Das Quadratische Reste Problem
|
|
- Stanislaus Kerner
- vor 6 Jahren
- Abrufe
Transkript
1 Das Quadratische Reste Problem Definition Pseudoquadrate Sei N = q mit, q rim. Eine Zahl a heißt Pseudoquadrat bezüglich N, falls ( a ) = 1 und a / QR N. N Wir definieren die Srache QUADRAT:= {a Z N ( ) a N = 1 und a QRN }. ( ) ( ) Für alle Pseudoquadrate a gilt: a = a q = ( 1). D.h. die Srache QUADRAT kann effizient entschieden werden, falls, q bekannt sind. Im Allgemeinen ist nur N bekannt. Quadratische Reduositätsannahme (QR-Annahme) Es gibt keinen olynomiellen Algorithmus, der QUADRAT entscheidet. DiMA II - Vorlesung BBS Zufallsgenerator, GM Krytosytem, GM Commitment, BG Krytosytem 239 / 253
2 Quadratwurzeln in Z N Lemma Sei N = q mit, q rim und = q = 3 mod 4 (sogenannte Blum-Zahl). Dann besitzt jedes a = x 2 QR N genau eine Quadratwurzel in QR N, die sogenannte Hautwurzel. Die Lösungen des Gleichungssystems y = ±x mod y = ±x mod q mittels Chinesischem Restsatz 4 Lösungen in Z N. Eine Lösung ist in QR N gdw sie in QR QR q ist. Betrachten Lösung modulo (analog mod q): ( ) ( ) ( ) ( ) x ( 1)( x) 1 x = =. ( ) Für = 3 mod 4 gilt 1 = ( 1) 1 2 = ( 1). ( ) ( ) D.h. x = x und entweder x oder x ist in QR. Damit ist genau eine der 4 Lösungen in QR N. liefern DiMA II - Vorlesung BBS Zufallsgenerator, GM Krytosytem, GM Commitment, BG Krytosytem 240 / 253
3 Der Blum-Blum-Shub (BBS) Pseudozufallsgenerator Korollar Die Abb. f : QR N QR N, x x 2 mod N ist eine Bijektion auf QR N. (k, l) Pseudozufallsgeneratoren generieren aus k Zufallsbits eine Sequenz von l > k Zufallsbits. Der (k, l) BBS Generator verwendet obige Bijektion. Algorithmus BBS Pseudozufallsgenerator (1986) EINGABE: N = q Blumzahl der Bitlänge N = k, 1 l mit l N und l > k 1 Wähle a R Z N und setze s 0 = a 2 mod N. 2 For i = 1 to l 1 Setze s i s 2 i 1 mod N. Gib z i = s i mod 2 aus. AUSGABE: (z 1,..., z l ) {0, 1} l. Laufzeit: O(l log 2 N), d.h. olynomiell in der Eingabelänge. DiMA II - Vorlesung BBS Zufallsgenerator, GM Krytosytem, GM Commitment, BG Krytosytem 241 / 253
4 Die Sicherheit des BBS Generators Sicherheit: Man kann die Verteilung der (z 1,..., z l ) nicht von der uniformen Verteilung auf {0, 1} l unterscheiden. Man kann folgendes zeigen: Sei A ein olynomieller Unterscheider für (z 1,..., z l ). Dann gibt es einen olyn. Algorithmus B, der s 0 mod 2 berechnet. Satz Sicherheit des BBS Generators Die Ausgabe des BBS Generators ist von der Gleichverteilung in olynomieller Zeit ununterscheidbar unter der QR-Annahme. Annahme: olyn. Unterscheider A für den BBS Generator. Sei B ein Algorithmus, der s 0 mod 2 berechnet. Zeigen, dass dann ein olyn. Algorithmus für QUADRAT existiert. (Widersruch zur Quadratischen Residuositätsannahme) DiMA II - Vorlesung BBS Zufallsgenerator, GM Krytosytem, GM Commitment, BG Krytosytem 242 / 253
5 Entscheiden der Srache QUADRAT Algorithmus für QUADRAT EINGABE: a Z N mit ( a N ) = 1 1 Setze s 0 a mod N. 2 Berechne (z 1,..., z l ) mittels BBS Generator. 3 Berechne z 0 B(z 1,..., z l ). 4 Falls z 0 = (a mod 2), Ausgabe "x QR N ". Sonst Ausgabe "x QR N ". Laufzeit: O(l log 2 N + T (B)) Korrektheit: Wegen ( ) a N = 1 ist entweder a oder ( a) = N a in QRN. D.h. a oder ( a) ist eine Hautwurzel von s 1 = a 2 mod N. Genau eine der beiden Zahlen a, ( a) ist gerade. z 0 ist das unterste Bit der Hautwurzel von s 1 = a 2 mod N. D.h. a ist eine Hautwurzel gdw z 0 und a mod 2 übereinstimmen. DiMA II - Vorlesung BBS Zufallsgenerator, GM Krytosytem, GM Commitment, BG Krytosytem 243 / 253
6 Probabilistische Verschlüsselung Parameter des Goldwasser-Micali Krytosystems (1984): Sei N = q eine Blumzahl, d.h. = q = 3 mod 4. Sei a Z N ein Pseudoquadrat. Verschlüsselt werden Bits m {0, 1}. Goldwasser-Micali Krytosystem 1 Verschlüsselung von m unter Verwendung von N, a. Wähle r R Z N. Berechne e(m, r) = a m r 2 mod N. 2 Entschlüsselung von c = e(m, r) unter Verwendung von, q. ( ) c Berechne = c 1 2 mod. ( ) c 0 falls c QR N, d.h. falls = 1. Setze m = d(c) = ( ) 1 falls c QR N, d.h. falls = ( 1). c DiMA II - Vorlesung BBS Zufallsgenerator, GM Krytosytem, GM Commitment, BG Krytosytem 244 / 253
7 Sicherheit des Goldwasser-Micali Krytosystems Korrektheit Falls m = 0 ist c = r 2 ein zufälliger quadratischer Rest in Z N. Falls m = 1 ist c = x r 2 ein zufälliges Pseudoquadrat. Es gilt ( ) ( ) c N = a m r 2 N = ( ) ( ) a m N r 2 n = 1. ( ) ( ) ( ) ( ) D.h. entweder c = c q = 1 oder c q = c q = ( 1). Im ersten Fall ist c QR N, im zweiten Fall gilt c QR N. Laufzeit: Verschlüsselung: O(log 2 N) Entschlüsselung: O(log 3 N) (verbessert: O(log 2 N)) Satz Sicherheit des Goldwasser-Micali Krytosystems Das GM Krytosystem ist sicher unter der QR-Annahme. Unterscheiden von Verschlüsselungen von 0 und 1 ist äquivalent zum Entscheiden der Srache QUADRAT. DiMA II - Vorlesung BBS Zufallsgenerator, GM Krytosytem, GM Commitment, BG Krytosytem 245 / 253
8 Bit Commitments Szenario informal: 1 Commitment-Phase: Alice latziert ein Bit b {0, 1} in einem Safe, der in Bob s Zimmer steht. Bob besitzt keinen Safeschlüssel. Bob kann den Safe nicht einsehen, lernt also nichts über b. (Conceiling Eigenschaft) 2 Revealing-Phase: Alice öffnet den Safe und zeigt Bob das Bit b. Alice kann ihr Bit dabei nicht ändern. (Binding Eigenschaft) Mathematische Modellierung Commitment mittels f : {0, 1} X Y für endliche Mengen X, Y. Commitment (sog. Blob): Wähle x X und sende f (b, x) an Bob. Öffnen des Commitments: Sende b und x an Bob. DiMA II - Vorlesung BBS Zufallsgenerator, GM Krytosytem, GM Commitment, BG Krytosytem 246 / 253
9 Bit Commitment via Goldwasser-Micali Krytosystem Öffentliche Parameter: Blumzahl N, Pseudoquadrat a Z N X = Y = Z N Algorithmus Goldwasser-Micali Bit Commitment 1 Commitment-Phase Wähle x R Z N. Sende Blob f (b, x) = a b x 2 mod N an Bob. 2 Revealing-Phase Sende b, x an Bob. Bob überrüft die Korrektheit von f (b, x) = a b x 2 mod N. Conceiling Eigenschaft: Unter der QR-Annahme lernt Bob nichts über das Bit b {0, 1}. DiMA II - Vorlesung BBS Zufallsgenerator, GM Krytosytem, GM Commitment, BG Krytosytem 247 / 253
10 Binding Eigenschaft Satz Goldwasser-Micali Commitments besitzen die Binding Eigenschaft. Annahme: Alice kann Blob f (b, x) für b = 0 und b = 1 öffnen. D.h. Alice kann x 1, x 2 Z N berechnen mit f (b, x) = a 0 x 2 1 = a1 x 2 2 mod N. Daraus folgt a = ( x1 x 2 ) 2 mod N, d.h. x 1 x 2 ist Quadratwurzel von a. (Widersruch: a ist ein Pseudoquadrat in Z N.) DiMA II - Vorlesung BBS Zufallsgenerator, GM Krytosytem, GM Commitment, BG Krytosytem 248 / 253
11 Münzwurf über das Telefon Bit Commitments haben zahlreiche Anwendungen in krytograhischen Protokollen. Exemlarisch hier ein Protokoll für einen fairen Münzwurf. Algorithmus Münzwurf via Internet 1 Alice sendet Bob Commitment für Bit b {0, 1}. 2 Bob rät ein Bit b {0, 1}. 3 Alice öffnet ihr Bit. Bob gewinnt gdw b = b. Conceiling-Eigenschaft verhindert, dass Bob etwas über b lernt. Binding-Eigenschaft verhindert, dass Alice b in 1 b ändert. DiMA II - Vorlesung BBS Zufallsgenerator, GM Krytosytem, GM Commitment, BG Krytosytem 249 / 253
12 Berechnen von Quadratwurzeln modulo Satz Quadratwurzeln mod Sei rim, = 3 mod 4 und a QR. Dann sind die beiden Quadratwurzeln von a von der Form x = ±a +1 4 mod, wobei a +1 4 QR. Es gilt x 2 = a +1 2 = a 1 2 a = ( ) a a = a mod. Ferner gilt a +1 4 mod QR wegen (a +1 4 ) = ( ) +1 a 4 = 1. D.h. Quadratwurzeln können in Zeit O(log 3 ) berechnet werden. DiMA II - Vorlesung BBS Zufallsgenerator, GM Krytosytem, GM Commitment, BG Krytosytem 250 / 253
13 Das Blum-Goldwasser Krytosystem Öffentlicher Parameter: Blumzahl N = q Klartextraum: {0, 1} l für ein beliebiges l Chiffretextraum: {0, 1} l Z N Blum-Goldwasser Krytosystem (1985) 1 Verschlüsselung von m = (m 1,..., m l ) {0, 1} l mittels N Wähle r R Z N. (z 1,..., z l ) BBS Generator auf s 0 = r 2 mod N. For i = 1 to l: Berechne c i = m i + z i mod 2. Berechne s l+1 = s0 2l+1 mod N. AUSGABE: Chiffretext c = (c 1,..., c l, s l+1 ) {0, 1} l Z N. 2 Enschlüsselung von c mittels, q. Berechne s 0 Z N als Lösung von s 0 = s ( +1 4 ) l+1 l+1 mod s 0 = s ( +1 4 ) l+1 l+1 mod q (z 1,..., z l ) BBS Generator auf s 0 = r 2 mod N. For i = 1 to l: Berechne m i = c i + z i mod N.. DiMA II - Vorlesung BBS Zufallsgenerator, GM Krytosytem, GM Commitment, BG Krytosytem 251 / 253
14 Laufzeit und Korrektheit Korrektheit: (z 1,..., z l ) wird als One-Time Pad für m verwendet. Entschlüsselung berechnet l + 1-malig die Hautwurzel von s l+1. Dies rekonstruiert die Saat s 0 des BBS Generators. Laufzeit: Verschlüsselung: O(l log 2 N) Entschlüsselung: O(log 3 N + l log 2 N). Fakt Sicherheit des BG-Krytosystems Das Blum Goldwasser Krytosystem ist sicher unter der Annahme, dass Blumzahlen N = q schwer zu faktorisieren sind. DiMA II - Vorlesung BBS Zufallsgenerator, GM Krytosytem, GM Commitment, BG Krytosytem 252 / 253
15 Da war noch was... See you in August. Viel Erfolg bei der Klausur! DiMA II - Vorlesung BBS Zufallsgenerator, GM Krytosytem, GM Commitment, BG Krytosytem 253 / 253
8. Woche Quadratische Reste und Anwendungen. 8. Woche: Quadratische Reste und Anwendungen 163/ 238
8 Woche Quadratische Reste und Anwendungen 8 Woche: Quadratische Reste und Anwendungen 163/ 238 Quadratische Reste Ḋefinition Quadratischer Rest Sei n N Ein Element a Z n heißt quadratischer Rest in Z
MehrSicherheit von ElGamal Intuitiv: Eve soll c 2 = m g ab nicht von c 2 R G unterscheiden können.
Sicherheit von ElGamal Intuitiv: Eve soll c 2 m g ab nicht von c 2 R G unterscheiden können. Protokoll Unterscheider EINGABE: q, g, g x 1 Eve wählt m G und schickt m an Alice. 2 Alice wählt b R {0, 1},
MehrRabin Verschlüsselung 1979
Rabin Verschlüsselung 1979 Idee: Rabin Verschlüsselung Beobachtung: Berechnen von Wurzeln in Z p ist effizient möglich. Ziehen von Quadratwurzeln in Z N ist äquivalent zum Faktorisieren. Vorteil: CPA-Sicherheit
MehrHybride Verschlüsselungsverfahren
Hybride Verschlüsselungsverfahren Ziel: Flexibilität von asym. Verfahren und Effizienz von sym. Verfahren. Szenario: Sei Π = (Gen, Enc, Dec) ein PK-Verschlüsselungsverfahren und Π = (Gen, Enc, Dec ) ein
MehrAlgorithmische Kryptographie
Algorithmische Kryptographie Walter Unger Lehrstuhl für Informatik I 16. Februar 2007 Public-Key-Systeme: Rabin 1 Das System nach Rabin 2 Grundlagen Körper Endliche Körper F(q) Definitionen Quadratwurzel
MehrRSA Parameter öffentlich: N = pq mit p, q prim und e Z RSA Parameter geheim: d Z φ(n)
RSA Parameter { öffentlich: N = pq mit p, q prim und e Z RSA Parameter φ(n) geheim: d Z φ(n) mit ed = 1 mod φ(n). Satz RSA Parameter Generierung RSA-Parameter (N, e, d) können in Zeit O(log 4 N) generiert
Mehr13. Woche: NP-Vollständigkeit Satz von Cook-Levin Anwendungen in der Kryptographie
13 Woche: NP-Vollständigkeit Satz von Cook-Levin Anwendungen in der Kryptographie 13 Woche: NP-Vollständigkeit, Satz von Cook-Levin, Anwendungen 276/ 333 N P-Vollständigkeit Ḋefinition NP-vollständig Sei
MehrKlausurtermin. Klausur Diskrete Mathematik I Do stündig
Klausurtermin Klausur Diskrete Mathematik I Do. 28.02.2008 3-stündig 07.12.2007 1 Wiederholung Komplexität modularer Arithmetik Addition: O(n) Multiplikation: O(n 2 ) bzw. O(n log 2 3 ) Exponentiation:
MehrStromchiffre. Algorithmus Stromchiffre
Stromchiffre Algorithmus Stromchiffre Sei G ein Pseudozufallsgenerator mit Expansionsfaktor l(n). Wir definieren Π s = (Gen, Enc, Dec) mit Sicherheitsparameter n für Nachrichten der Länge l(n). 1 Gen:
Mehr= 1. Falls ( a n. ) r i. i=1 ( b p i
Das Jacobi-Symbol Definition Jacobi-Symbol Sei n N ungerade mit Primfaktorzerlegung n = s definieren das Jacobi-Symbol ( a ( ) ri n) := s a i=1 p i. i=1 pr i i. Wir Anmerkungen: Falls a quadratischer Rest
MehrStromchiffre. Algorithmus Stromchiffre
Stromchiffre Algorithmus Stromchiffre Sei G ein Pseudozufallsgenerator mit Expansionsfaktor l(n). Wir definieren Π s = (Gen, Enc, Dec) mit Sicherheitsparameter n für Nachrichten der Länge l(n). 1 Gen:
MehrVI.4 Elgamal. - vorgestellt 1985 von Taher Elgamal. - nach RSA das wichtigste Public-Key Verfahren
VI.4 Elgamal - vorgestellt 1985 von Taher Elgamal - nach RSA das wichtigste Public-Key Verfahren - besitzt viele unterschiedliche Varianten, abhängig von zugrunde liegender zyklischer Gruppe - Elgamal
MehrVI.3 RSA. - RSA benannt nach seinen Erfindern R. Rivest, A. Shamir und L. Adleman. - vorgestellt erstes Public-Key Verschlüsselungsverfahren
VI.3 RSA - RSA benannt nach seinen Erfindern R. Rivest, A. Shamir und L. Adleman - vorgestellt 1977 - erstes Public-Key Verschlüsselungsverfahren - auch heute noch das wichtigste Public-Key Verfahren 1
MehrBsp: Die kleinsten Carmichael-Zahlen sind 561, 1105, 1729, Es gibt unendlich viele Carmichael-Zahlen (Beweis 1994).
Primzahltest Wir wollen testen, ob eine gegebene Zahl n eine Primzahl ist Effizienter Algorithmus zum Faktorisieren ist unbekannt Kontraposition des Kleinen Satzes von Fermat liefert: Falls a n 1 1 mod
MehrPrinzipien der modernen Kryptographie Sicherheit
Prinzipien der modernen Kryptographie Sicherheit Prinzip 1 Sicherheitsziel Die Sicherheitsziele müssen präzise definiert werden. Beispiele für ungenügende Definitionen von Sicherheit: Kein Angreifer kann
MehrPrinzip 2 Präzisierung der Annahmen
Prinzip 2 Präzisierung der Annahmen Prinzip 2 Komplexitätsannahme Es muss spezifiziert werden, unter welchen Annahmen das System als sicher gilt. Eigenschaften: Angriffstyp COA, KPA, CPA oder CCA muss
MehrDas Rucksackproblem. Definition Sprache Rucksack. Satz
Das Rucksackproblem Definition Sprache Rucksack Gegeben sind n Gegenstände mit Gewichten W = {w 1,...,w n } N und Profiten P = {p 1,...,p n } N. Seien ferner b, k N. RUCKSACK:= {(W, P, b, k) I [n] : i
MehrPrinzipien der modernen Kryptographie Sicherheit
Prinzipien der modernen Kryptographie Sicherheit Prinzip 1 Sicherheitsziel Die Sicherheitsziele müssen präzise definiert werden. Beispiele für ungenügende Definitionen von Sicherheit Kein Angreifer kann
MehrAufgabe der Kryptografie
Aufgabe der Kryptografie Eve möchte die Unterhaltung mithören und/oder ausgetauschte Informationen ändern. Alice & Bob kommunzieren über einen unsicheren Kanal. Alice & Bob nutzen Verschlüsselung und digitale
MehrPrinzipien der modernen Kryptographie Sicherheit
Prinzipien der modernen Kryptographie Sicherheit Prinzip 1 Sicherheitsmodell Das Sicherheitsmodell (Berechnungsmodell, Angriffstypen, Sicherheitsziele) muss präzise definiert werden. Berechnungsmodell:
MehrWann sind Codes eindeutig entschlüsselbar?
Wann sind Codes eindeutig entschlüsselbar? Definition Suffix Sei C ein Code. Ein Folge s {0, 1} heißt Suffix in C falls 1 c i, c j C : c i = c j s oder 2 c C und einen Suffix s in C: s = cs oder 3 c C
MehrIsomorphismus. Definition Gruppen-Isomorphismus. Seien (G, +) und (G, ) Gruppen. Die Abbildung f : G G heißt Gruppen-Isomorphismus, falls gilt
Isomorphismus Definition Gruppen-Isomorphismus Seien (G, +) und (G, ) Gruppen. Die Abbildung f : G G heißt Gruppen-Isomorphismus, falls gilt 1 f ist bijektiv f (u + v) = f (u) f (v) für alle u, v G, die
MehrErzeugung von Pseudozufallszahlen
Erzeugung von Pseudozufallszahlen Proseminar Kryptografie und Datensicherheit Sommersemester 2009 Mario Frank Übersicht 1. Allgemeines 2. Anwendungen von PRBG 3. (k,l)-bit Generatoren 4. Unterscheidbarkeit
MehrCPA-Sicherheit ist ungenügend
CPA-Sicherheit ist ungenügend Definition CCA CCA (=Chosen Ciphertext Attack) ist ein Angriff, bei dem der Angreifer sich Chiffretext seiner Wahl entschlüsseln lassen kann. Beispiele in denen CPA nicht
MehrSicherheit von Merkle Signaturen
Sicherheit von Merkle Signaturen Algorithmus Angreifer A für die Einwegsignatur EINGABE: pk, Zugriff auf eine Anfrage an Orakel Sign sk ( ) 1 Berechne (pk (i), sk (i) ) Gen(1 n ) für i = 1,...,l. Wähle
MehrDefinition Information I(p)
Definition Information I(p) Definition I(p) Die Information I(p) eines Symbols mit Quellws p > 0 beträgt I(p) = log 1 p. Die Einheit der Information bezeichnet man als Bit. DiMa II - Vorlesung 03-05.05.2009
MehrInformationsgehalt einer Nachricht
Informationsgehalt einer Nachricht Betrachten folgendes Spiel Gegeben: Quelle Q mit unbekannten Symbolen {a 1, a 2 } und p 1 = 0.9, p 2 = 0.1. Zwei Spieler erhalten rundenweise je ein Symbol. Gewinner
Mehr3 Public-Key-Kryptosysteme
Stand: 05.11.2013 Vorlesung Grundlagen und Methoden der Kryptographie Dietzfelbinger 3 Public-Key-Kryptosysteme 3.1 Verschlüsselung von Nachrichten Wir betrachten ganz einfache Kommunikationsszenarien.
Mehr6: Public-Key Kryptographie (Grundidee)
6: Public-Key Kryptographie (Grundidee) Ein Teil des Schlüssels ist nur dem Empfänger bekannt. Der auch dem Sender bekannte Teil kann sogar veröffentlicht werden. Man spricht dann von einem Schlüsselpaar.
MehrPrimzahltest für Mersenne-Primzahlen
Primzahltest für Mersenne-Primzahlen Satz Lucas-Lehmer Test Sei n = 2 p 1 N für p P\{2}. Wir definieren die Folge S k durch S 1 = 4 und S k = S 2 k 1 2. Falls n S p 1, dann ist n prim. Beweis: Seien ω
MehrHomomorphe Verschlüsselung
Homomorphe Verschlüsselung Definition Homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : G G für Gruppen G, G. Π heißt homomorph, falls Enc(m 1 ) G Enc(m 2 ) eine gültige Verschlüsselung
MehrKryptographie und Komplexität
Kryptographie und Komplexität Einheit 4.4 Semantische Sicherheit 1. Sicherheit partieller Informationen 2. Das Verfahren von Rabin 3. Sicherheit durch Randomisierung Semantische Sicherheit Mehr als nur
MehrErweiterter Euklidischer Algorithmus
Erweiterter Euklidischer Algorithmus Algorithmus ERWEITERTER EUKLIDISCHER ALG. (EEA) EINGABE: a, b N 1 If (b = 0) then return (a, 1, 0); 2 (d, x, y) EEA(b, a mod b); 3 (d, x, y) (d, y, x a b y); AUSGABE:
MehrPseudo-Zufallsgeneratoren basierend auf dem DLP
Seminar Codes und Kryptografie SS 2004 Struktur des Vortrags Struktur des Vortrags Ziel Motivation 1 Einleitung Ziel Motivation 2 Grundlegende Definitionen Zufallsgeneratoren 3 Generator Sicherheit 4 Generator
MehrDer Körper F 2 p. Lemma. Sei D R, aber D kein Quadrat in R. Dann gilt R[ D] = R R.
Der Körper F 2 p Lemma Sei D R, aber D kein Quadrat in R. Dann gilt R[ D] = R R. Wir definieren den Isomorphismus φ : R[ D] R R mit x + y D (x + yd, x yd). Die Bijektivität von φ folgt mit der Umkehrabbildung
MehrKryptographische Protokolle
Kryptographische Protokolle Lerneinheit 2: Generierung von Primzahlen Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen Wintersemester 2018/2019 15.11.2018 Einleitung Einleitung Diese Lerneinheit
MehrSicherheit von ElGamal
Sicherheit von ElGamal Satz CPA-Sicherheit ElGamal ElGamal Π ist CPA-sicher unter der DDH-Annahme. Beweis: Sei A ein Angreifer auf ElGamal Π mit Erfolgsws ɛ(n) := Ws[PubK cpa A,Π (n) = 1]. Wir konstruieren
MehrPublic Key Kryptographie
3. Juni 2006 1 Algorithmen für Langzahlen 1 RSA 1 Das Rabin-Kryptosystem 1 Diskrete Logarithmen Grundlagen der PK Kryptographie Bisher: Ein Schlüssel für Sender und Empfänger ( Secret-Key oder symmetrische
MehrRegine Schreier
Regine Schreier 20.04.2016 Kryptographie Verschlüsselungsverfahren Private-Key-Verfahren und Public-Key-Verfahren RSA-Verfahren Schlüsselerzeugung Verschlüsselung Entschlüsselung Digitale Signatur mit
MehrSatz von Euler. Satz von Euler. Korollar 1. Korollar 2 Kleiner Fermat. Sei (G, ) eine endl. abelsche Gruppe. Dann gilt a G = 1 für alle a G.
Satz von Euler Satz von Euler Sei (G, ) eine endl. abelsche Gruppe. Dann gilt a G = 1 für alle a G. Beweis: Sei G = {g 1,..., g n } und a G. Betrachte die Abbildung f : G G, g ag. Da a G, besitzt a ein
MehrSatz von Euler. Satz von Euler. Korollar 1. Korollar 2 Kleiner Fermat. Sei (G, ) eine endl. abelsche Gruppe. Dann gilt a G = 1 für alle a G.
Satz von Euler Satz von Euler Sei (G, ) eine endl. abelsche Gruppe. Dann gilt a G = 1 für alle a G. Beweis: Sei G = {g 1,..., g n } und a G. Betrachte die Abbildung f : G G, g ag. Da a G, besitzt a ein
MehrZiel: Zertifiziere Pfad von Wurzel zu m mittels Signaturen. Signieren Public-Keys auf Pfad inklusive der Nachbarknoten.
Merkle-Baum Idee: Konstruktion von Merkle-Bäumen Ersetze Signaturkette durch Baum (sogenannter Merkle-Baum). Verwenden Baum der Tiefe n für Nachrichten der Länge n. Die Wurzel erhält Label ɛ. Die Kinder
MehrKryptographie II Asymmetrische Kryptographie
Kryptographie II Asymmetrische Kryptographie Christopher Wolf Fakultät für Mathematik Ruhr-Universität Bochum Sommersemester 2010 Krypto II - Vorlesung 01-14.04.2010 () Schlüsselverteil-Center, Diffie-Hellman
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 12.05.2014 1 / 26 Überblick 1 Hashfunktionen Erinnerung Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel:
MehrKryptographie I Symmetrische Kryptographie
Kryptographie I Symmetrische Kryptographie Alexander May Fakultät für Mathematik Ruhr-Universität Bochum Wintersemester 2009/10 Krypto I - Vorlesung 01-12.10.2009 Verschlüsselung, Kerckhoffs, Angreifer,
Mehr2. Woche Eindeutige Entschlüsselbarleit, Sätze von Kraft und McMillan, Huffmancodierung
2 Woche Eindeutige Entschlüsselbarleit, Sätze von Kraft und McMillan, Huffmancodierung 2 Woche: Eindeutige Entschlüsselbarleit, Sätze von Kraft und McMillan, Huffmancodierung 24/ 44 Zwei Beispiele a 0
MehrOrakel Berechnungen. Orakel Berechnungen 1 / 32
Orakel Berechnungen Orakel Berechnungen 1 / 32 Berechnungswelten Warum ist die P? = NP Frage immer noch unbeantwortet?? Vielleicht, weil P NP zwar wahr, aber nicht beweisbar ist?? Vielleicht, weil P =
MehrEinwegfunktionen Ziel: CPA-sichere Verschlüsselung aus Trapdoor-Einwegpermutation Später: CCA-sichere Verschlüsselung aus Trapdoor-Einwegperm.
Einwegfunktionen Ziel: CPA-sichere Verschlüsselung aus Trapdoor-Einwegpermutation Später: CCA-sichere Verschlüsselung aus Trapdoor-Einwegperm. Spiel Invertieren Invert A,f (n) Sei f : 0, 1} 0, 1} effizient
MehrIII. Perfekte Geheimhaltung
III. erfekte Geheimhaltung - perfekte Geheimhaltung als Formalisierung absolut sicherer Verschlüsselungsverfahren - eingeführt von Claude Shannon 1949 - C.Shannon zeigte auch Existenz von Verfahren mit
MehrDer komplexitätstheoretische Zugang zur Kryptographie
Der komplexitätstheoretische Zugang zur Kryptographie Claus Diem Im Wintersemester 2017 / 18 Literatur Oded Goldreich: Foundations of Cryptography Jonathan Katz & Yeduda Lindell: Intoduction to Modern
MehrPerfekte Codes. Definition Perfekter Code. Sei C {0, 1} n ein (n, M, d)-code. C heißt perfekt, falls
Perfekte Codes Definition Perfekter Code Sei C {0, 1} n ein (n, M, d)-code. C heißt perfekt, falls ( ) d 1 M V n = 2 n. 2 D.h. die maximalen disjunkten Hammingkugeln um die Codeworte partitionieren {0,
MehrDie Größe A(n, d) und optimale Codes
Die Größe A(n, d) und optimale Codes Definition Optimaler Code Wir definieren A(n, d) = max{m binärer (n, M, d) Code} Ein (n, M, d)-code heißt optimal, falls M = A(n, d). Bestimmung von A(n, d) ist offenes
Mehr3. Woche Information, Entropie. 3. Woche: Information, Entropie 45/ 238
3 Woche Information, Entropie 3 Woche: Information, Entropie 45/ 238 Informationsgehalt einer Nachricht Intuitiv: Je kleiner die Quellws, desto wichtiger oder strukturierter die Information, bzw höher
MehrKryptographie I Symmetrische Kryptographie
Kryptographie I Symmetrische Kryptographie Eike Kiltz 1 Fakultät für Mathematik Ruhr-Universität Bochum Wintersemester 2011/12 1 Basierend auf Folien von Alexander May. Krypto I - Vorlesung 01-10.10.2011
MehrKryptographie I Symmetrische Kryptographie
Kryptographie I Symmetrische Kryptographie Alexander May Fakultät für Mathematik Ruhr-Universität Bochum Wintersemester 2015/16 Krypto I - Vorlesung 01 Verschlüsselung, Kerckhoffs, Angreifer, klassische
MehrHow To Play The Game Of "Privk
Kryptographie I Symmetrische Kryptographie Alexander May Fakultät für Mathematik Ruhr-Universität Bochum Wintersemester 2016/17 Krypto I - Vorlesung 01 Verschlüsselung, Kerckhoffs, Angreifer, klassische
Mehrdurch Einfügen von Knoten konstruiert werden kann.
Satz von Kuratowski Definition Unterteilung eines Graphen Sei G = (V, E) und e = {u, v} E. 1 Das Einfügen eines neuen Knoten w in die Kante e führt zum Graphen G = (V {w}, E \ e {{u, w}, {w, v}}). 2 Der
MehrUnunterscheidbarkeit von Chiffretexten
Ununterscheidbarkeit von Chiffretexten Spiel Ununterscheidbarkeit von Chiffretexten PrivK eav A,Π (n) Sei Π ein Verschlüsselungsverfahren und A ein Angreifer. 1 (m 0, m 1 ) A. 2 k Gen(1 n ). 3 Wähle b
MehrUnunterscheidbarkeit von Chiffretexten
Ununterscheidbarkeit von Chiffretexten Spiel Ununterscheidbarkeit von Chiffretexten PrivK eav A,Π (n) Sei Π ein Verschlüsselungsverfahren und A ein Angreifer. (m 0, m ) A. 2 k Gen( n ). 3 Wähle b R {0,
MehrMathematisches Kaleidoskop 2014 Materialien Teil 2. Dr. Hermann Dürkop
Mathematisches Kaleidoskop 2014 Materialien Teil 2 Dr. Hermann Dürkop 1 1.6 Quadratische Reste und das Legendre-Symbol Im folgenden seien die Moduln p immer Primzahlen. Wir haben bisher gesehen, ob und
MehrAnzahl der Generatoren
Anzahl der Generatoren Satz Anzahl Generatoren eines Körpers Sei K ein Körper mit q Elementen. Dann besitzt K genau φ(q 1) viele Generatoren. Beweis: K ist zyklisch, d.h. K besitzt einen Generator a mit
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 15.05.2017 1 / 25 Überblick 1 Hashfunktionen Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel: RSA
MehrKryptographie I Symmetrische Kryptographie
Kryptographie I Symmetrische Kryptographie Alexander May Fakultät für Mathematik Ruhr-Universität Bochum Wintersemester 2012/13 Krypto I - Vorlesung 01-08.10.2012 Verschlüsselung, Kerckhoffs, Angreifer,
MehrUnunterscheidbarkeit von Chiffretexten
Ununterscheidbarkeit von Chiffretexten Spiel Ununterscheidbarkeit von Chiffretexten PrivK eav A,Π (n) Sei Π ein Verschlüsselungsverfahren und A ein Angreifer. 1 (m 0, m 1 ) A. 2 k Gen(1 n ). 3 Wähle b
MehrDefinition Information I(p)
Definition Information I(p) Definition I(p) Die Information I(p) eines Symbols mit Quellws p > 0 ist definiert als I(p) = log 1 p. Die Einheit der Information bezeichnet man als Bit. DiMa II - Vorlesung
MehrKryptographie I Symmetrische Kryptographie
Kryptographie I Symmetrische Kryptographie Eike Kiltz 1 Fakultät für Mathematik Ruhr-Universität Bochum Wintersemester 2014/15 1 Basierend auf Folien von Alexander May. Krypto - Vorlesung 01-6.10.2014
MehrElGamal Verschlüsselungsverfahren (1984)
ElGamal Verschlüsselungsverfahren (1984) Definition ElGamal Verschlüsselungsverfahren Sei n ein Sicherheitsparameter. 1 Gen : (q, g) G(1 n ), wobei g eine Gruppe G der Ordnung q generiert. Wähle x R Z
MehrDiskrete Mathematik 1
Ruhr-Universität Bochum Lehrstuhl für Kryptologie und IT-Sicherheit Prof. Dr. Alexander May M. Ritzenhofen, M. Mansour Al Sawadi, A. Meurer Lösungsblatt zur Vorlesung Diskrete Mathematik 1 WS 008/09 Blatt
MehrDiskrete Strukturen Kapitel 5: Algebraische Strukturen (Gruppen)
WS 2015/16 Diskrete Strukturen Kapitel 5: Algebraische Strukturen (Gruppen) Hans-Joachim Bungartz Lehrstuhl für wissenschaftliches Rechnen Fakultät für Informatik Technische Universität München http://www5.in.tum.de/wiki/index.php/diskrete_strukturen_-_winter_15
MehrExistenz von Einwegfunktionen
Existenz von Einwegfunktionen Satz Einweg-Eigenschaft von f FO Unter der Faktorisierungsannahme ist f FO eine Einwegfunktion. Beweis: f FO ist mittels FACTOR-ONEWAY effizient berechenbar. z.z.: Invertierer
MehrInstitut für Theoretische Informatik Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Klausur. Lösung
Institut für Theoretische Informatik Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2017 Klausur Lösung 02.08.2017 Vorname: Nachname: Matrikelnummer: Klausur-ID: Hinweise - Schreiben
MehrBeispiel: Primelemente in den Gaußschen Zahlen
Beispiel: Primelemente in den Gaußschen Zahlen Satz Primelemente in Z[i] Für die Primelemente π Z[i] gilt bis auf Assoziiertheit 1 N(π) = p für ein p P oder 2 π = p für ein p P mit p x 2 + y 2 für (x,
MehrBeispiel: Primelemente in den Gaußschen Zahlen
Beispiel: Primelemente in den Gaußschen Zahlen Satz Primelemente in Z[i] Für die Primelemente π Z[i] gilt bis auf Assoziiertheit 1 N(π) = p für ein p P oder 2 π = p für ein p P mit p x 2 + y 2 für (x,
MehrVortrag zum Proseminar: Kryptographie
Vortrag zum Proseminar: Kryptographie Thema: Oliver Czernik 6.12.2005 Historie Michael Rabin Professor für Computerwissenschaft Miller-Rabin-Primzahltest Januar 1979 April 1977: RSA Asymmetrisches Verschlüsselungssystem
MehrZufall oder Absicht?
Zufall oder Absicht? Randomisierung und Derandomisierung Prof. Markus Bläser Universität des Saarlandes 4. Januar 2010 1 / 21 Zufall oder Absicht? 1 Randomisierte Algorithmen 2 Polynom-Identitätstests
MehrDefinition Message Authentication Code (MAC) Ein Message Authentication Code (MAC) bzgl. des Nachrichtenraumen M besteht aus den ppt Alg.
Message Authentication Code (MAC) Szenario: Integrität und Authentizität mittels MACs. Alice und Bob besitzen gemeinsamen Schlüssel k. Alice berechnet für m einen MAC-Tag t als Funktion von m und k. Alice
MehrRSA Verfahren. Kapitel 7 p. 103
RSA Verfahren RSA benannt nach den Erfindern Ron Rivest, Adi Shamir und Leonard Adleman war das erste Public-Key Verschlüsselungsverfahren. Sicherheit hängt eng mit der Schwierigkeit zusammen, große Zahlen
MehrSicherheit von hybrider Verschlüsselung
Sicherheit von hybrider Verschlüsselung Satz Sicherheit hybrider Verschlüsselung Sei Π ein CPA-sicheres PK-Verschlüsselungsverfahren und Π ein KPA-sicheres SK-Verschlüsselungsverfahren. Dann ist das hybride
MehrLaufzeit einer DTM, Klasse DTIME
Laufzeit einer DTM, Klasse DTIME Definition Laufzeit einer DTM Sei M eine DTM mit Eingabealphabet Σ, die bei jeder Eingabe hält. Sei T M (w) die Anzahl der Rechenschritte d.h. Bewegungen des Lesekopfes
Mehr6: Diskrete Wahrscheinlichkeit
Stefan Lucks Diskrete Strukturen (WS 2009/10) 219 6: Diskrete Wahrscheinlichkeit 6: Diskrete Wahrscheinlichkeit Stefan Lucks Diskrete Strukturen (WS 2009/10) 220 Wahrscheinlichkeitsrechnung Eines der wichtigsten
MehrZahlentheorie. Alexander May. Fakultät für Mathematik Ruhr-Universität Bochum. Sommersemester 2015
Zahlentheorie Alexander May Fakultät für Mathematik Ruhr-Universität Bochum Sommersemester 2015 Zahlentheorie - V01 Primzahlen, Landau-Notation, Fermat Primzahl, Mersenne Primzahl 1 / 230 Organisatorisches
MehrRelationen und DAGs, starker Zusammenhang
Relationen und DAGs, starker Zusammenhang Anmerkung: Sei D = (V, E). Dann ist A V V eine Relation auf V. Sei andererseits R S S eine Relation auf S. Dann definiert D = (S, R) einen DAG. D.h. DAGs sind
MehrWiederholung. Gruppen. Untergruppen. Gruppenisomorphismen. Ordnung: Gruppe, Element Satz von Euler: a ord(g) = 1 Elementordung teilt Gruppenordnung
Wiederholung Gruppen Ordnung: Gruppe, Element Satz von Euler: a ord(g) = 1 Elementordung teilt Gruppenordnung Untergruppen Satz von Lagrange Untergruppenordnung teilt Gruppenordnung Nebenklassen von Untergruppen
MehrEin RSA verwandtes, randomisiertes Public Key Kryptosystem
Seminar Codes und Kryptographie WS 2003 Ein RSA verwandtes, randomisiertes Public Key Kryptosystem Kai Gehrs Übersicht 1. Motivation 2. Das Public Key Kryptosystem 2.1 p-sylow Untergruppen und eine spezielle
MehrKryptographie und Komplexität
Kryptographie und Komplexität Einheit 5.2 ElGamal Systeme 1. Verschlüsselungsverfahren 2. Korrektheit und Komplexität 3. Sicherheitsaspekte Das ElGamal Verschlüsselungsverfahren Public-Key Verfahren von
MehrPseudozufallsfunktionen (PRF) Kapitel 3
Pseudozufallsfunktionen (PRF) Kapitel 3 Motivation Verschlüsselung eines Dateisystems durch PRG: PRG G(x) Entschlüsselung: berechne aus x entsprechende Generator-Ausgabe Aber: Entschlüsselung der letzten
MehrKryptosystem von Paillier: Analyse und Verbesserungen
Kryptosystem von Paillier: Analyse und Verbesserungen Andreas Kumlehn 31. März 2006 Inhalt 1 Einleitung 3 2 Grundlagen 4 2.1 Laufzeiten........................................... 4 2.2 Sicherheit...........................................
MehrPolynomielle Verifizierer und NP
Polynomielle Verifizierer und NP Definition Polynomieller Verifizierer Sei L Σ eine Sprache. Eine DTM V heißt Verifizierer für L, falls V für alle Eingaben w Σ hält und folgendes gilt: w L c Σ : V akzeptiert
MehrHardcore-Prädikat. Definition Hardcore-Prädikat. Ziel: Destilliere Komplexität des Invertierens auf ein Bit.
Hardcore-Prädikat Ziel: Destilliere Komplexität des Invertierens auf ein Bit. Definition Hardcore-Prädikat Sei Π f eine Einwegfunktion. Sei hc ein deterministischer pt Alg mit Ausgabe eines Bits hc(x)
MehrAbschnitt 5: Kryptographie. j (p j 1). 1 (p 1 1)p α 2
Abschnitt 5: Kryptographie. Zunächst wollen wir die Struktur von (Z/mZ) untersuchen. 5.1 Definition: Die Eulersche ϕ-funktion: ϕ : N N; ϕ(m) := (Z/mZ) 5.2 Bemerkung: (Z/mZ) {a {1,..., m 1} ggt(a, m) =
MehrKryptographie und Komplexität
Kryptographie und Komplexität Einheit 5 Kryptosysteme auf der Basis diskreter Logarithmen 1. Diffie Hellman Schlüsselaustausch 2. El Gamal Systeme 3. Angriffe auf Diskrete Logarithmen 4. Elliptische Kurven
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 25.04.2013 1 / 19 Überblick 1 Blockchiffren Erinnerung Beispiel: AES Angriffe auf Blockchiffren 2 Formalisierung von Sicherheit (symmetrischer Verschlüsselung)
MehrKonstruktion CPA-sicherer Verschlüsselung
Konstrution CPA-sicherer Verschlüsselung Algorithmus Verschlüsselung Π B Sei F eine längenerhaltende, schlüsselabhängige Funtion auf n Bits. Wir definieren Π B = (Gen, Enc, Dec) für Nachrichtenraum M =
Mehr4.1 Der Blum-Blum-Shub-Generator
4.1 Der Blum-Blum-Shub-Generator Der Blum-Blum-Shub-Generator oder BBS-Generator setzt bei der in Kapitel III vorgestellten Quadratrest-Vermutung an und funktioniert so: Als ersten Schritt wählt man eine
Mehr1. Welche Eigenschaften sollte ein Pseudo-Random Generator haben?
Die Themen 1. Welche Eigenschaften sollte ein Pseudo-Random Generator haben? Er sollte von wirklichen Zufallsgeneratoren nicht unterscheidbar sein?! Eine viel zu starke Forderung: Stattdessen sollte ein
MehrQuadratische Erweiterung
Quadratische Erweiterung Ziel: F 2 p besitzt Ordnung F 2 p = p 2 1 = (p+1)(p 1). Wir konstruieren eine Untergruppe von F 2 p mit Ordnung p+1. Unsere Hoffnung ist, dass p + 1 in kleine Primfaktoren zerfällt.
MehrInstitut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Klausur Hinweise
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Klausur 22.07.2014 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen
MehrBeweis: Färbe jede Kante zufällig und unabhängig mit Ws 1 2. Ereignis A i : i-te Clique K (i), i = 1,..., ( n K (i)
Die Probabilistische Methode Beobachtung: Besitzt ein Ereignis Ws > 0, so muss es existieren! Notation: Sei K n der komplette Graph mit n Knoten und ( n 2) Kanten. Satz Falls 2 (k 2) 1 > ( n k), existiert
MehrHashfunktionen und Kollisionen
Hashfunktionen und Kollisionen Definition Hashfunktion Eine Hashfunktion ist ein Paar (Gen, H) von pt Algorithmen mit 1 Gen: s Gen(1 n ). Gen ist probabilistisch. 2 H: H s berechnet Funktion {0, 1} {0,
Mehr