bakkalaureat TM 2008/2009 Datensicherheit und Versicherungsmathematik Technische Universität Graz 29. Dezember 2008 Überblick Unterschied zwischen symmetrischen und asymmetrischen Verschlüsselungsverfahren
Mehr3: Zahlentheorie / Primzahlen
Stefan Lucks Diskrete Strukturen (WS 2009/10) 96 3: Zahlentheorie / Primzahlen 3: Zahlentheorie / Primzahlen Stefan Lucks Diskrete Strukturen (WS 2009/10) 97 Definition 37 (Teiler, Vielfache, Primzahlen,
MehrVI.3 RSA. - RSA benannt nach seinen Erfindern R. Rivest, A. Shamir und L. Adleman. - vorgestellt erstes Public-Key Verschlüsselungsverfahren
VI.3 RSA - RSA benannt nach seinen Erfindern R. Rivest, A. Shamir und L. Adleman - vorgestellt 1977 - erstes Public-Key Verschlüsselungsverfahren - auch heute noch das wichtigste Public-Key Verfahren 1
MehrPublic-Key-Kryptographie
Kapitel 2 Public-Key-Kryptographie In diesem Kapitel soll eine kurze Einführung in die Kryptographie des 20. Jahrhunderts und die damit verbundene Entstehung von Public-Key Verfahren gegeben werden. Es
MehrInstitut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Übungsblatt 5. pk = (g, y) und sk = (g, x). ? = y H(t m) t. g s
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Übungsblatt 5 Hinweis: Übungsblätter können freiwillig bei Jessica Koch, Raum 256, Geb.
MehrEinführung in die Kryptographie. 20.6.2011, www.privacyfoundation.ch
Einführung in die Kryptographie 20.6.2011, www.privacyfoundation.ch Kryptographie Name kryptós: verborgen, geheim gráphein: schreiben Verschlüsselung Text so umwandeln, dass man ihn nur noch entziffern/lesen
Mehr3: Primzahlen. 111 S. Lucks Diskr Strukt. (WS 18/19) 3: Primzahlen
3: Primzahlen 111 S. Lucks Diskr Strukt. (WS 18/19) 3: Primzahlen Definition 40 (Teiler, Vielfache, Primzahlen, zusammengesetzte Zahlen) Seien a, b N. a ist ein Teiler von b ( a b ), falls es ein k N gibt
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 12.05.2014 1 / 26 Überblick 1 Hashfunktionen Erinnerung Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel:
MehrProseminar/Seminar Kryptographie und Datensicherheit SoSe 2009 Universität Potsdam Jan Jantzen
Authentifizierung Proseminar/Seminar Kryptographie und Datensicherheit SoSe 2009 Universität Potsdam Jan Jantzen Seminar Kyptographie und Datensicherheit SoSe 09 1 Gliederung Authentifizierung (Einleitung)
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 15.05.2017 1 / 25 Überblick 1 Hashfunktionen Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel: RSA
MehrKryptograhie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik
Kryptograhie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik Übersicht Zwecke der Krytographie Techniken Symmetrische Verschlüsselung( One-time Pad,
MehrElektronische Signaturen
Elektronische Signaturen Oliver Gasser TUM 3. Juni 2009 Oliver Gasser (TUM) Elektronische Signaturen 3. Juni 2009 1 / 25 Gliederung 1 Einführung 2 Hauptteil Signieren und Verifizieren Digital Signature
MehrMessage Authentication Codes
Message Authentication Codes Martin Schütte 30. Nov. 2004 Gliederung Denitionen Grundlegende Begrie Konstruktion von MACs häug benutzte MACs Einschätzung der Sicherheit Bedingungslos sichere MACs zusätzliche
MehrMotivation Schwellenwertverfahren Shamir Sicherheitsaspekte Zugriffsstrukturen Quellen. Secret Sharing. Das Teilen von Geheimnissen.
Secret Sharing Das Teilen von Geheimnissen Stefan Kluge 20.01.2017 Motivation Schutz wichtiger Systeme vor unberechtigtem Zugriff, z.b. Schatzkarte Datenbanken Atomwaffen Wie können Geheimnisse vor Verlust
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Digitale Signaturen Prof. Jörn Müller-Quade mit Folien von G. Hartung und B. Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2018-01-25 J.
MehrVIII. Digitale Signaturen
VIII. Digitale Signaturen Bob Eve Eve möchte - lauschen - ändern - personifizieren Alice 1 Aufgaben - Vertraulichkeit - Lauschen - Authentizität - Tauschen des Datenursprungs - Integrität - Änderung der
MehrPublic Key Kryptographie
4. Dezember 2007 Outline 1 Einführung 2 3 4 Einführung 1976 Whitefield Diffie und Martin Hellman 2 Schlüsselprinzip Asymmetrische Verschlüsselungsverfahren public Key private Key Anwendung E-Mail PGP openpgp
MehrDigitale Signaturen. Parameterwahl & RSA-PSS Björn Kaidel (mit Folien von Gunnar Hartung)
Digitale Signaturen Parameterwahl & RSA-PSS Björn Kaidel (mit Folien von Gunnar Hartung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-11-15 B. Kaidel Digitale Signaturen: RSA-PSS
MehrBeliebige Anzahl von Signaturen
Beliebige Anzahl von Signaturen Algorithmus Signaturketten Sei Π = (Gen, Sign, Vrfy) ein Einwegsignaturverfahren. 1 Gen : (pk 1, sk 1 ) Gen(1 n ) 2 Sign : Signieren der Nachricht m i. Verwende gemerkten
MehrKryptologie. Bernd Borchert. Univ. Tübingen SS Vorlesung. Teil 10. Signaturen, Diffie-Hellman
Kryptologie Bernd Borchert Univ. Tübingen SS 2017 Vorlesung Teil 10 Signaturen, Diffie-Hellman Signatur Signatur s(m) einer Nachricht m Alice m, s(m) Bob K priv K pub K pub Signatur Signatur (Thema Integrity
MehrVorlesung Sicherheit
Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 08.06.2015 1 / 34 Überblick 1 Schlüsselaustauschprotokolle Erinnerung Weitere Schlüsselaustauschtypen
MehrEINIGE GRUNDLAGEN DER KRYPTOGRAPHIE
EINIGE GRUNDLAGEN DER KRYPTOGRAPHIE Steffen Reith reith@thi.uni-hannover.de 22. April 2005 Download: http://www.thi.uni-hannover.de/lehre/ss05/kry/folien/einleitung.pdf WAS IST KRYPTOGRAPHIE? Kryptographie
MehrBemerkungen. Orientierung. Digitale Unterschriften. Angriffe und Sicherheitsmodelle
Orientierung Haben bisher im Public-Key Bereich nur Verschlüsselung betrachtet. Haben dafür geeignete mathematische Strukturen und ihre Eigenschaften diskutiert. RSA, Rabin: Restklassenringe modulo n,
MehrUniversität Tübingen WS 2015/16. Kryptologie. Klausur
Universität Tübingen WS 2015/16 Kryptologie Klausur 31.3.2016 Name: Matrikel-Nr.: 1 2 3 4 5 6 7 8 9 10 Summe 10 15 10 10 8 10 12 5 10 10 100 Aufgabe 1 a) (8P) Testen Sie mit Miller-Rabin, ob 13 eine Primzahl
MehrÜbung zur Vorlesung. Sicherheit Übungsblatt 5 Björn Kaidel
Übung zur Vorlesung Sicherheit 30.06.2016 Übungsblatt 5 Björn Kaidel bjoern.kaidel@kit.edu https://b.socrative.com/login/student/ Room: SICHERHEIT Bitte gleich einloggen! 1 / 55 Evaluation (siehe Evaluations-PDF)
MehrSignaturtransformationen
Signaturtransformationen Ruhr-Universität Bochum Christian Mainka 25. Januar 2011 Inhaltsverzeichnis 1 Einleitung 3 2 Grundlagen 5 2.1 Definitionen.................................. 5 2.1.1 Signatur................................
MehrPost-Quantum-Kryptographie
Post-Quantum-Kryptographie Hashbasierte Signaturverfahren Fabio Campos 25. Oktober 2018 RheinMain University of Applied Sciences Einleitung 1/4 Abbildung 1: Families of post-quantum cryptography 1 1 https://tinyurl.com/y9xbshwq
MehrGruppenbasierte Kryptographie. ElGamal Sicherheit. Drei Probleme. ElGamal Verschlüsselung. Benutzt zyklische Gruppen von (fast) Primzahlordnung:
Gruppenbasierte Kryptographie Benutzt zyklische Gruppen von (fast) Primzahlordnung: G = g und #G = l = cl 0 mit c klein und l 0 prim. b G : x Z : b = g x. Das Element x heißt diskreter Logarithmus von
MehrVoll homomorpe Verschlüsselung
Voll homomorpe Verschlüsselung Definition Voll homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : R R für Ringe R, R. Π heißt voll homomorph, falls 1 Enc(m 1 ) + Enc(m 2 ) eine gültige
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 17.06.2013 1 / 33 Überblick 1 Zero-Knowledge-Protokolle Erinnerung Analyse des Beispiel-Zero-Knowledge-Protokolls Proof-of-Knowledge-Eigenschaft Beziehung
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Digitale Signaturen Björn Kaidel - Vertretung für Prof. Müller-Quade FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-01-19 B. Kaidel Asymmetrische
MehrHashfunktionen und Kollisionen
Hashfunktionen und Kollisionen Definition Hashfunktion Eine Hashfunktion ist ein Paar (Gen, H) von pt Algorithmen mit 1 Gen: s Gen(1 n ). Gen ist probabilistisch. 2 H: H s berechnet Funktion {0, 1} {0,
MehrVorlesung Sicherheit
Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 18.05.2015 1 / 30 Überblick 1 Asymmetrische Authentifikation von Nachrichten Erinnerung
MehrTechnikseminar SS2012
Technikseminar SS2012 ECC - Elliptic Curve Cryptography Kryptosysteme basierend auf elliptischen Kurven 11.06.2012 Gliederung Was ist ECC? ECC und andere Verfahren Diffie-Hellman-Schlüsselaustausch Funktionsweise
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 26.06.2017 1 / 41 Überblick 1 Identifikationsprotokolle Erinnerung Sicherheitsmodell Ein sicheres Protokoll Noch ein sicheres Protokoll 2 Zero-Knowledge-Protokolle
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 08.05.2017 1 / 32 Überblick 1 Blockchiffren Erinnerung Varianten von DES Beispiel: AES Angriffe auf Blockchiffren 2 Formalisierung von Sicherheit (symmetrischer
Mehr6: Diskrete Wahrscheinlichkeit
Stefan Lucks Diskrete Strukturen (WS 2009/10) 219 6: Diskrete Wahrscheinlichkeit 6: Diskrete Wahrscheinlichkeit Stefan Lucks Diskrete Strukturen (WS 2009/10) 220 Wahrscheinlichkeitsrechnung Eines der wichtigsten
MehrInstitut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Klausur Hinweise
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Klausur 22.07.2014 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen
MehrProseminar Schlüsselaustausch (Diffie - Hellman)
Proseminar Schlüsselaustausch (Diffie - Hellman) Schlüsselaustausch Mathematische Grundlagen Das DH Protokoll Sicherheit Anwendung 23.06.2009 Proseminar Kryptographische Protokolle SS 2009 : Diffie Hellman
MehrAbschnitt 5: Kryptographie. j (p j 1). 1 (p 1 1)p α 2
Abschnitt 5: Kryptographie. Zunächst wollen wir die Struktur von (Z/mZ) untersuchen. 5.1 Definition: Die Eulersche ϕ-funktion: ϕ : N N; ϕ(m) := (Z/mZ) 5.2 Bemerkung: (Z/mZ) {a {1,..., m 1} ggt(a, m) =
Mehr13. Woche: NP-Vollständigkeit Satz von Cook-Levin Anwendungen in der Kryptographie
13 Woche: NP-Vollständigkeit Satz von Cook-Levin Anwendungen in der Kryptographie 13 Woche: NP-Vollständigkeit, Satz von Cook-Levin, Anwendungen 276/ 333 N P-Vollständigkeit Ḋefinition NP-vollständig Sei
MehrInhaltsverzeichnis. Wolfgang Ertel. Angewandte Kryptographie. ISBN (Buch): ISBN (E-Book):
Inhaltsverzeichnis Wolfgang Ertel Angewandte Kryptographie ISBN (Buch): 978-3-446-42756-3 ISBN (E-Book): 978-3-446-43196-6 Weitere Informationen oder Bestellungen unter http://www.hanser-fachbuch.de/978-3-446-42756-3
Mehr10. Woche: Elliptische Kurven Skalarmultiplikation und Anwendungen. 10. Woche: Elliptische Kurven - Skalarmultiplikation und Anwendungen 212/ 238
10 Woche: Elliptische Kurven Skalarmultiplikation und Anwendungen 10 Woche: Elliptische Kurven - Skalarmultiplikation und Anwendungen 212/ 238 Skalarmultiplikation Eine wichtige Fundamentaloperation in
MehrInstitut für Theoretische Informatik Prof. Dr. Dennis Hofheinz Übungsleiter: Thomas Agrikola. Stammvorlesung Sicherheit im Sommersemester 2017
Institut für Theoretische Informatik Prof. Dr. Dennis Hofheinz Übungsleiter: Thomas Agrikola Stammvorlesung Sicherheit im Sommersemester 2017 Übungsblatt 4 Aufgabe 1. Wir instanziieren das ElGamal-Verschlüsselungsverfahren
MehrEl Gamal Verschlüsselung und seine Anwendungen
El Gamal Verschlüsselung und seine Anwendungen Andrés Guevara July 11, 2005 1 Kurze Einführung in die Kryptographie Situation: Absender will Empfänger eine Nachricht schicken. Einige Ziele der Kryptographie
MehrTrim Size: 176mm x 240mm Lang ftoc.tex V1-5.Juli :54 P.M. Page 9
Trim Size: 176mm x 240mm Lang ftoc.tex V1-5.Juli 2018 7:54 P.M. Page 9 Auf einen Blick Über den Autor... 7 Einleitung... 19 Teil I: Verschlüsseln... 25 Kapitel 1: Sicherheit in Zeiten des Internet... 27
Mehr4 Der diskrete Logarithmus mit Anwendungen
4 Der diskrete Logarithmus mit Anwendungen 62 4.1 Der diskrete Logarithmus Für eine ganze Zahl a Z mit ggt(a, n) = 1 hat die Exponentialfunktion mod n zur Basis a exp a : Z M n, x a x mod n, die Periode
Mehr6: Public-Key Kryptographie (Grundidee)
6: Public-Key Kryptographie (Grundidee) Ein Teil des Schlüssels ist nur dem Empfänger bekannt. Der auch dem Sender bekannte Teil kann sogar veröffentlicht werden. Man spricht dann von einem Schlüsselpaar.
MehrElliptic Curve Cryptography
Elliptic Curve Cryptography Institut für Informatik Humboldt-Universität zu Berlin 10. November 2013 ECC 1 Aufbau 1 Asymmetrische Verschlüsselung im Allgemeinen 2 Elliptische Kurven über den reellen Zahlen
MehrCPA-Sicherheit ist ungenügend
CPA-Sicherheit ist ungenügend Definition CCA CCA (=Chosen Ciphertext Attack) ist ein Angriff, bei dem der Angreifer sich Chiffretext seiner Wahl entschlüsseln lassen kann. Beispiele in denen CPA nicht
MehrVorlesung Digitale Signaturen im Wintersemester 2017/-18. Socrative-Fragen aus der Vorlesung vom
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Dozenten: Björn Kaidel Vorlesung Digitale Signaturen im Wintersemester 2017/-18 Socrative-Fragen aus der Vorlesung vom 17.11.2017 1 Quiz 1:
MehrEinführung in digitale Signaturen
Einführung in digitale Signaturen Hannes Thalheim Universität Leipzig 8. Januar 2018 Zusammenfassung Für eine sichere Kommunikation im Web ist die Geheimhaltung von Nachrichten so wichtig wie das Wissen,
MehrKEY AGREEMENT IN DYNAMIC PEER GROUPS
KEY AGREEMENT IN DYNAMIC PEER GROUPS Seminar Kryptographische Protokolle SS 2009 Motivation Gruppenorientierte Anwendungen, Protokolle und Kommunikation treten in vielen Umgebungen auf: Netzwerk-Schicht:
MehrElliptische Kurven in der Kryptographie. Prusoth Vijayakumar / 16
1 / 16 06. 06. 2011 2 / 16 Übersicht Motivation Verfahren 3 / 16 Motivation Relativ sicher, da auf der Schwierigkeit mathematischer Probleme beruhend (z.b. Diskreter Logarithmus, Faktorisieren) Schnellere
MehrSystemsicherheit 8: Das Internet und Public-Key-Infratrukturen
Systemsicherheit 8: Das Internet und Public-Key-Infratrukturen Das TCP/IP-Schichtenmodell Das TCP/IP-Schichtenmodell (2) Modem Payload Payload Payload Payload http http http http TCP TCP TCP IP IP IP PPP
MehrDigitale Signaturen. RSA-FDH & das Random Oracle Model Jiaxin Pan (Slides from Björn Kaidel and Gunnar Hartung)
Digitale Signaturen RSA-FDH & das Random Oracle Model Jiaxin Pan (Slides from Björn Kaidel and Gunnar Hartung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2018-10-26 B. Kaidel Digitale
MehrDas RSA-Verfahren. Proseminar Kryptographische Protokolle SS Armin Litzel
in der Praxis Proseminar Kryptographische Protokolle SS 2009 5.5.2009 in der Praxis Gliederung 1 Grundlegendes über RSA 2 in der Praxis Allgemeine Vorgehensweise zur Verschlüsselung Signieren mit RSA 3
MehrDigitale Signaturen. Anwendung von Einmalsignaturen Gunnar Hartung, Björn Kaidel.
Digitale Signaturen Anwendung von Einmalsignaturen Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-11-18 G. Hartung Digitale Signaturen: Anwendung von
MehrMerkle-Damgard Transformation
Merkle-Damgard Transformation Ziel: Konstruiere H : {0, 1} {0, 1} l aus h : {0, 1} 2l {0, 1} l. Algorithmus Merkle-Damgard Konstruktion Sei (Gen, h) eine kollisionsresistente Hashfunktion mit h : {0, 1}
MehrInstitut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Nachklausur Hinweise
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Nachklausur 29.09.2014 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung
MehrZahlentheorieseminar: Einführung in die Public-Key-Kryptographie
Dozent: Dr. Ralf Gerkmann Referenten: Jonathan Paulsteiner (10939570) und Roman Lämmel ( ) Zahlentheorieseminar: Einführung in die Public-Key-Kryptographie 0. Inhalt 1. Einführung in die Kryptographie
MehrDigitale Signaturen. seuf-cma & Pairings Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen seuf-cma & Pairings Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-01-20 B. Kaidel Digitale Signaturen: seuf-cma & Pairings KIT Die
MehrKryptographie mit elliptischen Kurven
Kryptographie mit elliptischen Kurven Dr. Dirk Feldhusen SRC Security Research & Consulting GmbH Bonn - Wiesbaden Inhalt Elliptische Kurven! Grafik! Punktaddition! Implementation Kryptographie! Asymmetrische
MehrKryptografische Hashfunktionen
Kryptografische Hashfunktionen Andreas Spillner Kryptografie, SS 2018 Wo verwenden wir kryptografische Hashfunktionen? Der Hashwert H(x) einer Nachricht x wird oft wie ein Fingerabdruck von x vewendet.
MehrNetzsicherheit 9: Das Internet und Public-Key-Infrastrukturen
Netzsicherheit 9: Das Internet und Public-Key-Infrastrukturen Das TCP/IP-Schichtenmodell Session 2 / 1 Das TCP/IP-Schichtenmodell (2) Modem Payload Payload Payload Payload http http http http TCP TCP TCP
MehrDigitale Signaturen. RSA-FDH & das Random Oracle Model Björn Kaidel (mit Folien von Gunnar Hartung)
Digitale Signaturen RSA-FDH & das Random Oracle Model Björn Kaidel (mit Folien von Gunnar Hartung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-12-01 B. Kaidel Digitale Signaturen:
Mehr