Pseudo-Zufallsgeneratoren basierend auf dem DLP
|
|
- Marcus Junge
- vor 6 Jahren
- Abrufe
Transkript
1 Seminar Codes und Kryptografie SS 2004
2 Struktur des Vortrags Struktur des Vortrags Ziel Motivation 1 Einleitung Ziel Motivation 2 Grundlegende Definitionen Zufallsgeneratoren 3 Generator Sicherheit 4 Generator Sicherheit Effizienz
3 Ziel Einleitung Struktur des Vortrags Ziel Motivation Ziel Konstruktion eines effizienten Pseudo-Zufallsbitgenerator basierend auf dem diskreten Logarithmus modulo einer n-bit Primzahl mit kleinem c-bit Exponenten Ausgabe: n c 1 Bits pro modulare Exponentiation Ausgabe für n = 1024 und c = 160: 863 Bits
4 Motivation Einleitung Struktur des Vortrags Ziel Motivation Frage Was sind Pseudo-zufällige Zahlen?
5 Motivation Einleitung Struktur des Vortrags Ziel Motivation Frage Was sind Pseudo-zufällige Zahlen? Antwort Computer können nur determinitisch rechnen, d.h.: Zufallszahlen werden berechnet sehen nur zufällig aus reicht für die meisten kryptographischen Anwendungen
6 Motivation Einleitung Struktur des Vortrags Ziel Motivation Frage Wozu braucht man Pseudo-zufällige Zahlen?
7 Motivation Einleitung Struktur des Vortrags Ziel Motivation Frage Wozu braucht man Pseudo-zufällige Zahlen? Antwort ElGamal DSA (Digital Signature Algorithm) Identifikationsprotokolle (als Challenge)
8 Grundlegende Definitionen Grundlegende Definitionen Zufallsgeneratoren über {0, 1} n Zufallsgeneratoren über beliebigen Mengen Bezeichnungen Wenn x {0, 1} n, wird x geschrieben als x = x n x n 1... x 1, wobei x i {0, 1} für alle i {1,..., n} Wenn x als ganze Zahl betrachtet wird, so ist x = n x i 2 i 1, wobei x n das so genannte höchstwertigste Bit ist. i=1 Mit R n wird die Gleichverteilung über {0, 1} n bezeichnet.
9 Grundlegende Definitionen Grundlegende Definitionen Zufallsgeneratoren über {0, 1} n Zufallsgeneratoren über beliebigen Mengen Definition Seien X n und Y n zwei Wahrscheinlichkeitsverteilungen über {0, 1} n. Zu gegebenen Algorithmus A definiere: δ A,Xn := Pr ( x X n ; A(x) = 1 ) δ A,Yn := Pr ( y Y n ; A(y) = 1 ) X n und Y n heißen polynomiell nicht unterscheidbar, wenn für jeden probabilistischen polynomiellen Algorithmus A, für jedes positive Polynom P und für genügend großes n gilt: δ A,Xn δ A,Yn 1 P(n)
10 Zufallsgeneratoren über {0, 1} n Grundlegende Definitionen Zufallsgeneratoren über {0, 1} n Zufallsgeneratoren über beliebigen Mengen Definition Sei G n : {0, 1} kn {0, 1} n eine Funktion mit k n < n. G n induziert eine Wahrscheinlichkeitsverteilung G n über {0, 1} n, wie folgt: Pr Gn (y) := Pr ( y = G n (s); s zufällig, gleichverteilt in {0, 1} kn)
11 Zufallsgeneratoren über {0, 1} n Grundlegende Definitionen Zufallsgeneratoren über {0, 1} n Zufallsgeneratoren über beliebigen Mengen Definition G n heißt ein kryptographisch starker Pseudo-Zufallsbitgenerator, wenn die Funktion G n in polynomieller Zeit berechnet werden kann und die zwei Wahrscheinlichkeitsverteilungen R n und G n polynomiell nicht unterscheidbar sind.
12 Grundlegende Definitionen Zufallsgeneratoren über {0, 1} n Zufallsgeneratoren über beliebigen Mengen Zufallsgeneratoren über beliebigen Mengen Definition Sei A n eine beliebige Menge mit 2 n 1 A n < 2 n. Sei AG n : {0, 1} kn A n eine Funktion mit k n < n. AG n induziert eine Wahrscheinlichkeitsverteilung AG n über A n, wie folgt: Pr AGn (y) := Pr ( y = AG n (s); s zufällig, gleichverteilt in {0, 1} kn)
13 Grundlegende Definitionen Zufallsgeneratoren über {0, 1} n Zufallsgeneratoren über beliebigen Mengen Zufallsgeneratoren über beliebigen Mengen Definition AG n heißt ein kryptographisch starker Pseudo-Zufallsgenerator, wenn die Funktion AG n in polynomieller Zeit berechnet werden kann und die zwei Wahrscheinlichkeitsverteilungen U n und AG n polynomiell nicht unterscheidbar sind, wobei U n die Gleichverteilung über A n ist.
14 Grundlegende Definitionen Zufallsgeneratoren über {0, 1} n Zufallsgeneratoren über beliebigen Mengen Definition Sei p {0, 1} n eine Primzahl. Z p ist zyklisch. Sei g ein Generator von Z p. Dann ist die Funktion f : Z p 1 Z p mit f (x) = g x mod p eine Permutation. Das Inverse dieser Funktion wird diskreter Logarithmus genannt.
15 Grundlegende Definitionen Zufallsgeneratoren über {0, 1} n Zufallsgeneratoren über beliebigen Mengen Berechnung des diskreten Logarithmus Vermutung: Einwegfunktion
16 Grundlegende Definitionen Zufallsgeneratoren über {0, 1} n Zufallsgeneratoren über beliebigen Mengen Berechnung des diskreten Logarithmus Vermutung: Einwegfunktion Index - Calculus - Methode läuft subexponentiell in n
17 Grundlegende Definitionen Zufallsgeneratoren über {0, 1} n Zufallsgeneratoren über beliebigen Mengen Berechnung des diskreten Logarithmus Vermutung: Einwegfunktion Index - Calculus - Methode läuft subexponentiell in n BabyStep-GiantStep - Algorithmus von Shanks läuft in O(2 c 2 )
18 Grundlegende Definitionen Zufallsgeneratoren über {0, 1} n Zufallsgeneratoren über beliebigen Mengen c-dlse - Annahme c-dlse: Discrete Logarithm with Short c-bit Exponents Sei c = ω ( log(n) ). Für jeden probabilistischen, polynomiellen Algorithmus A, für jedes positive Polynom P und für genügend großes n wird angenommen: Pr p P mit p = n; x {0, 1} c zufällig, gleichverteilt A(p, g, g x, c) = x 1 P(n)
19 Boolsche Prädikate Einleitung Boolsche Prädikate Theorem von Patel und Sundaram Das niedrigstwertige Bit Satz Es existieren O ( log(log(p)) ) Boolsche Prädikate Π i : Z p 1 {0, 1} für i = 1,..., O(log(log(p))), so dass für jedes j mit 1 j O ( log(log(p)) ) gilt: Wenn ein probabilistischer, polynomieller Algorithmus A und ein positives Polynom P existiert, so dass ( Pr x Z p 1 ; A ( g x, Π 1 (x),..., Π j 1 (x) ) ) = Π j (x) P(n), dann gibt es einen probabilistischen, polynomiellen Algorithmus A, der bei Eingabe g x mit einer nichtzuvernachlässigenden Wahrscheinlichkeit x berechnet.
20 Theorem von Patel und Sundaram Boolsche Prädikate Theorem von Patel und Sundaram Das niedrigstwertige Bit Theorem Sei p eine n-bit Primzahl mit p 3 mod 4 und gelte die c-dlse - Annahme, dann gilt für jedes j mit 2 j n c, für jeden polynomiellen Algorithmus A, für jedes positive Polynom P und für genügend großes n: Pr( x Z p 1 ; A(g x ) 1, x 2,..., x j 1 ) = x j 2 1 P(n)
21 Boolsche Prädikate Theorem von Patel und Sundaram Das niedrigstwertige Bit Algorithmus Sei p eine n-bit Primzahl mit p 3 mod 4 und c = ω ( log(n) ). PSG n,c : Z p 1 Z p {0, 1} n c 1 mit PSG n,c (x) = ( g x mod p, x 2,..., x n c ) 1 Starte mit x (0) Z p 1 zufällig, gleichverteilt 2 Setze x (i) := g x(i 1) 3 Setze r (i) := x (i) 2, x (i) 3,..., x (i) n c 4 Ausgabe: r (0), r (1),..., r (k) wobei k die Anzahl der Iterationen ist.
22 Boolsche Prädikate Theorem von Patel und Sundaram Das niedrigstwertige Bit Warum wird das Bit x 1 nicht verwendet? Kriterium von Euler Sei p eine ungerade Primzahl. Dann gilt: a ist quadratisches Residuum modulo p a p mod p
23 Boolsche Prädikate Theorem von Patel und Sundaram Das niedrigstwertige Bit Warum wird das Bit x 1 nicht verwendet? Kriterium von Euler Sei p eine ungerade Primzahl. Dann gilt: a ist quadratisches Residuum modulo p a p mod p Wie sieht x 1 nun aus? x 1 = 0 g x ist quadratisches Residuum x 1 = 1 g x ist kein quadratisches Residuum Dies kann in polynomieller Laufzeit entschieden werden.
24 Einleitung Konstruktion Sicherheit Effizienz Effizienzsteigerung Konstruktion Sei p eine n-bit Primzahl mit p 3 mod 4 und c = ω ( log(n) ). Sei g ein Generator von Z p. Setze ĝ := g 2n c. Betrachte folgende Funktion: RG n,c : Z p 1 Z p mit RG n,c (x) = ĝ x div 2n c g x 1 mod p Die Funktion RG n,c induziert eine Wahrscheinlichkeitsverteilung RG n,c über Z p wie folgt: Pr RGn,c (y) := Pr ( y = RG n,c (s); s Z p 1 zufällig, gleichverteilt )
25 Einleitung Konstruktion Sicherheit Effizienz Effizienzsteigerung Lemma Sei p eine n-bit Primzahl mit p 3 mod 4. Es gelte die c-dlse - Annahme. Sei U n die Gleichverteilung über Z p. Dann gilt: Die zwei Verteilungen U n und RG n,c sind polynomiell nicht unterscheidbar.
26 Einleitung Konstruktion Sicherheit Effizienz Effizienzsteigerung Algorithmus Sei p eine n-bit Primzahl mit p 3 mod 4 und c = ω ( log(n) ). RG n,c : Z p 1 Z p mit RG n,c (x) = ĝ x div 2n c g x 1 mod p 1 Starte mit x (0) Z p 1 zufällig, gleichverteilt 2 Setze x (i) := RG n,c ( x (i 1) ) 3 Setze r (i) := x (i) 2, x (i) 3,..., x (i) n c 4 Ausgabe: r (0), r (1),..., r (k) wobei k die Anzahl der Iterationen ist.
27 Sicherheit Einleitung Konstruktion Sicherheit Effizienz Effizienzsteigerung Theorem Wenn die c-dlse Annahme gilt, so ist der iterierte RG n,c ein sicherer Pseudo-Zufallsbitgenerator.
28 Effizienz Einleitung Konstruktion Sicherheit Effizienz Effizienzsteigerung Effizienzvergleich mit n = 1024 und c = 160 Pseudo-Zufallsbits: Exponent: Exponentiationen: Multiplikationen: pro Multiplikation: Patel-Sundaram: n c 1 = 863 n-bit ˆ= 1024-bit 1 1, 5n = , 5 Bits Gennaro: n c 1 = 863 c-bit ˆ= 160-bit 1 1, 5c = 240 3, 5 Bits
29 Effizienzsteigerung Einleitung Konstruktion Sicherheit Effizienz Effizienzsteigerung Verbesserung von Effizienz Exponentiation zu einer festen Basis ĝ Benutzung von vorberechneten Tabellen 12 KByte - Tabelle bringt 21 Bits pro Multiplikation 300 KByte - Tabelle bringt 43 Bits pro Multiplikation
30 Konstruktion Sicherheit Effizienz Effizienzsteigerung Noch Fragen???
31 Konstruktion Sicherheit Effizienz Effizienzsteigerung Noch Fragen??? Vielen Dank für Ihre Aufmerksamkeit!!!
32 Quadrieren - Multiplizieren Konstruktion Sicherheit Effizienz Effizienzsteigerung Algorithmus Eingabe: g Z p und x = n x i 2 i 1 Ausgabe: g x mod p 1 y:=1 z:=g 2 Für i = 0, 1,..., n 1 Falls x i = 1 y := y z mod p z := z 2 mod p 3 Ausgabe: y i=1
Kryptographische Protokolle
Kryptographische Protokolle Lerneinheit 2: Generierung von Primzahlen Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen Wintersemester 2018/2019 15.11.2018 Einleitung Einleitung Diese Lerneinheit
MehrAlgorithmische Kryptographie
Algorithmische Kryptographie Walter Unger Lehrstuhl für Informatik I 16. Februar 2007 Public-Key-Systeme: Rabin 1 Das System nach Rabin 2 Grundlagen Körper Endliche Körper F(q) Definitionen Quadratwurzel
MehrLineare Kongruenzgeneratoren und Quicksort
Seminar Perlen der theoretischen Informatik Dozenten: Prof. Johannes Köbler und Olaf Beyersdorff Lineare Kongruenzgeneratoren und Quicksort Ausarbeitung zum Vortrag Mia Viktoria Meyer 12. November 2002
MehrDiskrete Mathematik 1
Ruhr-Universität Bochum Lehrstuhl für Kryptologie und IT-Sicherheit Prof. Dr. Alexander May M. Ritzenhofen, M. Mansour Al Sawadi, A. Meurer Lösungsblatt zur Vorlesung Diskrete Mathematik 1 WS 008/09 Blatt
MehrPublic-Key-Verschlüsselung und Diskrete Logarithmen
Public-Key-Verschlüsselung und Diskrete Logarithmen Carsten Baum Institut für Informatik Universität Potsdam 10. Juni 2009 1 / 30 Inhaltsverzeichnis 1 Mathematische Grundlagen Gruppen, Ordnung, Primitivwurzeln
MehrDiskreter Logarithmus und Primkörper
Diskreter Logarithmus und Primkörper Neben dem RSA-Verfahren ist die ElGamal-Verschlüsselung 8 ein weiteres klassische Public-Key-Verfahren, welches von Taher ElGamal auf der Konferenz CRYPTO 84 vorgestellt
MehrProbabilistische Primzahltests
23.01.2006 Motivation und Überblick Grundsätzliches Vorgehen Motivation und Überblick Als Primzahltest bezeichnet man ein mathematisches Verfahren, mit dem ermittelt wird, ob eine gegebene Zahl eine Primzahl
MehrEinwegfunktionen. Problemseminar. Komplexitätstheorie und Kryptographie. Martin Huschenbett. 30. Oktober 2008
Problemseminar Komplexitätstheorie und Kryptographie Martin Huschenbett Student am Institut für Informatik an der Universität Leipzig 30. Oktober 2008 1 / 33 Gliederung 1 Randomisierte Algorithmen und
Mehr1. Welche Eigenschaften sollte ein Pseudo-Random Generator haben?
Die Themen 1. Welche Eigenschaften sollte ein Pseudo-Random Generator haben? Er sollte von wirklichen Zufallsgeneratoren nicht unterscheidbar sein?! Eine viel zu starke Forderung: Stattdessen sollte ein
MehrPseudozufallsgeneratoren
Pseudozufallsgeneratoren In welchen kryptographischen Verfahren werden keine Zufallszahlen benötigt? Wie generiert man Zufallszahlen in einer deterministischen Maschine wie dem Computer? Wenn man eine
Mehr= 1. Falls ( a n. ) r i. i=1 ( b p i
Das Jacobi-Symbol Definition Jacobi-Symbol Sei n N ungerade mit Primfaktorzerlegung n = s definieren das Jacobi-Symbol ( a ( ) ri n) := s a i=1 p i. i=1 pr i i. Wir Anmerkungen: Falls a quadratischer Rest
Mehr1. Juni Probabilistische Turingmaschinen. Eike Müller. Motivation. Probabilistische Turingmaschinen. Einseitige Fehler und Nullseitige Fehler
1. Juni 2010 Nullseitige Inhalt 1 2 3 4 5 6 7 8 Nullseitige Primzahltest nach Soloway und Strassen Nullseitige Definition ( Turingmaschine) Eine probabilistische Turingmaschine (PTM) ist eine Turingmaschine
MehrProseminar Schlüsselaustausch (Diffie - Hellman)
Proseminar Schlüsselaustausch (Diffie - Hellman) Schlüsselaustausch Mathematische Grundlagen Das DH Protokoll Sicherheit Anwendung 23.06.2009 Proseminar Kryptographische Protokolle SS 2009 : Diffie Hellman
MehrIsomorphismus. Definition Gruppen-Isomorphismus. Seien (G, +) und (G, ) Gruppen. Die Abbildung f : G G heißt Gruppen-Isomorphismus, falls gilt
Isomorphismus Definition Gruppen-Isomorphismus Seien (G, +) und (G, ) Gruppen. Die Abbildung f : G G heißt Gruppen-Isomorphismus, falls gilt 1 f ist bijektiv f (u + v) = f (u) f (v) für alle u, v G, die
MehrKryptosystem von Paillier: Analyse und Verbesserungen
Kryptosystem von Paillier: Analyse und Verbesserungen Andreas Kumlehn 31. März 2006 Inhalt 1 Einleitung 3 2 Grundlagen 4 2.1 Laufzeiten........................................... 4 2.2 Sicherheit...........................................
MehrMiller-Rabin Test. Primzahl- und Zerlegbarkeitstests. Zeugen für die Zerlegbarkeit ganzer Zahlen
Miller-Rabin Test Primzahl- und Zerlegbarkeitstests Sei N eine positive ganze Zahl. Wie kann man möglichst effizient feststellen, ob N eine Primzahl oder zerlegbar ist? Dies ist die Aufgabe von Primzahlund
MehrMiller-Rabin Test. Primzahl- und Zerlegbarkeitstests. Zeugen für die Zerlegbarkeit ganzer Zahlen
Miller-Rabin Test Primzahl- und Zerlegbarkeitstests Sei N eine positive ganze Zahl. Wie kann man möglichst effizient feststellen, ob N eine Primzahl oder zerlegbar ist? Dies ist die Aufgabe von Primzahlund
MehrDas Quadratische Reste Problem
Das Quadratische Reste Problem Definition Pseudoquadrate Sei N = q mit, q rim. Eine Zahl a heißt Pseudoquadrat bezüglich N, falls ( a ) = 1 und a / QR N. N Wir definieren die Srache QUADRAT:= {a Z N (
Mehr2: Restklassen 2.1: Modulare Arithmetik
2: Restklassen 2.1: Modulare Arithmetik Uhr: Stunden mod 24, Minuten mod 60, Sekunden mod 60,... Rechnerarithmetik: mod 2 w, w {8, 16, 32, 64} Prüfziffern mod 10 oder mod 11... 71 S. Lucks Diskr Strukt.
MehrEinführung in die Kryptographie
Ä Johannes Buchmann Einführung in die Kryptographie Dritte, erweiterte Auflage Inhaltsverzeichnis 1. Einleitung 1 2. Ganze Zahlen 3 2.1 Grundlagen 3 2.2 Teilbarkeit 4 2.3 Darstellung ganzer Zahlen 5 2.4
MehrPublic Key Kryptographie
3. Juni 2006 1 Algorithmen für Langzahlen 1 RSA 1 Das Rabin-Kryptosystem 1 Diskrete Logarithmen Grundlagen der PK Kryptographie Bisher: Ein Schlüssel für Sender und Empfänger ( Secret-Key oder symmetrische
MehrKryptographie mit elliptischen Kurven
Kryptographie mit elliptischen Kurven Dr. Dirk Feldhusen SRC Security Research & Consulting GmbH Bonn - Wiesbaden Inhalt Elliptische Kurven! Grafik! Punktaddition! Implementation Kryptographie! Asymmetrische
MehrGrundlagen: Algorithmen und Datenstrukturen
Grundlagen: Algorithmen und Datenstrukturen Prof. Dr. Hanjo Täubig Lehrstuhl für Effiziente Algorithmen (Prof. Dr. Ernst W. Mayr) Institut für Informatik Technische Universität München Sommersemester 2010
MehrRSA-Verfahren Schnelle Ver- / Entschlüsselung Zusammenhang mit dem Faktorisierungsproblem. RSA-Verfahren. Herwig Stütz
2007-11-23 Überblick 1 2 Schnelle modulare Exponentiation Chinesischer Restsatz 3 Allgemeines Public-Key Methode Rivest, Shamir und Adleman 1977 Sicherheit des Verfahrens beruht auf Schwierigkeit der Primfaktorenzerlegung
MehrZahlentheorie, Arithmetik und Algebra
Zahlentheorie, Arithmetik und Algebra Seminar Hallo Welt für Fortgeschrittene 2008 Matthias Niessner June 20, 2008 Erlangen 1 von 29 Matthias Niessner Zahlentheorie, Arithmetik und Algebra Übersicht 1
MehrAufgabe der Kryptografie
Aufgabe der Kryptografie Eve möchte die Unterhaltung mithören und/oder ausgetauschte Informationen ändern. Alice & Bob kommunzieren über einen unsicheren Kanal. Alice & Bob nutzen Verschlüsselung und digitale
MehrProseminar Bakkalaureat TM 2008/2009 Datensicherheit und Versicherungsmathematik Public-Key-Kryptosystem
Proseminar Bakkalaureat TM 2008/2009 Datensicherheit und Versicherungsmathematik Technische Universität Graz 29. Dezember 2008 Überblick Unterschied zwischen symmetrischen und asymmetrischen Verschlüsselungsverfahren
Mehr6: Diskrete Wahrscheinlichkeit
Stefan Lucks Diskrete Strukturen (WS 2009/10) 219 6: Diskrete Wahrscheinlichkeit 6: Diskrete Wahrscheinlichkeit Stefan Lucks Diskrete Strukturen (WS 2009/10) 220 Wahrscheinlichkeitsrechnung Eines der wichtigsten
Mehr8. Woche Quadratische Reste und Anwendungen. 8. Woche: Quadratische Reste und Anwendungen 163/ 238
8 Woche Quadratische Reste und Anwendungen 8 Woche: Quadratische Reste und Anwendungen 163/ 238 Quadratische Reste Ḋefinition Quadratischer Rest Sei n N Ein Element a Z n heißt quadratischer Rest in Z
MehrKryptologie. Bernd Borchert. Univ. Tübingen SS Vorlesung. Teil 11. Primzahltests: Fermat, Miller-Rabin
Kryptologie Bernd Borchert Univ. Tübingen SS 2017 Vorlesung Teil 11 Primzahltests: Fermat, Miller-Rabin Primzahltests Problem: Gegeben n. Ist n Primzahl? Naive Methoden: Ausprobieren: gehe der Reihe nach
Mehr13. Der diskrete Logarithmus
13. Der diskrete Logarithmus 13.1. Definition. Sei p eine Primzahl. Wie wir in 9 bewiesen haben, ist die multiplikative Gruppe F p des Körpers F p = Z/p zyklisch. Sei g ein erzeugendes Element von F p
MehrIT-Sicherheit Kapitel 4 Public Key Algorithmen
IT-Sicherheit Kapitel 4 Public Key Algorithmen Dr. Christian Rathgeb Sommersemester 2014 1 Einführung Der private Schlüssel kann nicht effizient aus dem öffentlichen Schlüssel bestimmt werden bzw. die
MehrDer Primzahltest von Agrawal, Kayal und Saxena. Dr. Gerold Jäger
Der Primzahltest von Agrawal, Kayal und Saxena Dr. Gerold Jäger Habilitationsvortrag Christian-Albrechts-Universität zu Kiel Institut für Informatik 19. Januar 2011 Dr. Gerold Jäger Habilitationsvortrag
MehrEinführung in die Kryptographie
Johannes Buchmann Einführung in die Kryptographie Fünfte Auflage \ - ' '' "'-'"*' : ) ^ Springer Inhaltsverzeichnis 1. Einleitung, : 1 2. Ganze Zahlen 3 2.1 Grundlagen 3 2.2 Teilbarkeit 4 2.3 Darstellung
Mehr3: Zahlentheorie / Primzahlen
Stefan Lucks Diskrete Strukturen (WS 2009/10) 96 3: Zahlentheorie / Primzahlen 3: Zahlentheorie / Primzahlen Stefan Lucks Diskrete Strukturen (WS 2009/10) 97 Definition 37 (Teiler, Vielfache, Primzahlen,
MehrProseminar Datensicherheit & Versicherungsmathematik ElGamal-Verfahren
Proseminar Datensicherheit & Versicherungsmathematik ElGamal-Verfahren Markus Kröll 14. Jänner 2009 Inhaltsverzeichnis 1 Einführung 2 2 Das ElGamal-Verfahren 2 2.1 Schlüsselerzeugung.................................
MehrAbschnitt 5: Kryptographie. j (p j 1). 1 (p 1 1)p α 2
Abschnitt 5: Kryptographie. Zunächst wollen wir die Struktur von (Z/mZ) untersuchen. 5.1 Definition: Die Eulersche ϕ-funktion: ϕ : N N; ϕ(m) := (Z/mZ) 5.2 Bemerkung: (Z/mZ) {a {1,..., m 1} ggt(a, m) =
MehrPublic Key Kryptographie
4. Dezember 2007 Outline 1 Einführung 2 3 4 Einführung 1976 Whitefield Diffie und Martin Hellman 2 Schlüsselprinzip Asymmetrische Verschlüsselungsverfahren public Key private Key Anwendung E-Mail PGP openpgp
MehrPrimzahltest für Mersenne-Primzahlen
Primzahltest für Mersenne-Primzahlen Satz Lucas-Lehmer Test Sei n = 2 p 1 N für p P\{2}. Wir definieren die Folge S k durch S 1 = 4 und S k = S 2 k 1 2. Falls n S p 1, dann ist n prim. Beweis: Seien ω
MehrProseminar Datensicherheit & Versicherungsmathematik RSA-Verfahren
Proseminar Datensicherheit & Versicherungsmathematik RSA-Verfahren Herwig Stütz 2007-11-23 1 Inhaltsverzeichnis 1 Einführung 2 2 Das RSA-Verfahren 2 2.1 Schlüsselerzeugung.................................
Mehr13. Woche: NP-Vollständigkeit Satz von Cook-Levin Anwendungen in der Kryptographie
13 Woche: NP-Vollständigkeit Satz von Cook-Levin Anwendungen in der Kryptographie 13 Woche: NP-Vollständigkeit, Satz von Cook-Levin, Anwendungen 276/ 333 N P-Vollständigkeit Ḋefinition NP-vollständig Sei
MehrDigitale Signaturen. Einführung und das Schnorr Signatur Schema. 1 Digitale Signaturen Einführung & das Schnorr Signatur Schema.
Digitale Signaturen Einführung und das Schnorr Signatur Schema 1 Übersicht 1. Prinzip der digitalen Signatur 2. Grundlagen Hash Funktionen Diskreter Logarithmus 3. ElGamal Signatur Schema 4. Schnorr Signatur
MehrDiskrete Strukturen Kapitel 5: Algebraische Strukturen (Gruppen)
WS 2015/16 Diskrete Strukturen Kapitel 5: Algebraische Strukturen (Gruppen) Hans-Joachim Bungartz Lehrstuhl für wissenschaftliches Rechnen Fakultät für Informatik Technische Universität München http://www5.in.tum.de/wiki/index.php/diskrete_strukturen_-_winter_15
MehrEinführung in die asymmetrische Kryptographie
!"#$$% Einführung in die asymmetrische Kryptographie Dipl.-Inform. Mel Wahl Prof. Dr. Christoph Ruland Universität Siegen Institut für digitale Kommunikationssysteme Grundlagen Verschlüsselung Digitale
MehrEin RSA verwandtes, randomisiertes Public Key Kryptosystem
Seminar Codes und Kryptographie WS 2003 Ein RSA verwandtes, randomisiertes Public Key Kryptosystem Kai Gehrs Übersicht 1. Motivation 2. Das Public Key Kryptosystem 2.1 p-sylow Untergruppen und eine spezielle
MehrTrim Size: 176mm x 240mm Lang ftoc.tex V1-5.Juli :54 P.M. Page 9
Trim Size: 176mm x 240mm Lang ftoc.tex V1-5.Juli 2018 7:54 P.M. Page 9 Auf einen Blick Über den Autor... 7 Einleitung... 19 Teil I: Verschlüsseln... 25 Kapitel 1: Sicherheit in Zeiten des Internet... 27
MehrZahlentheorie I. Christoph Egger. 18. Juni Christoph Egger Zahlentheorie I 18. Juni / 32
Zahlentheorie I Christoph Egger 18. Juni 2010 Christoph Egger Zahlentheorie I 18. Juni 2010 1 / 32 Übersicht 1 Modulare Arithmetik Addition & Subtraktion Multiplikation schnelles Potenzieren 2 Teiler Definition
MehrProbabilistische Turingmaschinen
Probabilistische Turingmaschinen Eike Müller 1. Juni 2010 Inhaltsverzeichnis 1 Motivation 2 2 Probabilistische Turingmaschinen 2 3 Einseitige Fehler und Nullseitige Fehler 3 3.1 Einseitige Fehler....................................
MehrKryptographie und Komplexität
Kryptographie und Komplexität Einheit 4.4 Semantische Sicherheit 1. Sicherheit partieller Informationen 2. Das Verfahren von Rabin 3. Sicherheit durch Randomisierung Semantische Sicherheit Mehr als nur
MehrVortrag zum Proseminar: Kryptographie
Vortrag zum Proseminar: Kryptographie Thema: Oliver Czernik 6.12.2005 Historie Michael Rabin Professor für Computerwissenschaft Miller-Rabin-Primzahltest Januar 1979 April 1977: RSA Asymmetrisches Verschlüsselungssystem
MehrVI.4 Elgamal. - vorgestellt 1985 von Taher Elgamal. - nach RSA das wichtigste Public-Key Verfahren
VI.4 Elgamal - vorgestellt 1985 von Taher Elgamal - nach RSA das wichtigste Public-Key Verfahren - besitzt viele unterschiedliche Varianten, abhängig von zugrunde liegender zyklischer Gruppe - Elgamal
MehrZahlentheorie, Arithmetik und Algebra I. Felix Teufel Hallo Welt! -Seminar - LS 2
Zahlentheorie, Arithmetik und Algebra I Felix Teufel 26.07.2017 Hallo Welt! -Seminar - LS 2 Überblick Modulare Arithmetik Größter gemeinsamer Teiler Primzahlen Eulersche Φ-Funktion RSA Quellen 26.07.2017
Mehr3: Primzahlen. 111 S. Lucks Diskr Strukt. (WS 18/19) 3: Primzahlen
3: Primzahlen 111 S. Lucks Diskr Strukt. (WS 18/19) 3: Primzahlen Definition 40 (Teiler, Vielfache, Primzahlen, zusammengesetzte Zahlen) Seien a, b N. a ist ein Teiler von b ( a b ), falls es ein k N gibt
MehrZiel: Zertifiziere Pfad von Wurzel zu m mittels Signaturen. Signieren Public-Keys auf Pfad inklusive der Nachbarknoten.
Merkle-Baum Idee: Konstruktion von Merkle-Bäumen Ersetze Signaturkette durch Baum (sogenannter Merkle-Baum). Verwenden Baum der Tiefe n für Nachrichten der Länge n. Die Wurzel erhält Label ɛ. Die Kinder
Mehr4 Der diskrete Logarithmus mit Anwendungen
4 Der diskrete Logarithmus mit Anwendungen 62 4.1 Der diskrete Logarithmus Für eine ganze Zahl a Z mit ggt(a, n) = 1 hat die Exponentialfunktion mod n zur Basis a exp a : Z M n, x a x mod n, die Periode
MehrRSA Parameter öffentlich: N = pq mit p, q prim und e Z RSA Parameter geheim: d Z φ(n)
RSA Parameter { öffentlich: N = pq mit p, q prim und e Z RSA Parameter φ(n) geheim: d Z φ(n) mit ed = 1 mod φ(n). Satz RSA Parameter Generierung RSA-Parameter (N, e, d) können in Zeit O(log 4 N) generiert
MehrSignale und Codes Vorlesung 11
Signale und Codes Vorlesung 11 Nico Döttling January 31, 2014 1 / 22 Ein List-Decoder für WH k Theorem (Goldreich-Levin) Für jedes ɛ > 0 existiert ein effizienter List-Decoder für WH k welcher 1 2 ɛ Fehler
MehrFerien-Übungsblatt 8 Lösungsvorschläge
Institut für Theoretische Informatik Lehrstuhl Prof. Dr. D. Wagner Ferien-Übungsblatt 8 Lösungsvorschläge Vorlesung Algorithmentechnik im WS 09/10 Problem 1: Probabilistische Komplexitätsklassen [vgl.
MehrElliptische Kurven und ihre Anwendung in der Kryptographie
Elliptische Kurven und ihre Anwendung in der Kryptographie Carsten Baum Institut für Informatik Universität Potsdam 17. Juni 2009 1 / 29 Inhaltsverzeichnis 1 Mathematische Grundlagen Charakteristik eines
MehrVI.3 RSA. - RSA benannt nach seinen Erfindern R. Rivest, A. Shamir und L. Adleman. - vorgestellt erstes Public-Key Verschlüsselungsverfahren
VI.3 RSA - RSA benannt nach seinen Erfindern R. Rivest, A. Shamir und L. Adleman - vorgestellt 1977 - erstes Public-Key Verschlüsselungsverfahren - auch heute noch das wichtigste Public-Key Verfahren 1
MehrKryptographie und Komplexität
Kryptographie und Komplexität Einheit 5.2 ElGamal Systeme 1. Verschlüsselungsverfahren 2. Korrektheit und Komplexität 3. Sicherheitsaspekte Das ElGamal Verschlüsselungsverfahren Public-Key Verfahren von
MehrStichpunktezettel fürs Tutorium
Stichpunktezettel fürs Tutorium Moritz und Dorian 11. November 009 1 Kleiner Fermat Behauptung. Seien a, b N relativ prim und b eine Primzahl. Dann ist a b 1 = 1. Beweis. Wir definieren die Funktion f
MehrDer Algorithmus von Schoof
Der Algorithmus von Schoof Simone Deppert Technische Universität Kaiserslautern Sommersemester 2011 29. Juli 2011 Simone Deppert Der Algorithmus von Schoof 29. Juli 2011 1 / 29 Inhaltsverzeichnis 1 Der
MehrShift-Invarianz, periodische Funktionen, diskreter Logarithmus, hidden-subgroup-problem
Shift-Invarianz, periodische Funktionen, diskreter Logarithmus, hidden-subgroup-problem Quantencomputing SS 202 5. Juni 202 5. Juni 202 / 20 Shift-Invarianz der Fourier-Transformation Shift-Invarianz der
MehrDigitale Signaturen. GHR-und Chamäleon-Signaturen Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen GHR-und Chamäleon-Signaturen Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen KIT
MehrExponentiation: das Problem
Problemstellung Exponentiation: das Problem Gegeben: (multiplikative) Halbgruppe (H, ), Element a H, n N Aufgabe: berechne das Element a n = } a a a {{ a } H n (schreiben ab jetzt a n statt a n ) Hinweis:
MehrKapitel 6: Das quadratische Reziprozitätsgesetz
Kapitel 6: Das quadratische Reziprozitätsgesetz Ziel dieses Kapitels: die Untersuchung der Lösbarkeit der Kongruenzgleichung X also die Frage, ob die ganze Zahl Z eine Quadratwurzel modulo P besitzt. Im
MehrDer diskrete Logarithmus und der Index-Calculus
Der diskrete Logarithmus und der Index-Calculus Uli Schlachter 20. Juli 2012 Uli Schlachter Index Calculus 20. Juli 2012 1 / 26 Inhalt 1 Motivation 2 Der diskrete Logarithmus 3 Der Index-Calculus 4 Implementierung
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 12.05.2014 1 / 26 Überblick 1 Hashfunktionen Erinnerung Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel:
MehrOrakel Berechnungen. Orakel Berechnungen 1 / 32
Orakel Berechnungen Orakel Berechnungen 1 / 32 Berechnungswelten Warum ist die P? = NP Frage immer noch unbeantwortet?? Vielleicht, weil P NP zwar wahr, aber nicht beweisbar ist?? Vielleicht, weil P =
MehrKlausurtermin. Klausur Diskrete Mathematik I Do stündig
Klausurtermin Klausur Diskrete Mathematik I Do. 28.02.2008 3-stündig 07.12.2007 1 Wiederholung Komplexität modularer Arithmetik Addition: O(n) Multiplikation: O(n 2 ) bzw. O(n log 2 3 ) Exponentiation:
MehrErweiterter Euklidischer Algorithmus
Erweiterter Euklidischer Algorithmus Algorithmus ERWEITERTER EUKLIDISCHER ALG. (EEA) EINGABE: a, b N 1 If (b = 0) then return (a, 1, 0); 2 (d, x, y) EEA(b, a mod b); 3 (d, x, y) (d, y, x a b y); AUSGABE:
MehrIT-Security. Teil 15: Zufall
IT-Security Teil 15: Zufall 09.05.17 1 Literatur [15-1] http://de.wikipedia.org/wiki/kryptographisch_sicherer_zufallszahlen generator [15-2] https://gnupg.org/documentation/manuals/gcrypt/fips-prng- Description.html
MehrEinführung in die Kryptographie
Springer-Lehrbuch Einführung in die Kryptographie Bearbeitet von Johannes Buchmann 5. Aufl. 2010. Taschenbuch. xxiv, 280 S. Paperback ISBN 978 3 642 11185 3 Format (B x L): 15,5 x 23,5 cm Gewicht: 462
MehrAlgebra für Informationssystemtechniker
Algebra für Informationssystemtechniker Prof. Dr. Ulrike Baumann Fachrichtung Mathematik Institut für Algebra www.math.tu-dresden.de/ baumann Ulrike.Baumann@tu-dresden.de 16.07.2018 14. Vorlesung irreduzible
MehrElliptische Kurven in der Kryptographie, Teil III. 1 Supersingularität
Elliptische Kurven in der Kryptographie, Teil III Vortrag zum Seminar zur Funktionentheorie, 03.1.007 Julia Baumgartner In diesem Vortrag wollen wir supersinguläre elliptische Kurven betrachten und dann
MehrEinwegfunktionen Ziel: CPA-sichere Verschlüsselung aus Trapdoor-Einwegpermutation Später: CCA-sichere Verschlüsselung aus Trapdoor-Einwegperm.
Einwegfunktionen Ziel: CPA-sichere Verschlüsselung aus Trapdoor-Einwegpermutation Später: CCA-sichere Verschlüsselung aus Trapdoor-Einwegperm. Spiel Invertieren Invert A,f (n) Sei f : 0, 1} 0, 1} effizient
Mehr6 Zahlentheoretische Grundlagen
6 Zahlentheoretische Grundlagen 89 6 Zahlentheoretische Grundlagen In diesem Abschnitt stellen wir die Hilfsmittel aus der Zahlentheorie bereit, die wir zum Verständnis der Public-Key Verfahren, die im
MehrOrdnungsberechnung und Faktorisierung
sberechnung Information, Codierung, Komplexität 2 SS 2007 14. Juni 2007 Voraussetzungen: sberechnung U ist unitäre Transformation mit EV ψ zum EW e 2πiϕ kontrollierte U j -Operationen auf ψ sind durchführbar
Mehr8 Komplexitätstheorie und Kryptologie
8 Komplexitätstheorie und Kryptologie Verschlüsselung, Authentisierung,... müssen schnell berechenbar sein. Formal: polynomiell zeitbeschränkte Funktionen/Algorithmen Angreifer hat beschränkte Ressourcen.
Mehr2 Wachstumsverhalten von Funktionen
Algorithmen und Datenstrukturen 40 2 Wachstumsverhalten von Funktionen Beim Vergleich der Worst-Case-Laufzeiten von Algorithmen in Abhängigkeit von der Größe n der Eingabedaten ist oft nur deren Verhalten
MehrVolker Kaatz. Faktorisierung. Faktorisierung. Problem und Algorithmen. Relevanz in der Kryptographie
Faktorisierung Problem und Algorithmen Relevanz in der Kryptographie Inhalt Begriff Faktorisierung Algorithmen (Übersicht) Strategie und Komplexität Pollard p-1 Algorithmus Pseudocode, mathematische Basis,
MehrWiederholung. Symmetrische Verfahren: klassische Verfahren / grundlegende Prinzipien: Substitution, Transposition, One-Time-Pad DES AES
Wiederholung Symmetrische Verfahren: klassische Verfahren / grundlegende Prinzipien: Substitution, Transposition, One-Time-Pad DES AES Mathematische Grundlagen: algebraische Strukturen: Halbgruppe, Monoid,
Mehr7. Kongruenzrechnung Definition: Proposition: Korollar: Beispiel: b ( a kongruent b modulo n ) auf Z, definiert durch:
7. Kongruenzrechnung 7. 1. Definition: Für n N sei die Relation: n a n b ( a kongruent b modulo n ) auf Z, definiert durch: a n b : n ( a b) a b ( mod n) Dies ist eine Äquivalenzrelation auf Z. Die Menge
MehrFouriertransformation und Unschärfeprinzip
Information, Codierung, Komplexität 2 SS 2007 24. April 2007 Das berühmte von Heisenberg in der Quantentheorie beruht, rein mathematisch betrachtet, auf einer grundlegenden Eigenschaft der der Dichtefunktionen
MehrBetriebssysteme und Sicherheit
Betriebssysteme und Sicherheit Asymmetrische Kryptographie WS 2012/2012 Dr.-Ing. Elke Franz Elke.Franz@tu-dresden.de 1 Überblick 1 Prinzip asymmetrischer (Konzelations-)Systeme 2 Mathematische Grundlagen
MehrSicherheit von ElGamal Intuitiv: Eve soll c 2 = m g ab nicht von c 2 R G unterscheiden können.
Sicherheit von ElGamal Intuitiv: Eve soll c 2 m g ab nicht von c 2 R G unterscheiden können. Protokoll Unterscheider EINGABE: q, g, g x 1 Eve wählt m G und schickt m an Alice. 2 Alice wählt b R {0, 1},
MehrBsp: Die kleinsten Carmichael-Zahlen sind 561, 1105, 1729, Es gibt unendlich viele Carmichael-Zahlen (Beweis 1994).
Primzahltest Wir wollen testen, ob eine gegebene Zahl n eine Primzahl ist Effizienter Algorithmus zum Faktorisieren ist unbekannt Kontraposition des Kleinen Satzes von Fermat liefert: Falls a n 1 1 mod
Mehr4.4.1 Statisches perfektes Hashing. des Bildbereichs {0, 1,..., n 1} der Hashfunktionen und S U, S = m n, eine Menge von Schlüsseln.
4.4 Perfektes Hashing Das Ziel des perfekten Hashings ist es, für eine Schlüsselmenge eine Hashfunktion zu finden, so dass keine Kollisionen auftreten. Die Größe der Hashtabelle soll dabei natürlich möglichst
MehrZufall oder Absicht?
Zufall oder Absicht? Randomisierung und Derandomisierung Prof. Markus Bläser Universität des Saarlandes 4. Januar 2010 1 / 21 Zufall oder Absicht? 1 Randomisierte Algorithmen 2 Polynom-Identitätstests
MehrPraktisch modulo n rechnen
Mathematik I für Informatiker Das Lemma von Euler-Fermat p. 1 Praktisch modulo n rechnen Addition und Multiplikation modulo n sind auch dann algorithmisch kein großes Problem, wenn mit großen Zahlen gerechnet
MehrKryptographische Protokolle
Kryptographische Protokolle Lerneinheit 4: Schlüsselvereinbarung Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen Sommersemester 2017 8.5.2017 Einleitung Einleitung In dieser Lerneinheit
MehrLiteratur. ISM SS 2017 Teil 8/Asymmetrische Verschlüsselung
Literatur [8-1] Beutelspacher, A.; Schwenk, J.; Wolfenstetter, K.-D.: Moderne Verfahren der Kryptographie. 4. Auflage, Vieweg 2001 [8-2] Schmeh, Klaus: Kryptografie. dpunkt, 4. Auflage, 2009 [8-3] Schneier,
MehrDigitale Signaturen. Andreas Spillner. Kryptografie, SS 2018
Digitale Signaturen Andreas Spillner Kryptografie, SS 2018 Ausgangspunkt Digitale Signaturen bieten unter anderem das, was man auch mit einer eigenhändigen Unterschrift auf einem Dokument bezweckt. Beispiel:
MehrIn diesem Kapitel bestimmen wir die multiplikative Struktur der Einheitengruppe (Z/Z) von Z/Z für eine beliebige positive Zahl Z >0.
Kapitel 5: Die Einheitengruppe von Z/Z und Primitivwurzeln modulo In diesem Kapitel bestimmen wir die multiplikative Struktur der Einheitengruppe (Z/Z) von Z/Z für eine beliebige positive Zahl Z >0. 16
MehrEinführung in die Kryptographie
Johannes Buchmann Einführung in die Kryptographie 6., überarbeitete Auflage ~ Springer Spektrum Inhaltsverzeichnis 1 Grundlagen........................................ 1.1 Ganze Zahlen...................................
MehrEinführung in die Kryptographie
Johannes Buchmann Einführung in die Kryptographie Fünfte Auflage ~ Springer Inhaltsverzeichnis 1. Einleitung... 1 2. Ganze Zahlen............................................. 3 2.1 Grundlagen... 3 2.2
MehrBeweis: Färbe jede Kante zufällig und unabhängig mit Ws 1 2. Ereignis A i : i-te Clique K (i), i = 1,..., ( n K (i)
Die Probabilistische Methode Beobachtung: Besitzt ein Ereignis Ws > 0, so muss es existieren! Notation: Sei K n der komplette Graph mit n Knoten und ( n 2) Kanten. Satz Falls 2 (k 2) 1 > ( n k), existiert
MehrKryptographie - eine mathematische Einführung
Kryptographie - eine mathematische Einführung Rosa Freund 28. Dezember 2004 Überblick Grundlegende Fragestellungen Symmetrische Verschlüsselung: Blockchiffren, Hashfunktionen
Mehr