Digitale Signaturen. Wiederholung Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
|
|
- Oswalda Schumacher
- vor 6 Jahren
- Abrufe
Transkript
1 Digitale Signaturen Wiederholung Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK G. Hartung Digitale Signaturen: Wiederholung KIT Die Forschungsuniversität in der Helmholtz-Gemeinschaft
2 Inhalt Organisatorisches Wiederholung Signaturverfahren Sicherheitsbegriffe Einmal-Signaturen RSA-Signaturen Chamäleon-Hashfunktionen Pairing-basierte Signaturen Socrative: Space Race G. Hartung Digitale Signaturen: Wiederholung
3 Prüfungen mündliche Prüfung einzeln oder als Teil einer Vertiefungsfach-Gesamtprüfung (nur SPO 2015) Termine individuell vergeben an Björn und/oder Gunnar Prüfungsrelevant: Vorlesungsstoff, sofern nicht anders angegeben Sicherheitsbegriffe, Verfahren, Sicherheitseigenschaften, Sicherheitsbeweise (mindestens Grundideen), Bausteine, Hilfsmittel, G. Hartung Digitale Signaturen: Wiederholung
4 Prüfungen Vorsicht beim Lernen: Socrative-Fragen spiegeln keine Prüfungssituation wieder! Prüfung: freies Sprechen und Erklären Fragen enthalten weniger Kontext Empfehlenswert: Übungsaufgaben im Skript Beweise lesen, verstehen, dann selbst ohne weitere Hilfe wiedergeben Üben mit Kommilitonen/Freunden G. Hartung Digitale Signaturen: Wiederholung
5 Inhalt Organisatorisches Wiederholung Signaturverfahren Sicherheitsbegriffe Einmal-Signaturen RSA-Signaturen Chamäleon-Hashfunktionen Pairing-basierte Signaturen Socrative: Space Race G. Hartung Digitale Signaturen: Wiederholung
6 Einführung (I) - Kap. 1 Ziel: Kryptographische Verfahren, die das gleiche leisten, wie eine Unterschrift. Folgendes soll sichergestellt werden: Authentizität Dokument von einer bestimmten Person signiert Integrität signiertes Dokument ist unverändert G. Hartung Digitale Signaturen: Wiederholung
7 Definition: Digitale Signaturen - Kap. 1.1 Def. 1: (Digitale Signaturen) Ein digitales Signaturverfahren ist ein Tupel Σ = (Gen, Sign, Vfy) von probabilistischen Poly-Zeit- Algorithmen: Gen(1 k ) (pk, sk) Sign(sk, m) σ, m {0, 1} p(k), p Polynom { 1, wenn σ gültig, Vfy(pk, m, σ) = 0, sonst Correctness: Das Verfahren funktioniert. Formal: (pk, sk) Gen(1 k ) m {0, 1} p(k) : Vfy(pk, m, Sign(sk, m)) = G. Hartung Digitale Signaturen: Wiederholung
8 Sicherheit - Kap. 1.2 Angreifermodell: Was kann der Angreifer? Welche Angriffsmöglichkeiten stehen zur Verfügung? Beispiele: NMA, 1-naCMA, 1-CMA, nacma, CMA Angreiferziel: Was muss der Angreifer tun, um das Verfahren zu brechen? Beispiele: UUF, SUF (diese VL), EUF, seuf Sicherheitsdefinition ˆ= Angreiferziel + Angreifermodell konkrete Sicherheitsdefinition über Sicherheitsexperimente Schema sicher, wenn alle Angreifer im Angreifermodell höchstens vernachlässigbare Erfolgschance im Sicherheitsexperiment haben G. Hartung Digitale Signaturen: Wiederholung
9 Warum Annahmen? (Skript) Theorem: Sei Σ = (Gen, Sign, Vfy) ein Signaturverfahren. Ist Σ UUF-NMA-sicher, so gilt P = N P G. Hartung Digitale Signaturen: Wiederholung
10 Hand-then-Sign-Signaturen Hash-then-Sign-Signaturen: EUF-CMA-Signaturverfahren + koll. res. Hash-Funktion EUF-CMA-Signaturverfahren mit Nachrichtenraum {0, 1} Def. 15: (Kollisionsresistenz) Eine Hashfunktion H = (Gen H, Eval H ) ist kollisionsresistent, falls für alle t Gen H (1 k ) und alle PPT A gilt, dass Pr[A(1 k, t) = (x, x ) : H t (x) = H t (x ) x = x ] negl(k) für eine im Sicherheitsparameter k vernachlässigbare Funktion negl G. Hartung Digitale Signaturen: Wiederholung
11 Einmalsignaturen Hilfreicher Baustein für stärkere Verfahren. Einfach(er) zu konstruieren. Generisch auf Mehrmal -Signaturen erweiterbar. Beispiele: Lamport Dlog-basiert RSA-basiert G. Hartung Digitale Signaturen: Wiederholung
12 Lamport-Signaturen Gen(1 k ) : Wähle x 1,0, x 1,1,..., x n,0, x n,1 zufällig aus {0, 1} k j {1,..., n} : y j,0 := f (x j,0 ) und y j,1 := f (x j,1 ) ( ) x1,0... x sk = n,0 x 1,1... x n,1 ( ) y1,0... y pk = n,0 y 1,1... y n, G. Hartung Digitale Signaturen: Wiederholung
13 Lamport-Signaturen Gen(1 k ) : Wähle x 1,0, x 1,1,..., x n,0, x n,1 zufällig aus {0, 1} k j {1,..., n} : y j,0 := f (x j,0 ) und y j,1 := f (x j,1 ) ( ) x1,0... x sk = n,0 x 1,1... x n,1 Sign(sk, m) : m = m 1 m 2... m n {0, 1} n σ = (x 1,m1, x 2,m2,..., x n,mn ) ( ) y1,0... y pk = n,0 y 1,1... y n, G. Hartung Digitale Signaturen: Wiederholung
14 Lamport-Signaturen Gen(1 k ) : Wähle x 1,0, x 1,1,..., x n,0, x n,1 zufällig aus {0, 1} k j {1,..., n} : y j,0 := f (x j,0 ) und y j,1 := f (x j,1 ) ( ) x1,0... x sk = n,0 x 1,1... x n,1 Sign(sk, m) : m = m 1 m 2... m n {0, 1} n σ = (x 1,m1, x 2,m2,..., x n,mn ) Vfy(pk, m, σ) : m = m 1... m n, σ = (x 1, x 2,..., x n) Überprüfe für alle i {1,..., n}, ob gilt: f (x i ) = y i,m i? ( ) y1,0... y pk = n,0 y 1,1... y n, G. Hartung Digitale Signaturen: Wiederholung
15 Einwegfunktion (Definition) Def. 22 (Einwegfunktion): Eine Funktion f ist eine Einwegfunktion, wenn f in Polynomialzeit berechenbar ist und für alle PPT A gilt, dass Pr[A(1 k, y := f (x)) = x : x {0, 1} k, f (x ) = y] negl(k) für eine in k vernachlässigbare Funktion negl G. Hartung Digitale Signaturen: Wiederholung
16 DLog-Problem/-Annahme DLog-Problem: Sei G zyklische, endliche Gruppe, G = p prim. Geg. Erzeuger g und y G, finde x Z p : g x = y G. Hartung Digitale Signaturen: Wiederholung
17 DLog-Problem/-Annahme DLog-Problem: Sei G zyklische, endliche Gruppe, G = p prim. Geg. Erzeuger g und y G, finde x Z p : g x = y. DLog-Annahme: PPT A gilt: Pr[A(1 k, g, g x ) = x : g = G zufällig, x Z p ] negl(k) für eine in k vernachlässigbare Funktion negl G. Hartung Digitale Signaturen: Wiederholung
18 DLog-Einmalsignatur Σ = (Gen, Sign, Vfy) mit Nachrichtenraum Z p : Gen(1 k ) : Sign(sk, m) : Vfy(pk, m, σ) : x, ω Z p h := g x c := g ω pk = (g, h, c) sk = (x, ω) σ = ω m x c? = g m h σ Theorem 28: EUF-1-naCMA-sicher unter Dlog-Annahme (in G) G. Hartung Digitale Signaturen: Wiederholung
19 Einmalsignaturen basierend auf RSA Setting: N = P Q, P, Q große Primzahlen ϕ(n) = (P 1)(Q 1) = ZN (Eulersche Phi-Funktion) Wähle zufällig e N, sodass ggt(e, ϕ(n)) = 1. Dann existiert d N mit e d 1 mod ϕ(n). Für x Z N gilt dann auch x e d x mod N. RSA-Problem: Geg. N, e und y Z N, finde x Z N : x e y mod N. RSA-Annahme: RSA-Problem schwer G. Hartung Digitale Signaturen: Wiederholung
20 RSA-Einmalsignaturen Gen(1 k ) : e > 2 n, e prim, mit ggt(e, ϕ(n)) = 1 d := e 1 mod ϕ(n) J, c Z N pk = (N, e, J, c) sk = d Sign(sk, m): Vfy(pk, m, σ) : σ ( c J m ) d mod N c? J m σ e mod N Theorem: EUF-1-naCMA-sicher unter RSA-Annahme. Beweis mit Shamirs Trick G. Hartung Digitale Signaturen: Wiederholung
21 Transformation Intuition: Σ (EUF-naCMA-sicher) + Σ (1) (EUF-1-naCMA-sicher) Σ (EUF-CMA-sicher) Signiert eigentliche Nachricht (unter pk (1) ) σ = ( pk (1), σ (1), σ ) zufälliger neuer Schlüssel Garantiert: pk (1) stammt vom Eigentümer von pk G. Hartung Digitale Signaturen: Wiederholung
22 Merkle-Bäume pk := h 0,1 in σ enthalten von Vfy berechnet h 1,1 h 1,2 h 2,1 h 2,2 h 2,3 h 2,4 h 3,1 h 3,2 h 3,3 h 3,4 h 3,5 h 3,6 h 3,7 h 3,8 pk 1 pk 2 pk 3 pk 4 pk 5 pk 6 pk 7 pk G. Hartung Digitale Signaturen: Wiederholung
23 Textbook-RSA Gen(1 k ) : Wähle P, Q, N, e, d geeignet pk = (N, e) sk = d Sign(sk, m) : σ := m d (mod N) Vfy(pk, m, σ) : σ e? = m (mod N) Sicherheit: nicht EUF-NMA-sicher nicht UUF-1-CMA-sicher UUF-NMA-sicher unter RSA-Annahme G. Hartung Digitale Signaturen: Wiederholung
24 RSA-basierte Signaturen Wie konstruiert man sichere RSA-basierte Signaturen? Häufig: geeignete Vorverarbeitung/Codierung von m RSA PKCS #1 v1.5 (Kap. 6.3) RSA-FDH (Full Domain Hash, Kap. 4.2) RSA-PSS (Probabilistic Signature Scheme, Skript) Andere Ansätze: Gennaro-Halevi-Rabin-Signaturverfahren (Kap. 4.3): EUF-naCMA-sicher unter strong-rsa-annahme Hohenberger-Waters-Signaturverfahren (Kap. 4.4, diese VL): auf Basis von GHR, aber wieder unter RSA-Annahme G. Hartung Digitale Signaturen: Wiederholung
25 RSA PKCS #1 v1.5 (Kap. 6.3) Sign(sk, m) : sei H eine kollisionsresistente Hashfunktion. codiere m als m := 0x00 0x01 0xFF... 0xFF 0x00 Angabe von H H(m) σ := (m ) d (mod N) Vfy(pk, m, σ) : berechne m := σ e (mod N) prüfe, ob m korrekte Codierung für m Sicherheit: kein Angriff oder Sicherheitsbeweis bekannt G. Hartung Digitale Signaturen: Wiederholung
26 RSA PKCS #1 v1.5 (Kap. 6.3) Sign(sk, m) : sei H eine kollisionsresistente Hashfunktion. codiere m als Padding Welche Hashfkt.? m := 0x00 0x01 0xFF... 0xFF 0x00 Angabe von H H(m) Typ der Codierung: Signatur σ := (m ) d (mod N) Vfy(pk, m, σ) : berechne m := σ e (mod N) prüfe, ob m korrekte Codierung für m Trenner Sicherheit: kein Angriff oder Sicherheitsbeweis bekannt Hash-Wert G. Hartung Digitale Signaturen: Wiederholung
27 RSA-FDH sei H := {0, 1} Z N eine kollisionsresistente Hash-Funktion Idee: Signiere H(m) mit Textbook-RSA Konkret: Sign(sk, m) : Vfy(pk, m, σ) : σ := H(m) d (mod N) σ e? H(m) (mod N) Sicherheit: EUF-CMA-sicher unter RSA-Annahme im ROM G. Hartung Digitale Signaturen: Wiederholung
28 Random-Oracle-Modell (ROM) Heuristik betrachte idealisierte Hash-Funktion H Ausgabe von H(m) gleichverteilt zufällig für jede Eingabe m H modelliert als Orakel, das die Hashwerte ausgibt ( Random Oracle ) Das H-Orakel: besitzt einen internen Key-Value-Store T implementiert folgenden Algorithmus : if m in T : return T [m] else: y Z N T [m] := y return y G. Hartung Digitale Signaturen: Wiederholung
29 Random-Oracle-Modell (ROM): Diskussion manche kryptographischen Probleme nur im ROM lösbar Lösungen im ROM oft effizienter als Lösungen im Standardmodell Beispiel: RSA-basierte Signaturen Lösungen im ROM oft einfacher zu konstruieren Vorstufe zur Lösung im Standardmodell für viele Konstruktionen im ROM sind keine realen Angriffe bekannt Es existieren kryptographische Konstruktionen, die im ROM als sicher bewiesen werden können, aber mit jeder realen Hash-Funktion unsicher sind. Aber: diese Konstruktionen sind sehr künstlich ROM insgesamt umstritten G. Hartung Digitale Signaturen: Wiederholung
30 RSA-PSS RSA-basiertes Signaturverfahren [BR96] Vorverarbeitung von m Sign(sk, m) : σ := PSS-Encode(m) d (mod N) PSS-Encoding: siehe [BR96] Vfy(pk, m, σ) : Berechne y = σ e (mod N) gib 1 aus, gdw. y gültige Codierung von m ist Sicherheit: EUF-CMA-sicher im ROM unter RSA-Annahme Sicherheitsbeweis mit geringerem Verlust G. Hartung Digitale Signaturen: Wiederholung
31 Parameterwahl für Kryptosysteme Ziel-Sicherheitslevel: Jeder Angreifer A, der höchstens... t A Rechenoperationen durchführen kann, q Signaturen kennt, q H Hashwerte berechnen kann, soll Erfolgswkt. höchstens ɛ haben. Konkretere Annahme: Es gibt keinen Las-Vegas-Algorithmus C, der die Annahme schneller bricht als mit erwarteter Laufzeit t(n) beinhaltet Annahme über PPT-Algorithmen: gegeben PPT-Algorithmus B mit Laufzeit t B und Erfolgswkt. ɛ B konstruiere Las-Vegas-Algorithmus C: repeat solution B(N) until solution is correct erwartete Laufzeit: 1 ɛb t B G. Hartung Digitale Signaturen: Wiederholung
32 Parameterwahl Sicherheitsbeweis konvertiert Angreifer A gegen Signaturverfahren in Angreifer gegen Annahme B t B f (t A,...) ɛ B g(ɛ A, q,...) wähle n groß genug, sodass t(n) > 1 f (t,...) g(ɛ, q,...) Angenommen es existiert ein Angreifer A, der das Signaturverfahren mit den vorgegebenen Ressourcen bricht, konstruiere B, dann C: t C = ɛ 1 1 t B B g(ɛ A,q A,...) f (t A,...) 1 f (t,...) falls f, g monoton g(ɛ,q,...) < t(n) Widerspruch! G. Hartung Digitale Signaturen: Wiederholung
33 Parameterwahl für Kryptosysteme Bester bekannter Angriff gegen RSA: Faktorisieren von N Neu-Berechnen von ϕ(n) = (P 1)(Q 1), d := e 1 mod ϕ(n) Secret Key bekannt Bester bekannter (klassischer) Faktorisierungalgorithmus: allgemeines Zahlkörpersieb (General Number Field Sieve, GNFS) superpolynomielle, aber subexponentielle Laufzeit G. Hartung Digitale Signaturen: Wiederholung
34 Strong-RSA-Annahme Strong-RSA-Problem: Geg. N geeignet und y Z N, finde x Z N und e N, e > 1 mit x e y mod N. Unterschied RSA-Problem: e hier vom Angreifer wählbar. RSA-Problem: e vorgegeben. Strong-RSA-Annahme: Strong-RSA-Problem schwer Bemerkung: Strong-RSA-Problem leichter als RSA-Problem Strong-RSA-Annahme deshalb stärker als RSA-Annahme G. Hartung Digitale Signaturen: Wiederholung
35 Genaro-Halevi-Rabin Signaturen (Kap ) Es sei h : {0, 1} P eine Hashfunktion (P = Primzahlen) Gen(1 k ) : erstelle N = P Q, P, Q prim und zufällig s Z N pk := (N, s, h) sk := ϕ(n) = (P 1)(Q 1) Sign(sk, m) : σ := s 1/h(m) mod N Vfy(pk, m, σ) : σ h(m)? s mod N Sicherheit: EUF-naCMA-sicher unter RSA-Annahme im Standardmodell Transformation mit GHR und RSA-Einmalsignatur EUF-CMA-sicher G. Hartung Digitale Signaturen: Wiederholung
36 Chamäleon-Signaturen: Motivation Händler Kunde Händler G. Hartung Digitale Signaturen: Wiederholung
37 Chamäleon-Signaturen: Motivation Angebot? Händler Kunde 100$, σ 1 Händler G. Hartung Digitale Signaturen: Wiederholung
38 Chamäleon-Signaturen: Motivation Angebot? Händler Kunde 100$, σ 1 100$, σ 1 99$, σ 2 Händler G. Hartung Digitale Signaturen: Wiederholung
39 Chamäleon-Signaturen: Motivation Angebot? Händler Kunde 100$, σ 1 100$, σ 1 99$, σ 2 Händler 2 Signaturen, die Dritte Parteien nicht überzeugen? G. Hartung Digitale Signaturen: Wiederholung
40 Chamäleon-Hashfunktionen (Definition) Def. (Chamäleon-Hashfunktion): Eine Chamäleon-Hashfunktion CH besteht aus zwei PPT-Algorithmen (Gen CH, TrapColl CH ): Gen CH (1 k ) : gibt (ch, τ) aus, wobei: ch ist eine Funktion ch : M R N τ eine Trapdoor ( Falltür ) ist. TrapColl CH (τ, m, r, m ) berechnet r R, sodass ch(m, r) = ch(m, r ) Wer τ kennt, kann Kollisionen berechnen Daher der Name Chamäleon -Hashfunktion Ausgabe wechselt ihr Urbild wechselt ihre Farbe G. Hartung Digitale Signaturen: Wiederholung
41 Chamäleon-Signaturen (Kap. 3.4) CH = (Gen CH, TrapColl CH ) CH-Fkt., ch : M R N Signatur Σ = (Gen, Sign, Vfy ) Konstruiere Chamäleon-Signatur Σ = (Gen, Sign, Vfy) Gen(1 k ) : (pk, sk ) Gen (1 k ) pk := pk, sk := sk Sign(sk, m, ch) : (ch ist CH-Fkt. des Empfängers) r R, ch(m, r) =: y σ := Sign (sk, y) σ := (σ, r) Vfy(pk, m, σ, ch) : Vfy (pk, ch(m, r), σ )? = G. Hartung Digitale Signaturen: Wiederholung
42 Chamäleon-Signaturen: Sicherheitsmodell (Skript) Falls A CH-Fkt. beim Signieren selbst wählen kann, könnte ihm das beim Fälschen einer Signatur helfen. Zwei Sicherheitsdefinitionen, mit und ohne Kontrolle über die CH-Funktion G. Hartung Digitale Signaturen: Wiederholung
43 Transformation CH zu Einmalsignatur Gen(1 k ) : (ch, τ) Gen ch (1 k ) ( m, r) M R c := ch( m, r) pk := (ch, c), sk := (τ, m, r) Sign(sk, m) : r := TrapColl CH (τ, m, r, m) σ := r Vfy(pk, m, σ) : c? = ch(m, σ) Theorem 47: Σ ist EUF-1-naCMA-sicher, wenn CH kollisionsresistent ist G. Hartung Digitale Signaturen: Wiederholung
44 Chamäleon-Hashfunktionen Konstruktionen von Chamäleon-Hashfunktionen: basierend auf RSA oder Dlog, analog zu Einmalsignaturverfahren Ergebnis der Transformation auf RSA-, Dlog-CH ergibt bekannte RSA-, Dlog-Einmalsignaturen G. Hartung Digitale Signaturen: Wiederholung
45 Transformationen: Übersicht (Skript) EUF-naCMA EUF-1-naCMA G. Hartung Digitale Signaturen: Wiederholung
46 Transformationen: Übersicht (Skript) EUF-naCMA EUF-1-naCMA EUF-CMA G. Hartung Digitale Signaturen: Wiederholung
47 Transformationen: Übersicht (Skript) CH EUF-naCMA EUF-1-naCMA EUF-CMA G. Hartung Digitale Signaturen: Wiederholung
48 Transformationen: Übersicht (Skript) CH EUF-naCMA EUF-1-naCMA EUF-CMA seuf-cma G. Hartung Digitale Signaturen: Wiederholung
49 Transformationen: Übersicht (Skript) dieses Jahr nicht besprochen SUF-naCMA EUF-naCMA EUF-1-naCMA CH EUF-CMA seuf-cma G. Hartung Digitale Signaturen: Wiederholung
50 Pairings Definition 78 (Pairings): Seien G 1, G 2, G T zyklische Gruppen mit Ordnung p prim. Ein Pairing (bilineare Abbildung) ist eine Abbildung e : G 1 G 2 G T mit den Eigenschaften: 1) Bilinearität: g 1, g 1 G 1, g 2, g 2 G 2 : e(g 1 g 1, g 2) = e(g 1, g 2 ) e(g 1, g 2) e(g 1, g 2 g 2 ) = e(g 1, g 2 ) e(g 1, g 2 ) e(g a 1, g 2) = e(g 1, g 2 ) a = e(g 1, g a 2 ) 2) Nicht-Degeneriertheit: g 1 G 1, g 2 G 2 Erzeuger = e(g 1, g 2 ) Erzeuger G T 3) Effiziente Berechenbarkeit G. Hartung Digitale Signaturen: Wiederholung
51 BLS-Signaturen Gen(1 k ) : sk := x Z p pk = (g, g x ) Sign(sk, m) : σ := H(m) x G Vfy(pk, m, σ) : e(h(m), g x )? = e(σ, g) Sicherheit: EUF-CMA-sicher unter CDH-Annahme im ROM Beweis analog zu RSA-FDH G. Hartung Digitale Signaturen: Wiederholung
52 Das Computational Diffie-Hellman Problem CDH-Problem: Sei g ein zufälliger Erzeuger und x, y Z p. Geg. (g, g x, g y ), berechne g xy. CDH-Annahme: CDH-Problem schwer Anm.: Annahme bezieht sich immer auf konkreten Gruppentyp, Gruppe abhängig von k G. Hartung Digitale Signaturen: Wiederholung
53 BLS-Signaturen: Eigenschaften Vorteile: einfach effiziente Algorithmen Kurze Signaturen EUF-CMA-sicher unter der CDH-Annahme Nachteile: Sicherheitsbeweis nur im Random Oracle Modell G. Hartung Digitale Signaturen: Wiederholung
54 BLS-Signaturen: Eigenschaften Vorteile: einfach effiziente Algorithmen Kurze Signaturen EUF-CMA-sicher unter der CDH-Annahme Aggregierbar und Batch-Verifizierbar Nachteile: Sicherheitsbeweis nur im Random Oracle Modell G. Hartung Digitale Signaturen: Wiederholung
55 Waters-Signaturen Gen(1 k ): wähle g α G, κ Gen PHF (g). Setze sk = g α, pk = (g, κ, e(g, g α )). Sign(sk, m): wähle r Z p. Berechne Setze σ = (σ 1, σ 2 ). Vfy(pk, m, σ): Prüfe ob σ 1 := g r σ 2 := g α H κ (m) r. e(g, σ 2 )? = e(g, g) α e(σ 1, H κ (m)) Sicherheit: EUF-CMA-sicher unter CDH-Annahme im Standardmodell zentrales Werkzeug: Programmierbare Hashfunktionen (PHF) G. Hartung Digitale Signaturen: Wiederholung
56 Programmierbare Hashfunktionen Intuition: Hashfunktion H κ : {0, 1} l G Zusatzinformation mit Trapdoor: Zerlegung (a, b) von H κ (m). h a g b = H κ (m) Wenn (κ, τ) TrapGen(g, h) ist für alle m 1,..., m v, m 1,..., m w a i = 0 für alle m i a j = 0 für alle m j, mindestens mit Wahrscheinlichkeit γ. (Wohlverteilung) κ hat bei Erstellung mit und ohne Trapdoor die selbe Verteilung G. Hartung Digitale Signaturen: Wiederholung
57 Inhalt Organisatorisches Wiederholung Signaturverfahren Sicherheitsbegriffe Einmal-Signaturen RSA-Signaturen Chamäleon-Hashfunktionen Pairing-basierte Signaturen Socrative: Space Race G. Hartung Digitale Signaturen: Wiederholung
58 Socrative: Space Race Image: CC-BY-2.0 by Robert Scoble via Wikipedia G. Hartung Digitale Signaturen: Wiederholung
59 Socrative: Space Race Room: SIGNATUREN G. Hartung Digitale Signaturen: Wiederholung
60 Ende Vielen Dank für eure Aufmerksamkeit. Viel Erfolg für die Prüfung! FIN G. Hartung Digitale Signaturen: Wiederholung
61 References I M. Bellare und P. Rogaway. The Exact Security of Digital Signatures-How to Sign with RSA and Rabin. In: Advances in Cryptology EUROCRYPT 96: International Conference on the Theory and Application of Cryptographic Techniques Saragossa, Spain, May 12 16, 1996 Proceedings. Hrsg. von U. Maurer. Berlin, Heidelberg: Springer Berlin Heidelberg, 1996, S DOI: / _34. URL: G. Hartung Digitale Signaturen: Wiederholung
Ich bedanke mich bei Florian Böhl, Benny Fuhry, Gunnar Hartung, Jan Holz, Björn Kaidel, Eike Kiltz, Evgheni Kirzner, Jessica Koch, Julia Rohlfing,
Digitale Signaturen Tibor Jager tibor.jager@rub.de Horst Görtz Institut für IT-Sicherheit Lehrstuhl für Netz- und Datensicherheit Ruhr-Universität Bochum Letzte Aktualisierung: 6. Oktober 2015 Ich bedanke
MehrVoll homomorpe Verschlüsselung
Voll homomorpe Verschlüsselung Definition Voll homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : R R für Ringe R, R. Π heißt voll homomorph, falls 1 Enc(m 1 ) + Enc(m 2 ) eine gültige
MehrRSA Full Domain Hash (RSA-FDH) Signaturen
RSA Full Domain Hash (RSA-FDH) Signaturen Signatur RSA-FDH Sei H : {0, 1} Z N ein Random-Oracle. 1 Gen: (N, e, d) GenRSA(1 n ) mit pk = (N, e) und sk = (N, d). 2 Sign: Für eine Nachricht m {0, 1} berechne
MehrRSA Full Domain Hash (RSA-FDH) Signaturen
RSA Full Domain Hash (RSA-FDH) Signaturen Signatur RSA-FDH Sei H : {0, 1} Z N ein Random-Oracle. 1 Gen: (N, e, d) GenRSA(1 n ) mit pk = (N, e) und sk = (N, d). 2 Sign: Für eine Nachricht m {0, 1} berechne
MehrHomomorphe Verschlüsselung
Homomorphe Verschlüsselung Definition Homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : G G für Gruppen G, G. Π heißt homomorph, falls Enc(m 1 ) G Enc(m 2 ) eine gültige Verschlüsselung
MehrKap. 2: Fail-Stop Unterschriften
Stefan Lucks 2: Fail-Stop Unterschriften 17 Digital Unterschreiben und Bezahlen Kap. 2: Fail-Stop Unterschriften Digitale Unterschriften (Synomym: Digitale Signaturen ): Fälschen mutmaßlich hart (RSA-Wurzeln,
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 26.05.2014 1 / 32 Überblick 1 Hinweis 2 Asymmetrische Authentifikation von Nachrichten Erinnerung RSA als Signaturschema ElGamal-Signaturen Hash-Then-Sign
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 13.05.2013 1 / 16 Überblick 1 Asymmetrische Verschlüsselung Erinnerung Andere Verfahren Demonstration Zusammenfassung 2 Symmetrische Authentifikation von Nachrichten
Mehr8: Zufallsorakel. Wir suchen: Einfache mathematische Abstraktion für Hashfunktionen
Stefan Lucks 8: Zufallsorakel 139 Kryptogr. Hashfunkt. (WS 08/09) 8: Zufallsorakel Unser Problem: Exakte Eigenschaften von effizienten Hashfunktionen nur schwer erfassbar (z.b. MD5, Tiger, RipeMD, SHA-1,...)
MehrSeminar Kryptographie und Datensicherheit
Andere Protokolle für digitale Unterschriften Wintersemester 2006/2007 Gliederung 1 Provably Secure Signature Schemes Lamport Signature Scheme Full Domain Hash 2 Undeniable Signatures 3 Fail-stop Signature
MehrElGamal Verschlüsselungsverfahren (1984)
ElGamal Verschlüsselungsverfahren (1984) Definition ElGamal Verschlüsselungsverfahren Sei n ein Sicherheitsparameter. 1 Gen : (q, g) G(1 n ), wobei g eine Gruppe G der Ordnung q generiert. Wähle x R Z
MehrMitschrift Vorlesung Einführung in die Kryptographie vom 18. Januar 2011
Mitschrift Vorlesung Einführung in die Kryptographie vom 18. Januar 2011 Dominic Scheurer 6. Februar 2012 Inhaltsverzeichnis 30 Digitale Signaturen (cont'd) - One-Time-Signaturen (OTS) 1 31 Public-Key-Verschlüsselung
MehrDigitale Unterschriften Grundlagen der digitalen Unterschriften Hash-Then-Sign Unterschriften Public-Key Infrastrukturen (PKI) Digitale Signaturen
Sommersemester 2008 Digitale Unterschriften Unterschrift von Hand : Physikalische Verbindung mit dem unterschriebenen Dokument (beides steht auf dem gleichen Blatt). Fälschen erfordert einiges Geschick
MehrIT-Sicherheit Kapitel 3 Public Key Kryptographie
IT-Sicherheit Kapitel 3 Public Key Kryptographie Dr. Christian Rathgeb Sommersemester 2013 1 Einführung In der symmetrischen Kryptographie verwenden Sender und Empfänger den selben Schlüssel die Teilnehmer
MehrSicherheit von hybrider Verschlüsselung
Sicherheit von hybrider Verschlüsselung Satz Sicherheit hybrider Verschlüsselung Sei Π ein CPA-sicheres PK-Verschlüsselungsverfahren und Π ein KPA-sicheres SK-Verschlüsselungsverfahren. Dann ist das hybride
MehrDigitale Signaturen Einführung und das Schnorr Signaturschema
Digitale Signaturen Einführung und das Schnorr Signaturschema Patrick Könemann paphko@upb.de Proseminar: Public-Key Kryptographie Prof. Dr. rer. nat. J. Blömer Universität Paderborn 27. Januar 2006 Abstract
MehrCramer-Shoup-Variante des ElGamal-Kryptoschemas
R. Fischlin/15. Februar 000 Cramer-Shoup-Variante des ElGamal-Kryptoschemas Wir stellen die Variante des ElGamal-Kryptoschemas von Cramer und Shoup [GS98] vor. Im Gegensatz zum urspünglichen System ist
MehrVerschlüsselung. Chiffrat. Eve
Das RSA Verfahren Verschlüsselung m Chiffrat m k k Eve? Verschlüsselung m Chiffrat m k k Eve? Aber wie verteilt man die Schlüssel? Die Mafia-Methode Sender Empfänger Der Sender verwendet keine Verschlüsselung
MehrUrbild Angriff auf Inkrementelle Hashfunktionen
Urbild Angriff auf Inkrementelle Hashfunktionen AdHash Konstruktion: (Bellare, Micciancio 1997) Hashe Nachricht x = (x 1,..., x k ) als H(x) = k i=1 h(i, x i) mod M. Inkrementell: Block x i kann leicht
MehrWiederholung: Informationssicherheit Ziele
Wiederholung: Informationssicherheit Ziele Vertraulichkeit : Schutz der Information vor unberechtigtem Zugriff bei Speicherung, Verarbeitung und Übertragung Methode: Verschüsselung symmetrische Verfahren
MehrEffizienten MAC-Konstruktion aus der Praxis: NMAC Idee von NMAC:
Effizienten MAC-Konstruktion aus der Praxis: NMAC Idee von NMAC: Hashe m {0, 1} auf einen Hashwert in {0, 1} n. Verwende Π MAC3 für Nachrichten fixer Länge auf dem Hashwert. Wir konstruieren Π MAC3 mittels
MehrIn beiden Fällen auf Datenauthentizität und -integrität extra achten.
Stromchiffren Verschlüsseln eines Stroms von Daten m i (Bits/Bytes) mithilfe eines Schlüsselstroms k i in die Chiffretexte c i. Idee: Im One-Time Pad den zufälligen Schlüssel durch eine pseudo-zufällige
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 10.06.2013 1 / 26 Überblick 1 Schlüsselaustauschprotokolle Transport Layer Security (TLS) Weitere Schlüsselaustauschtypen Zusammenfassung 2 Identifikationsprotokolle
MehrKey Agreement. Diffie-Hellman Schlüsselaustausch. Key Agreement. Authentifizierter Diffie-Hellman Schlüsselaustausch
Digitale Signaturen Signaturverfahren mit Einwegfunktion mit Falltür: Full Domain Hash, RSA Signatures, PSS Signaturverfahren mit Einwegfunktion ohne Falltür: Allgemeine Konstruktion von Lamport, One-time
MehrPraktikum Diskrete Optimierung (Teil 11) 17.07.2006 1
Praktikum Diskrete Optimierung (Teil 11) 17.07.2006 1 1 Primzahltest 1.1 Motivation Primzahlen spielen bei zahlreichen Algorithmen, die Methoden aus der Zahlen-Theorie verwenden, eine zentrale Rolle. Hierzu
MehrÜberblick Kryptographie
1 Überblick Kryptographie Ulrich Kühn Deutsche Telekom Laboratories, TU Berlin Seminar Kryptographie 19. Oktober 2005 2 Übersicht Was ist Kryptographie? Symmetrische Kryptographie Asymmetrische Kryptographie
MehrKonzepte von Betriebssystemkomponenten: Schwerpunkt Sicherheit. Asymmetrische Verschlüsselung, Digitale Signatur
Konzepte von Betriebssystemkomponenten: Schwerpunkt Sicherheit Thema: Asymmetrische Verschlüsselung, Digitale Signatur Vortragender: Rudi Pfister Überblick: Asymmetrische Verschlüsselungsverfahren - Prinzip
Mehr10. Public-Key Kryptographie
Stefan Lucks 10. PK-Krypto 274 orlesung Kryptographie (SS06) 10. Public-Key Kryptographie Analyse der Sicherheit von PK Kryptosystemen: Angreifer kennt öffentlichen Schlüssel Chosen Plaintext Angriffe
MehrDiffie-Hellman, ElGamal und DSS. Vortrag von David Gümbel am 28.05.2002
Diffie-Hellman, ElGamal und DSS Vortrag von David Gümbel am 28.05.2002 Übersicht Prinzipielle Probleme der sicheren Nachrichtenübermittlung 'Diskreter Logarithmus'-Problem Diffie-Hellman ElGamal DSS /
MehrGeeignete Kryptoalgorithmen
Veröffentlicht im Bundesanzeiger Nr. 158 Seite 18 562 vom 24. August 2001 Geeignete Kryptoalgorithmen In Erfüllung der Anforderungen nach 17 (1) SigG vom 16. Mai 2001 in Verbindung mit 17 (2) SigV vom
MehrDigitale Signaturen. Sven Tabbert
Digitale Signaturen Sven Tabbert Inhalt: Digitale Signaturen 1. Einleitung 2. Erzeugung Digitaler Signaturen 3. Signaturen und Einweg Hashfunktionen 4. Digital Signature Algorithmus 5. Zusammenfassung
MehrGrundlagen der Kryptographie
Grundlagen der Kryptographie Seminar zur Diskreten Mathematik SS2005 André Latour a.latour@fz-juelich.de 1 Inhalt Kryptographische Begriffe Primzahlen Sätze von Euler und Fermat RSA 2 Was ist Kryptographie?
MehrEinführung in Computer Microsystems
Einführung in Computer Microsystems Kapitel 9 Entwurf eines eingebetteten Systems für Anwendungen in der IT-Sicherheit Prof. Dr.-Ing. Sorin A. Huss Fachbereich Informatik Integrierte Schaltungen und Systeme
MehrKryptographie und Komplexität
Kryptographie und Komplexität Einheit 6 Kryptographie und Sicherheit 1. Kryptographische Hashfunktionen 2. Passwörter und Identifikation 3. Digitale Signaturen 4. Secret Sharing 5. Anwendungen und Ausblick
MehrMAC Message Authentication Codes
Seminar Kryptographie SoSe 2005 MAC Message Authentication Codes Andrea Schminck, Carolin Lunemann Inhaltsverzeichnis (1) MAC (2) CBC-MAC (3) Nested MAC (4) HMAC (5) Unconditionally secure MAC (6) Strongly
MehrKryptografische Protokolle
Kryptografische Protokolle Lerneinheit 5: Authentifizierung Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen Sommersemester 2015 19.6.2015 Einleitung Einleitung Diese Lerneinheit hat Protokolle
MehrKurze Einführung in kryptographische Grundlagen.
Kurze Einführung in kryptographische Grundlagen. Was ist eigentlich AES,RSA,DH,ELG,DSA,DSS,ECB,CBC Benjamin.Kellermann@gmx.de GPG-Fingerprint: D19E 04A8 8895 020A 8DF6 0092 3501 1A32 491A 3D9C git clone
Mehr10.6 Authentizität. Geheimhaltung: nur der Empfänger kann die Nachricht lesen
10.6 Authentizität Zur Erinnerung: Geheimhaltung: nur der Empfänger kann die Nachricht lesen Integrität: Nachricht erreicht den Empfänger so, wie sie abgeschickt wurde Authentizität: es ist sichergestellt,
MehrPublic-Key-Kryptosystem
Public-Key-Kryptosystem Zolbayasakh Tsoggerel 29. Dezember 2008 Inhaltsverzeichnis 1 Wiederholung einiger Begriffe 2 2 Einführung 2 3 Public-Key-Verfahren 3 4 Unterschiede zwischen symmetrischen und asymmetrischen
MehrLösungsblatt zur Vorlesung. Kryptanalyse WS 2009/2010. Blatt 6 / 23. Dezember 2009 / Abgabe bis spätestens 20. Januar 2010, 10 Uhr (vor der Übung)
Ruhr-Universität Bochum Lehrstuhl für Kryptologie und IT-Sicherheit Prof. Dr. Alexander May Mathias Herrmann, Alexander Meurer Lösungsblatt zur Vorlesung Kryptanalyse WS 2009/2010 Blatt 6 / 23. Dezember
MehrWiederholung Symmetrische Verschlüsselung klassische Verfahren: Substitutionschiffren Transpositionschiffren Vigenère-Chiffre One-Time-Pad moderne
Wiederholung Symmetrische Verschlüsselung klassische Verfahren: Substitutionschiffren Transpositionschiffren Vigenère-Chiffre One-Time-Pad moderne Verfahren: DES (Feistel-Chiffre) mehrfache Wiederholung
MehrIT-Sicherheit: Kryptographie. Asymmetrische Kryptographie
IT-Sicherheit: Kryptographie Asymmetrische Kryptographie Fragen zur Übung 5 C oder Java? Ja (gerne auch Python); Tips waren allerdings nur für C Wie ist das mit der nonce? Genau! (Die Erkennung und geeignete
MehrWorkshop Experimente zur Kryptographie
Fakultät Informatik, Institut Systemarchitektur, Professur Datenschutz und Datensicherheit Workshop Experimente zur Kryptographie Sebastian Clauß Dresden, 23.03.2011 Alltägliche Anwendungen von Kryptographie
MehrÜbungen zu. Grundlagen der Kryptologie SS 2008. Hochschule Konstanz. Dr.-Ing. Harald Vater. Giesecke & Devrient GmbH Prinzregentenstraße 159
Übungen zu Grundlagen der Kryptologie SS 2008 Hochschule Konstanz Dr.-Ing. Harald Vater Giesecke & Devrient GmbH Prinzregentenstraße 159 D-81677 München Tel.: +49 89 4119-1989 E-Mail: hvater@htwg-konstanz.de
MehrAuthentikation und digitale Signatur
TU Graz 23. Jänner 2009 Überblick: Begriffe Authentikation Digitale Signatur Überblick: Begriffe Authentikation Digitale Signatur Überblick: Begriffe Authentikation Digitale Signatur Begriffe Alice und
Mehr9 Schlüsseleinigung, Schlüsselaustausch
9 Schlüsseleinigung, Schlüsselaustausch Ziel: Sicherer Austausch von Schlüsseln über einen unsicheren Kanal initiale Schlüsseleinigung für erste sichere Kommunikation Schlüsselerneuerung für weitere Kommunikation
MehrSymmetrische und Asymmetrische Kryptographie. Technik Seminar 2012
Symmetrische und Asymmetrische Kryptographie Technik Seminar 2012 Inhalt Symmetrische Kryptographie Transpositionchiffre Substitutionchiffre Aktuelle Verfahren zur Verschlüsselung Hash-Funktionen Message
MehrEntwicklung der Asymmetrischen Kryptographie und deren Einsatz
Entwicklung der Asymmetrischen Kryptographie und deren Einsatz Peter Kraml, 5a hlw Facharbeit Mathematik Schuljahr 2013/14 Caesar-Verschlüsselung Beispiel Verschiebung der Buchstaben im Alphabet sehr leicht
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 03.06.2013 1 / 34 Überblick 1 Schlüsselaustauschprotokolle Motivation Symmetrische Verfahren Asymmetrische Verfahren Transport Layer Security (TLS) 2 / 34
MehrBetriebssysteme und Sicherheit
Betriebssysteme und Sicherheit Signatursysteme WS 2013/2014 Dr.-Ing. Elke Franz Elke.Franz@tu-dresden.de 1 Überblick 1 Prinzip digitaler Signatursysteme 2 Vergleich symmetrische / asymmetrische Authentikation
MehrKryptographie: Verteidigung gegen die dunklen Künste in der digitalen Welt
Kryptographie: Verteidigung gegen die dunklen Künste in der digitalen Welt Prof. Dr. Rüdiger Weis Beuth Hochschule für Technik Berlin Tag der Mathematik 2015 Flächendeckendes Abhören Regierungen scheitern
Mehr5. Signaturen und Zertifikate
5. Signaturen und Zertifikate Folgende Sicherheitsfunktionen sind möglich: Benutzerauthentikation: Datenauthentikation: Datenintegrität: Nachweisbarkeit: Digitale Unterschrift Zahlungsverkehr Nachweis
MehrParameterwahl für sichere zeitgemäße Verschlüsselung
Parameterwahl für sichere zeitgemäße Verschlüsselung Prof. Dr. Mark Manulis Kryptographische Protokolle Fachbereich Informatik TU Darmstadt / CASED Mornewegstrasse 30 64293 Darmstadt Room 4.1.15 (4th floor)
MehrDas Knapsack-Kryptosystem
Das Knapsack-Kryptosystem Frank Hellweg 21. Februar 2006 1 Einleitung Das Knapsack-Kryptosystem wurde 1978 von den amerikanischen Kryptologen Martin Hellman und Ralph Merkle entwickelt [MH78] und war eines
MehrKonzepte von Betriebssystem-Komponenten: Schwerpunkt Sicherheit Grundlagen: Asymmetrische Verschlüsslung, Digitale Signatur
Konzepte von Betriebssystem-Komponenten: Schwerpunkt Sicherheit Grundlagen: Asymmetrische Verschlüsslung, Digitale Signatur Rudi Pfister Rudi.Pfister@informatik.stud.uni-erlangen.de Public-Key-Verfahren
Mehr2. Realisierung von Integrität und Authentizität
2. Realisierung von Integrität und Authentizität Zur Prüfung der Integrität einer Nachricht oder Authentizität einer Person benötigt die prüfende Instanz eine zusätzliche Information, die nur vom Absender
MehrNetzsicherheit I, WS 2008/2009 Übung 12. Prof. Dr. Jörg Schwenk 20.01.2009
Netzsicherheit I, WS 2008/2009 Übung 12 Prof. Dr. Jörg Schwenk 20.01.2009 Aufgabe 1 1 Zertifikate im Allgemeinen a) Was versteht man unter folgenden Begriffen? i. X.509 X.509 ist ein Standard (Zertifikatsstandard)
MehrPublic-Key Verschlüsselung
Public-Key Verschlüsselung Björn Thomsen 17. April 2006 Inhaltsverzeichnis 1 Einleitung 2 2 Wie funktioniert es 2 3 Vergleich mit symmetrischen Verfahren 3 4 Beispiel: RSA 4 4.1 Schlüsselerzeugung...............................
MehrMathematik und Logik
Mathematik und Logik 6. Übungsaufgaben 2006-01-24, Lösung 1. Berechnen Sie für das Konto 204938716 bei der Bank mit der Bankleitzahl 54000 den IBAN. Das Verfahren ist z.b. auf http:// de.wikipedia.org/wiki/international_bank_account_number
MehrKap. 8: Speziell gewählte Kurven
Stefan Lucks 8: Spezielle Kurven 82 Verschl. mit Elliptischen Kurven Kap. 8: Speziell gewählte Kurven Zur Erinnerung: Für beliebige El. Kurven kann man den Algorithmus von Schoof benutzen, um die Anzahl
MehrSeminar Kryptographie
Seminar Kryptographie Elliptische Kurven in der Kryptographie Prusoth Vijayakumar Sommersemester 2011 Inhaltsverzeichnis 1 Motivation 3 2 Verfahren 5 2.1 Diffie-Hellman-Schlüsselaustausch.......................
MehrGrundlagen der Kryptographie
Grundlagen der Kryptographie Die Kryptographie, aus dem Altgriehishen Geheimshrift abgeleitet, ist die Wissenshaft der Vershlüsselung von Nahrihten. Ursprünglih in der Antike eingesetzt, um diplomatishen
MehrSichere Abwicklung von Geschäftsvorgängen im Internet
Sichere Abwicklung von Geschäftsvorgängen im Internet Diplomarbeit von Peter Hild Theoretische Grundlagen der Kryptologie Vorhandene Sicherheitskonzepte für das WWW Bewertung dieser Konzepte Simulation
Mehr8. Von den Grundbausteinen zu sicheren Systemen
Stefan Lucks 8. Grundb. sich. Syst. 211 orlesung Kryptographie (SS06) 8. Von den Grundbausteinen zu sicheren Systemen Vorlesung bisher: Bausteine für Kryptosysteme. Dieses Kapitel: Naiver Einsatz der Bausteine
MehrU3L Ffm Verfahren zur Datenverschlüsselung
U3L Ffm Verfahren zur Datenverschlüsselung Definition 2-5 Symmetrische Verschlüsselung 6-7 asymmetrischer Verschlüsselung (Public-Key Verschlüsselung) 8-10 Hybride Verschlüsselung 11-12 Hashfunktion/Digitale
MehrEine allgemeine Konstruktion für gleichzeitiges Signieren und Verschlüsseln
TECHNISCHE UNIVERSITÄT CAROLO-WILHELMINA ZU BRAUNSCHWEIG Ausarbeitung eines Seminarvortrags Eine allgemeine Konstruktion für gleichzeitiges Signieren und Verschlüsseln cand. inform. Lutz Wachsmann 08.
MehrDas wichtigste Kennzeichen asymmetrischer Verschlüsselungsverfahren ist, dass die Kommunikationspartner dabei anstelle eines
Prof. Dr. Norbert Pohlmann, Malte Hesse Kryptographie: Von der Geheimwissenschaft zur alltäglichen Nutzanwendung (IV) Asymmetrische Verschlüsselungsverfahren In den letzten Ausgaben haben wir zunächst
MehrEin typisches Problem
Kryptographische Hashfunktionen Cyrill Stachniss Basierend auf [Buchmann 08, Daum 05, Lucks & Daum 05, Wang & Yu 05, Sridharan 06, Stevens 07, Sotirov et al. 08, Lucks 07, Gebhard et al. 06, Selinger 06,
MehrElliptische Kurven und ihre Anwendungen in der Kryptographie
Elliptische Kurven und ihre Anwendungen in der Kryptographie Heiko Knospe Fachhochschule Köln heiko.knospe@fh-koeln.de 29. März 2014 1 / 25 Weierstraß-Gleichung Elliptische Kurven sind nicht-singuläre
MehrMerkblatt: HSM. Version 1.01. Systemvoraussetzungen, Setup und Trouble Shooting. pdfsupport@pdf-tools.com
Merkblatt: HSM Version 1.01 Systemvoraussetzungen, Setup und Trouble Shooting Kontakt: pdfsupport@pdf-tools.com Besitzer: PDF Tools AG Kasernenstrasse 1 8184 Bachenbülach Schweiz www.pdf-tools.com Copyright
MehrZur Sicherheit von RSA
Zur Sicherheit von RSA Sebastian Petersen 19. Dezember 2011 RSA Schlüsselerzeugung Der Empfänger (E) wählt große Primzahlen p und q. E berechnet N := pq und ϕ := (p 1)(q 1). E wählt e teilerfremd zu ϕ.
MehrKryptographie praktisch erlebt
Kryptographie praktisch erlebt Dr. G. Weck INFODAS GmbH Köln Inhalt Klassische Kryptographie Symmetrische Verschlüsselung Asymmetrische Verschlüsselung Digitale Signaturen Erzeugung gemeinsamer Schlüssel
MehrDas Briefträgerproblem
Das Briefträgerproblem Paul Tabatabai 30. Dezember 2011 Inhaltsverzeichnis 1 Problemstellung und Modellierung 2 1.1 Problem................................ 2 1.2 Modellierung.............................
MehrPrimzahlzertifikat von Pratt
Primzahlzertifikat von Pratt Daniela Steidl TU München 17. 04. 2008 Primzahltests in der Informatik "Dass das Problem, die Primzahlen von den Zusammengesetzten zu unterscheiden und letztere in ihre Primfaktoren
Mehr11. Das RSA Verfahren und andere Verfahren
Chr.Nelius: Kryptographie (SS 2011) 31 11. Das RSA Verfahren und andere Verfahren Eine konkrete Realisierung eines Public Key Kryptosystems ist das sog. RSA Verfahren, das im Jahre 1978 von den drei Wissenschaftlern
MehrKryptographie II. Introduction to Modern Cryptography. Jonathan Katz & Yehuda Lindell
Kryptographie II Introduction to Modern Cryptography Jonathan Katz & Yehuda Lindell Universität zu Köln, WS 13/14 Medienkulturwissenschaft / Medieninformatik AM2: Humanities Computer Science Aktuelle Probleme
MehrWas ist Kryptographie
Was ist Kryptographie Kryptographie Die Wissenschaft, mit mathematischen Methoden Informationen zu verschlüsseln und zu entschlüsseln. Eine Methode des sicheren Senden von Informationen über unsichere
MehrKryptographische Systeme auf Basis des diskreten Logarithmus
Kryptographische Systeme auf Basis des diskreten Logarithmus Inhaltsverzeichnis Inhaltsverzeichnis 1 Einführung 3 1.1 Potenzieren..................................... 3 1.2 Logarithmieren...................................
MehrUntersuchung der Gruppen GL(s, Z n ) und SL(s, Z n ) zur Nutzung in der Kryptographie
Untersuchung der Gruppen GL(s, Z n ) und SL(s, Z n ) zur Nutzung in der Kryptographie Inaugural-Dissertation zur Erlangung des Grades eines Doktors der Naturwissenschaftlichen Fachbereiche (Fachbereich
MehrPublic Key Infrastrukturen
Public Key Infrastrukturen V1. Public Key Techniken und Dienste Prof. J. Buchmann FG Theoretische Informatik TU Darmstadt Beispiel: Zintl-Umbau 2 Beispiel: Zintl-Umbau Ausschreibung Einsendeschluss: 24.12.2004
MehrFacharbeit Informatik Public Key Verschlüsselung Speziell: PGP Ole Mallow Basiskurs Informatik
Facharbeit Informatik Public Key Verschlüsselung Speziell: PGP Ole Mallow Basiskurs Informatik Seite 1 von 9 Inhaltsverzeichnis Inhaltsverzeichnis...2 1. Allgemein...3 1.1 Was ist Public Key Verschlüsselung?...3
MehrIT-Sicherheit - Sicherheit vernetzter Systeme -
IT-Sicherheit - Sicherheit vernetzter Systeme - Kapitel 7: Kryptographische Hash-Funktionen Wolfgang Hommel, Helmut Reiser, LRZ, WS 13/14 IT-Sicherheit 1 Inhalt Definition: Kryptographische Hash-Verfahren
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 01.07.2013 1 / 31 Überblick 1 Zugriffskontrolle Das Bell-LaPadula-Modell Das Chinese-Wall-Modell Zusammenfassung 2 Analyse größerer Systeme Motivation Der
MehrSeminar zur Kryptologie
Seminar zur Kryptologie Practical Key Recovery Schemes Basierend auf einer Veröffentlichung von Sung-Ming Yen Torsten Behnke Technische Universität Braunschweig t.behnke@tu-bs.de Einführung Einführung
MehrSecurity and Cryptography
Security and Cryptography Wunschthema: RSA Was ist asymmetrische Kryptographie? Funktionsweise RSA; zeigen, dass es funktioniert (mˆ{c*d}=m) Was, wenn geheimer Schlüssel nicht mod((n)), sondern mod(kgv((p-1),(q-1)))?
MehrSSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites zu beschäftigen
SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites zu beschäftigen Immo FaUl Wehrenberg immo@ctdo.de Chaostreff Dortmund 16. Juli 2009 Immo FaUl Wehrenberg immo@ctdo.de (CTDO) SSL/TLS Sicherheit
MehrSind OpenSSL-Zertikate mit Exponent 3 unsicher?
Sind OpenSSL-Zertikate mit Exponent 3 unsicher? Annie Yousar 2007-January-04 In OpenSSL erzeugt man Zertikate mit RSA-Schlüsseln (zum Beispiel mit 3096 Bit) mit dem Kommando openssl req -x509 -newkey rsa:3096.
MehrDNSSEC. Was ist DNSSEC? Wieso braucht man DNSSEC? Für ein sicheres Internet
SEC Für ein sicheres Internet Was ist SEC? SEC ist eine Erweiterung des Domain Namen Systems (), die dazu dient, die Echtheit (Authentizität) und die Voll ständig keit (Integrität) der Daten von - Antworten
MehrKryptographie I Symmetrische Kryptographie
Kryptographie I Symmetrische Kryptographie Alexander May Fakultät für Mathematik Ruhr-Universität Bochum Wintersemester 2010/11 Krypto I - Vorlesung 01-11.10.2010 Verschlüsselung, Kerckhoffs, Angreifer,
MehrAlgorithmische Kryptographie
Algorithmische Kryptographie Walter Unger, Dirk Bongartz Lehrstuhl für Informatik I 27. Januar 2005 Teil I Mathematische Grundlagen Welche klassischen Verfahren gibt es? Warum heissen die klassischen Verfahren
MehrSchlüsselvereinbarung
Schlüsselvereinbarung Seminar Kryptografische Protokolle an der Humboldt Universität zu Berlin. Stephan Verbücheln, Daniel Schliebner. Herausgabe: 4. März 2009 Schlüsselvereinbarung Seite 1 Inhaltsverzeichnis
MehrWiederholung: Informationssicherheit Ziele
Wiederholung: Informationssicherheit Ziele Vertraulichkeit: Schutz der Information vor unberechtigtem Zugriff bei Speicherung, Verarbeitung und Übertragung Verschlüsselungsverfahren Integrität: Garantie
MehrDigital Rights Management (DRM) Verfahren, die helfen Rechte an virtuellen Waren durchzusetzen. Public-Key-Kryptographie (2 Termine)
Digital Rights Management (DRM) Verfahren, die helfen Rechte an virtuellen Waren durchzusetzen Vorlesung im Sommersemester 2010 an der Technischen Universität Ilmenau von Privatdozent Dr.-Ing. habil. Jürgen
MehrKryptographie und Fehlertoleranz für Digitale Magazine
Stefan Lucks Kryptographie und Fehlertoleranz für digitale Magazine 1 Kryptographie und Fehlertoleranz für Digitale Magazine Stefan Lucks Professur für Mediensicherheit 13. März 2013 Stefan Lucks Kryptographie
MehrAlgorithmen und Datenstrukturen
1 Algorithmen und Datenstrukturen Wintersemester 2015/16 12. Vorlesung Hashing Prof. Dr. Alexander Wolff Lehrstuhl für Informatik I 2 Übungen Begründen Sie grundsätzlich alle Behauptungen außer die Aufgabe
MehrRSA Verfahren. Kapitel 7 p. 103
RSA Verfahren RSA benannt nach den Erfindern Ron Rivest, Adi Shamir und Leonard Adleman war das erste Public-Key Verschlüsselungsverfahren. Sicherheit hängt eng mit der Schwierigkeit zusammen, große Zahlen
MehrKryptographische Verfahren auf Basis des Diskreten Logarithmus
Kryptographische Verfahren auf Basis des Diskreten Logarithmus -Vorlesung Public-Key-Kryptographie SS2010- Sascha Grau ITI, TU Ilmenau, Germany Seite 1 / 18 Unser Fahrplan heute 1 Der Diskrete Logarithmus
MehrModul Diskrete Mathematik WiSe 2011/12
1 Modul Diskrete Mathematik WiSe 2011/12 Ergänzungsskript zum Kapitel 4.2. Hinweis: Dieses Manuskript ist nur verständlich und von Nutzen für Personen, die regelmäßig und aktiv die zugehörige Vorlesung
MehrIT-Sicherheit Zusammenfassung
IT-Sicherheit Zusammenfassung Kajetan Weiß 8. Februar 2014 Vorwort Schön, dass Du Dich entschieden hast mit dieser Arbeit zu lernen. Vorweg möchte ich raten nicht nur die Lektüre zu lesen sondern zum besseren
MehrFerienakademie 2001: Kryptographie und Sicherheit offener Systeme. Faktorisierung. Stefan Büttcher stefan@buettcher.org
Ferienakademie 2001: Kryptographie und Sicherheit offener Systeme Faktorisierung Stefan Büttcher stefan@buettcher.org 1 Definition. (RSA-Problem) Gegeben: Ò ÔÕ, ein RSA-Modul mit unbekannten Primfaktoren
Mehr