Digitale Signaturen. RSA-FDH & das Random Oracle Model Björn Kaidel (mit Folien von Gunnar Hartung)
|
|
- Linda Schmitt
- vor 6 Jahren
- Abrufe
Transkript
1 Digitale Signaturen RSA-FDH & das Random Oracle Model Björn Kaidel (mit Folien von Gunnar Hartung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model KIT Die Forschungsuniversität in der Helmholtz-Gemeinschaft
2 Socrative: Wiederholung Room: SIGNATUREN Bitte jetzt einloggen, falls ihr mitmachen wollt :) Bleibt am Besten einfach während der VL eingeloggt. Erstes Quiz läuft bereits & kann ausgefüllt werden! B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model
3 Socrative vom letzten Mal Müssen wir bei Sicherheitsbeweisen nicht zeigen, das wir die Spiele richtig simulieren? Ja! Ansonsten: Unklar, wie sich verwendeter Angreifer verhält. Bei den Beweisen in dieser VL ist es aber meist recht leicht einzusehen Werde versuchen, dass aber etwas deutlicher hervorzuheben! B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model
4 Socrative vom letzten Mal Müssen wir bei Sicherheitsbeweisen nicht zeigen, das wir die Spiele richtig simulieren? Ja! Ansonsten: Unklar, wie sich verwendeter Angreifer verhält. Bei den Beweisen in dieser VL ist es aber meist recht leicht einzusehen Werde versuchen, dass aber etwas deutlicher hervorzuheben! Kann der PKCS-Signaturpräfix beliebig sein? (Präfix = Nachrichtencodierung?) Nein, ist vom Standard fesgelegt wir wissen aber nichts über Sicherheit des Verfahrens Änderung führt im Prinzip zu einem neuen Verfahren B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model
5 Socrative vom letzten Mal Müssen wir bei Sicherheitsbeweisen nicht zeigen, das wir die Spiele richtig simulieren? Ja! Ansonsten: Unklar, wie sich verwendeter Angreifer verhält. Bei den Beweisen in dieser VL ist es aber meist recht leicht einzusehen Werde versuchen, dass aber etwas deutlicher hervorzuheben! Kann der PKCS-Signaturpräfix beliebig sein? (Präfix = Nachrichtencodierung?) Nein, ist vom Standard fesgelegt wir wissen aber nichts über Sicherheit des Verfahrens Änderung führt im Prinzip zu einem neuen Verfahren Leicht: Codierung, mit der das Verfahren unsicher ist Aber: Vielleicht gibt es bessere Codierungen?! B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model
6 Socrative vom letzten Mal Müssen wir bei Sicherheitsbeweisen nicht zeigen, das wir die Spiele richtig simulieren? Ja! Ansonsten: Unklar, wie sich verwendeter Angreifer verhält. Bei den Beweisen in dieser VL ist es aber meist recht leicht einzusehen Werde versuchen, dass aber etwas deutlicher hervorzuheben! Kann der PKCS-Signaturpräfix beliebig sein? (Präfix = Nachrichtencodierung?) Nein, ist vom Standard fesgelegt wir wissen aber nichts über Sicherheit des Verfahrens Änderung führt im Prinzip zu einem neuen Verfahren Leicht: Codierung, mit der das Verfahren unsicher ist Aber: Vielleicht gibt es bessere Codierungen?! (Spoiler: gibt es! ;) ) B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model
7 Inhalt RSA-Full Domain Hash (Kap. 4.2) Random-Oracle-Modell (Kap ) RSA-FDH: Sicherheitsbeweis (Kap ) B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model
8 Wiederholung: RSA-Annahme RSA-Problem: Geg. N, e (geeignet gewählt) und y Z N, finde x Z N : x e y mod N. RSA-Annahme: PPT A gilt: [ Pr A(1 k, N, e, y) = x : für eine in k vernachlässigbare Funktion negl. x e ] y mod N negl(k) N, e, y wie oben B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model
9 Wiederholung: Textbook-RSA Gen(1 k ) : B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model
10 Wiederholung: Textbook-RSA Gen(1 k ) : wähle N = P Q, e geeignet d := e 1 mod ϕ(n) pk = (N, e) sk = d B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model
11 Wiederholung: Textbook-RSA Gen(1 k ) : wähle N = P Q, e geeignet d := e 1 mod ϕ(n) pk = (N, e) sk = d Sign(sk, m) : B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model
12 Wiederholung: Textbook-RSA Gen(1 k ) : wähle N = P Q, e geeignet d := e 1 mod ϕ(n) pk = (N, e) sk = d Sign(sk, m) : σ := m d (mod N) B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model
13 Wiederholung: Textbook-RSA Gen(1 k ) : wähle N = P Q, e geeignet d := e 1 mod ϕ(n) pk = (N, e) sk = d Sign(sk, m) : σ := m d (mod N) Vfy(pk, m, σ) : B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model
14 Wiederholung: Textbook-RSA Gen(1 k ) : wähle N = P Q, e geeignet d := e 1 mod ϕ(n) pk = (N, e) sk = d Sign(sk, m) : σ := m d (mod N) Vfy(pk, m, σ) : σ e? = m (mod N) B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model
15 Wiederholung: Textbook-RSA Gen(1 k ) : wähle N = P Q, e geeignet d := e 1 mod ϕ(n) pk = (N, e) sk = d Sign(sk, m) : σ := m d (mod N) Vfy(pk, m, σ) : σ e? = m (mod N) Sicherheit: B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model
16 Wiederholung: Textbook-RSA Gen(1 k ) : wähle N = P Q, e geeignet d := e 1 mod ϕ(n) pk = (N, e) sk = d Sign(sk, m) : σ := m d (mod N) Vfy(pk, m, σ) : σ e? = m (mod N) Sicherheit: verschiedene Angriffe UUF-NMA-sicher B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model
17 Sichere RSA-basierte Signaturen Vorverarbeitung von Nachrichten Letzte VL: RSA PKCS #1 v1.5 Heute: RSA Full Domain Hash (FDH) B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model
18 RSA-FDH sei H := {0, 1} Z N eine kollisionsresistente Hash-Funktion Idee: Signiere H(m) mit Textbook-RSA Nachrichtenraum/ Domäne bei Textbook-RSA: Z N H soll auf die gesamte Domäne Z N abbilden full domain hash B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model
19 RSA-FDH sei H := {0, 1} Z N eine kollisionsresistente Hash-Funktion Idee: Signiere H(m) mit Textbook-RSA Nachrichtenraum/ Domäne bei Textbook-RSA: Z N H soll auf die gesamte Domäne Z N abbilden full domain hash Konkret: Gen(1 k ) : wie bei Textbook-RSA Sign(sk, m) : B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model
20 RSA-FDH sei H := {0, 1} Z N eine kollisionsresistente Hash-Funktion Idee: Signiere H(m) mit Textbook-RSA Nachrichtenraum/ Domäne bei Textbook-RSA: Z N H soll auf die gesamte Domäne Z N abbilden full domain hash Konkret: Gen(1 k ) : wie bei Textbook-RSA Sign(sk, m) : σ := H(m) d (mod N) B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model
21 RSA-FDH sei H := {0, 1} Z N eine kollisionsresistente Hash-Funktion Idee: Signiere H(m) mit Textbook-RSA Nachrichtenraum/ Domäne bei Textbook-RSA: Z N H soll auf die gesamte Domäne Z N abbilden full domain hash Konkret: Gen(1 k ) : wie bei Textbook-RSA Sign(sk, m) : σ := H(m) d (mod N) Vfy(pk, m, σ) : B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model
22 RSA-FDH sei H := {0, 1} Z N eine kollisionsresistente Hash-Funktion Idee: Signiere H(m) mit Textbook-RSA Nachrichtenraum/ Domäne bei Textbook-RSA: Z N H soll auf die gesamte Domäne Z N abbilden full domain hash Konkret: Gen(1 k ) : wie bei Textbook-RSA Sign(sk, m) : σ := H(m) d (mod N) Vfy(pk, m, σ) : σ e? H(m) (mod N) B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model
23 RSA-FDH sei H := {0, 1} Z N eine kollisionsresistente Hash-Funktion Idee: Signiere H(m) mit Textbook-RSA Nachrichtenraum/ Domäne bei Textbook-RSA: Z N H soll auf die gesamte Domäne Z N abbilden full domain hash Konkret: Gen(1 k ) : wie bei Textbook-RSA Sign(sk, m) : σ := H(m) d (mod N) Vfy(pk, m, σ) : σ e? H(m) (mod N) Korrektheit: wie immer (Übung) B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model
24 Sicherheit von RSA-FDH Theorem Wenn die RSA-Annahme gilt, dann ist das RSA-FDH-Signaturverfahren EUF-CMA-sicher B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model
25 Sicherheit von RSA-FDH Theorem Wenn die RSA-Annahme gilt, dann ist das RSA-FDH-Signaturverfahren EUF-CMA-sicher im Random-Oracle-Modell B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model
26 Sicherheit von RSA-FDH Theorem Wenn die RSA-Annahme gilt, dann ist das RSA-FDH-Signaturverfahren EUF-CMA-sicher im Random-Oracle-Modell. Random-Oracle-Modell? B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model
27 Gliederung RSA-Full Domain Hash (Kap. 4.2) Random-Oracle-Modell (Kap ) RSA-FDH: Sicherheitsbeweis (Kap ) B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model
28 Random-Oracle-Modell (ROM) Heuristik betrachte idealisierte Hash-Funktion H Ausgabe von H(m) gleichverteilt zufällig für jede Eingabe m H modelliert als Orakel, das die Hashwerte ausgibt ( Random Oracle ) Alle Parteien verwenden das gleiche Orakel B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model
29 Random-Oracle-Modell (ROM) Heuristik betrachte idealisierte Hash-Funktion H Ausgabe von H(m) gleichverteilt zufällig für jede Eingabe m H modelliert als Orakel, das die Hashwerte ausgibt ( Random Oracle ) Alle Parteien verwenden das gleiche Orakel Das H-Orakel: besitzt einen internen Key-Value-Store T implementiert folgenden Algorithmus : if m in T : return T [m] else: y Z N T [m] := y return y B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model
30 Random-Oracle-Modell (ROM): Diskussion Fakt: Es existiert kein Random-Oracle in der realen Welt B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model
31 Random-Oracle-Modell (ROM): Diskussion Fakt: Es existiert kein Random-Oracle in der realen Welt Konsens: Sicherheitsbeweis im Standardmodell besser als Sicherheitsbeweis im ROM B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model
32 Random-Oracle-Modell (ROM): Diskussion Fakt: Es existiert kein Random-Oracle in der realen Welt Konsens: Sicherheitsbeweis im Standardmodell besser als Sicherheitsbeweis im ROM Fakt: manche kryptographischen Probleme nur im ROM lösbar (Bem. 63) B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model
33 Random-Oracle-Modell (ROM): Diskussion Fakt: Es existiert kein Random-Oracle in der realen Welt Konsens: Sicherheitsbeweis im Standardmodell besser als Sicherheitsbeweis im ROM Fakt: manche kryptographischen Probleme nur im ROM lösbar (Bem. 63) Fakt: Lösungen im ROM oft effizienter als Lösungen im Standardmodell Beispiel: RSA-basierte Signaturen B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model
34 Random-Oracle-Modell (ROM): Diskussion Fakt: Es existiert kein Random-Oracle in der realen Welt Konsens: Sicherheitsbeweis im Standardmodell besser als Sicherheitsbeweis im ROM Fakt: manche kryptographischen Probleme nur im ROM lösbar (Bem. 63) Fakt: Lösungen im ROM oft effizienter als Lösungen im Standardmodell Beispiel: RSA-basierte Signaturen Fakt: Lösungen im ROM oft einfacher zu konstruieren Vorstufe zur Lösung im Standardmodell B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model
35 Random-Oracle-Modell (ROM): Diskussion Fakt: Es existiert kein Random-Oracle in der realen Welt Konsens: Sicherheitsbeweis im Standardmodell besser als Sicherheitsbeweis im ROM Fakt: manche kryptographischen Probleme nur im ROM lösbar (Bem. 63) Fakt: Lösungen im ROM oft effizienter als Lösungen im Standardmodell Beispiel: RSA-basierte Signaturen Fakt: Lösungen im ROM oft einfacher zu konstruieren Vorstufe zur Lösung im Standardmodell = ROM vereinfacht Sicherheitsbeweise oder ermöglicht sie erst B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model
36 Random-Oracle-Modell (ROM): Diskussion Fakt: für viele Konstruktionen im ROM sind keine realen Angriffe bekannt B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model
37 Random-Oracle-Modell (ROM): Diskussion Fakt: für viele Konstruktionen im ROM sind keine realen Angriffe bekannt Fakt: Es existieren kryptographische Konstruktionen, die im ROM als sicher bewiesen werden können, aber mit jeder realen Hash-Funktion unsicher sind. Aber: diese Konstruktionen sind sehr künstlich B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model
38 Random-Oracle-Modell (ROM): Diskussion Fakt: für viele Konstruktionen im ROM sind keine realen Angriffe bekannt Fakt: Es existieren kryptographische Konstruktionen, die im ROM als sicher bewiesen werden können, aber mit jeder realen Hash-Funktion unsicher sind. Aber: diese Konstruktionen sind sehr künstlich Fakt: Was genau ein Sicherheitsbeweis im ROM für die Sicherheit in der Praxis bedeutet ist unklar Grundidee: Verfahren ist sicher, solang die Hashfunktion gut ist B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model
39 Random-Oracle-Modell (ROM): Diskussion Zusammenfassung: ROM liefert effiziente Konstruktionen funktioniert (bisher) in der Praxis gut ist (Über-)Idealisierung ROM insgesamt umstritten B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model
40 Socrative Room: SIGNATUREN Was ist das Random Oracle Modell? Gibt es Verfahren, die im ROM und Standardmodell sicher sind? Gibt es Verfahren, die im ROM, aber nicht im Standardmodell sicher sind? B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model
41 Gliederung RSA-Full Domain Hash (Kap. 4.2) Random-Oracle-Modell (Kap ) RSA-FDH: Sicherheitsbeweis (Kap ) B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model
42 RSA-FDH: Sicherheitsbeweis Theorem (64) Wenn H als Random Oracle modelliert wird, dann existiert für jeden Angreifer A, der die EUF-CMA-Sicherheit von RSA-FDH in Zeit t A mit Erfolgswahrscheinlichkeit ɛ A bricht und dabei höchstens q H Anfragen an das H-Orakel stellt ein Angreifer B der das RSA-Problem in Zeit t B t A mit Erfolgswahrscheinlichkeit löst. ɛ B ɛ A 1/N q H B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model
43 RSA-FDH: Sicherheitsbeweis Beweisidee: A muss Hashwert-Anfragen an das RO stellen auch für m Fange diese Anfragen ab und simuliere RO B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model
44 RSA-FDH: Sicherheitsbeweis Beweisidee: A muss Hashwert-Anfragen an das RO stellen auch für m Fange diese Anfragen ab und simuliere RO B kann das RO für A implementieren = ersetze Random-Oracle-Implementierung: rate Index i der Nachricht, für die A eine Signatur fälschen wird wähle alle anderen Hash-Werte h j (j = i) so, dass eine Signatur bekannt ist wähle h i = y B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model
45 RSA-FDH: Sicherheitsbeweis Angenommen, A ist erfolgreich und gibt gültige Fälschung (m, σ ) aus. Dann trifft eins der folgenden Ereignisse ein: E 0 : A fragt nie H(m ) beim RO an E 1 : A fragt H(m ) beim RO an B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model
46 RSA-FDH: Sicherheitsbeweis Angenommen, A ist erfolgreich und gibt gültige Fälschung (m, σ ) aus. Dann trifft eins der folgenden Ereignisse ein: E 0 : A fragt nie H(m ) beim RO an E 1 : A fragt H(m ) beim RO an Es gilt ɛ A Pr[E 0 ] + Pr[E 1 ] B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model
47 RSA-FDH: Ereignis E 0 E 0 : A fragt nie H(m ) beim RO an RO wählt H(m ) echt zufällig aus Z N Abb. h h d mod N ist eine Bijektion Damit ist σ = H(m ) d ebenfalls echt zufällig aus Z N D.h. A kann in diesem Fall nur Raten B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model
48 RSA-FDH: Ereignis E 0 E 0 : A fragt nie H(m ) beim RO an RO wählt H(m ) echt zufällig aus Z N Abb. h h d mod N ist eine Bijektion Damit ist σ = H(m ) d ebenfalls echt zufällig aus Z N D.h. A kann in diesem Fall nur Raten = Pr[E 0 ] 1 N B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model
49 RSA-FDH: Beweisübersicht für E 1 RSA-Problem EUF-CMA C RSA B A B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model
50 RSA-FDH: Beweisübersicht für E 1 RSA-Problem EUF-CMA C RSA B A wähle N, e, y N, e, y B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model
51 RSA-FDH: Beweisübersicht für E 1 RSA-Problem EUF-CMA C RSA B A wähle N, e, y N, e, y pk B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model
52 RSA-FDH: Beweisübersicht für E 1 RSA-Problem EUF-CMA C RSA B A wähle N, e, y N, e, y pk H(m) =? B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model
53 RSA-FDH: Beweisübersicht für E 1 RSA-Problem EUF-CMA C RSA B A wähle N, e, y N, e, y pk H(m) =? wähle H(m) geeignet H(m) B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model
54 RSA-FDH: Beweisübersicht für E 1 RSA-Problem EUF-CMA C RSA B A wähle N, e, y N, e, y pk H(m) =? wähle H(m) geeignet H(m) 1 Sign(sk, m) =? B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model
55 RSA-FDH: Beweisübersicht für E 1 RSA-Problem EUF-CMA C RSA B A wähle N, e, y N, e, y pk H(m) =? wähle H(m) geeignet H(m) 1 Sign(sk, m) =? berechne σ geeignet σ B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model
56 RSA-FDH: Beweisübersicht für E 1 RSA-Problem EUF-CMA C RSA B A wähle N, e, y N, e, y pk H(m) =? wähle H(m) geeignet H(m) 1 Sign(sk, m) =? berechne σ geeignet σ 2 m, σ B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model
57 RSA-FDH: Beweisübersicht für E 1 RSA-Problem EUF-CMA C RSA B A wähle N, e, y N, e, y pk H(m) =? wähle H(m) geeignet H(m) 1 Sign(sk, m) =? berechne σ geeignet σ 2 x m, σ B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model
58 RSA-FDH: Erfolgswkt. Erinnerung: ɛ A Pr[E 0 ] + Pr [ E 1 ] Bisher gezeigt: Pr[E 0 ] 1/N und ɛ B Pr[E 1 ]/q H B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model
59 RSA-FDH: Erfolgswkt. Erinnerung: ɛ A Pr[E 0 ] + Pr [ E 1 ] Bisher gezeigt: Pr[E 0 ] 1/N und ɛ B Pr[E 1 ]/q H Daraus folgt: ɛ B q H Pr[E 1 ] ɛ A Pr[E 0 ] ɛ A 1/N B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model
60 RSA-FDH: Erfolgswkt. Erinnerung: ɛ A Pr[E 0 ] + Pr [ E 1 ] Bisher gezeigt: Pr[E 0 ] 1/N und ɛ B Pr[E 1 ]/q H Daraus folgt: ɛ B q H Pr[E 1 ] ɛ A Pr[E 0 ] ɛ A 1/N ɛ B ɛ A 1/N q H B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model
61 RSA-FDH: Diskussion (Skript) Konstruierter Angreifer B hat Erfolgswahrscheinlichkeit ɛ B ɛ A 1/N q H schwaches Ergebnis zwar ausreichend, um EUF-CMA-Sicherheit zu zeigen aber: ɛ B ɛ A wäre stärkeres/besseres Ergebnis B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model
62 RSA-FDH: Diskussion (Skript) Konstruierter Angreifer B hat Erfolgswahrscheinlichkeit ɛ B ɛ A 1/N q H schwaches Ergebnis zwar ausreichend, um EUF-CMA-Sicherheit zu zeigen aber: ɛ B ɛ A wäre stärkeres/besseres Ergebnis Frage: Hat diese Schwäche Auswirkungen? B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model
63 RSA-FDH: Diskussion (Skript) Ja! (Wenn man auf beweisbarer Sicherheit besteht.) Nächste Vorlesung: Welche Auswirkungen hat der Verlust bei der Erfolgswahrscheinlichkeit? RSA-PSS: Signaturverfahren mit deutlich kleinerem Verlust B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model
64 Socrative Room: SIGNATUREN Sicherheit von RSA-FDH? Ist RSA-FDH homomorph? Was nutzen wir im Beweis aus? B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model
Digitale Signaturen. Einmalsignaturen Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Einmalsignaturen Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-11-04 B. Kaidel Digitale Signaturen: Einmalsignaturen KIT Die Forschungsuniversität
MehrDigitale Signaturen. Sicherheitsdefinitionen Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Sicherheitsdefinitionen Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-10-27 B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen KIT Die Forschungsuniversität
MehrDigitale Signaturen. Wiederholung Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Wiederholung Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung KIT Die Forschungsuniversität
MehrDigitale Signaturen. Einführung Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Einführung Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-10-21 G. Hartung, B. Kaidel Digitale Signaturen: Einführung KIT Die Forschungsuniversität
MehrDigitale Signaturen. Einführung Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Einführung Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-10-20 B. Kaidel Digitale Signaturen: Einführung KIT Die Forschungsuniversität in der Helmholtz-Gemeinschaft
MehrDigitale Signaturen. seuf-cma & Pairings Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen seuf-cma & Pairings Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-01-20 B. Kaidel Digitale Signaturen: seuf-cma & Pairings KIT Die
MehrVorlesung Digitale Signaturen im Wintersemester 2017/-18. Socrative-Fragen aus der Vorlesung vom
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Dozenten: Björn Kaidel Vorlesung Digitale Signaturen im Wintersemester 2017/-18 Socrative-Fragen aus der Vorlesung vom 17.11.2017 1 Quiz 1:
MehrHomomorphe Verschlüsselung
Homomorphe Verschlüsselung Definition Homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : G G für Gruppen G, G. Π heißt homomorph, falls Enc(m 1 ) G Enc(m 2 ) eine gültige Verschlüsselung
MehrVorlesung Sicherheit
Vorlesung Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 23.05.2016 1 / 32 Überblick 1 Symmetrische Authentifikation von Nachrichten Ziel Konstruktionen MACs
MehrRSA Full Domain Hash (RSA-FDH) Signaturen
RSA Full Domain Hash (RSA-FDH) Signaturen Signatur RSA-FDH Sei H : {0, 1} Z N ein Random-Oracle. 1 Gen: (N, e, d) GenRSA(1 n ) mit pk = (N, e) und sk = (N, d). 2 Sign: Für eine Nachricht m {0, 1} berechne
MehrRSA Full Domain Hash (RSA-FDH) Signaturen
RSA Full Domain Hash (RSA-FDH) Signaturen Signatur RSA-FDH Sei H : {0, 1} Z N ein Random-Oracle. 1 Gen: (N, e, d) GenRSA(1 n ) mit pk = (N, e) und sk = (N, d). 2 Sign: Für eine Nachricht m {0, 1} berechne
MehrVoll homomorpe Verschlüsselung
Voll homomorpe Verschlüsselung Definition Voll homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : R R für Ringe R, R. Π heißt voll homomorph, falls 1 Enc(m 1 ) + Enc(m 2 ) eine gültige
MehrÜbung zur Vorlesung Sicherheit Übungsblatt 3. Björn Kaidel 1 / 52
Übung zur Vorlesung Sicherheit 21.05.2014 Übungsblatt 3 Björn Kaidel bjoern.kaidel@kit.edu 1 / 52 Kummerkasten Bitte helleren Laserpointer verwenden. Sind die Skriptlinks vertauscht? Nein! Wegen allgemeiner
MehrHomomorphe Verschlüsselung
Homomorphe Verschlüsselung Definition Homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : G G für Gruppen G, G. Π heißt homomorph, falls Enc(m 1 ) G Enc(m 2 ) eine gültige Verschlüsselung
MehrDigitale Signaturen. Kapitel 8
Digitale Signaturen Kapitel 8 Handschriftliche vs. digitale Unterschrift digitalisieren mp3 Unterschrift digitale Unterschrift von D.H. für mp3? (Scannen und als Bitmap anhängen z.b. zu leicht zu fälschen)
Mehr8: Zufallsorakel. Wir suchen: Einfache mathematische Abstraktion für Hashfunktionen
Stefan Lucks 8: Zufallsorakel 139 Kryptogr. Hashfunkt. (WS 08/09) 8: Zufallsorakel Unser Problem: Exakte Eigenschaften von effizienten Hashfunktionen nur schwer erfassbar (z.b. MD5, Tiger, RipeMD, SHA-1,...)
MehrInstitut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Klausur Hinweise
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Klausur 21.07.2015 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 12.05.2014 1 / 26 Überblick 1 Hashfunktionen Erinnerung Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel:
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 06.05.2013 1 / 25 Überblick 1 Hashfunktionen Erinnerung Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel:
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 15.05.2017 1 / 25 Überblick 1 Hashfunktionen Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel: RSA
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 13.05.2013 1 / 16 Überblick 1 Asymmetrische Verschlüsselung Erinnerung Andere Verfahren Demonstration Zusammenfassung 2 Symmetrische Authentifikation von Nachrichten
MehrDigitale Unterschriften. Angriffe und Sicherheitsmodelle. Bemerkungen. Angriffe und Sicherheitsmodelle
Digitale Unterschriften Auch digitale Signaturen genannt. Nachrichten aus Nachrichtenraum: M M. Signaturen aus Signaturenraum: σ S. Schlüssel sind aus Schlüsselräumen: d K 1, e K 2. SignierungsverfahrenS
MehrHybride Verschlüsselungsverfahren
Hybride Verschlüsselungsverfahren Ziel: Flexibilität von asym. Verfahren und Effizienz von sym. Verfahren. Szenario: Sei Π = (Gen, Enc, Dec) ein PK-Verschlüsselungsverfahren und Π = (Gen, Enc, Dec ) ein
MehrBemerkungen. Orientierung. Digitale Unterschriften. Angriffe und Sicherheitsmodelle
Orientierung Haben bisher im Public-Key Bereich nur Verschlüsselung betrachtet. Haben dafür geeignete mathematische Strukturen und ihre Eigenschaften diskutiert. RSA, Rabin: Restklassenringe modulo n,
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Vorlesung 4 Alexander Koch (Vertretung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 KIT 2015-11-12 Universität desalexander Landes Baden-Württemberg
MehrInstitut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Nachklausur
Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz IKS Institut für Kryptographie und Sicherheit Stammvorlesung Sicherheit im Sommersemester 2013 Nachklausur 07.10.2013 Vorname: Nachname:
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Björn Kaidel - Vertretung für Prof. J. Müller-Quade (Folien von A. Koch) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 17.11.2016 Björn Kaidel
MehrCPA-Sicherheit ist ungenügend
CPA-Sicherheit ist ungenügend Definition CCA CCA (=Chosen Ciphertext Attack) ist ein Angriff, bei dem der Angreifer sich Chiffretext seiner Wahl entschlüsseln lassen kann. Beispiele in denen CPA nicht
MehrDefinition Message Authentication Code (MAC) Ein Message Authentication Code (MAC) bzgl. des Nachrichtenraumen M besteht aus den ppt Alg.
Message Authentication Code (MAC) Szenario: Integrität und Authentizität mittels MACs. Alice und Bob besitzen gemeinsamen Schlüssel k. Alice berechnet für m einen MAC-Tag t als Funktion von m und k. Alice
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 26.05.2014 1 / 32 Überblick 1 Hinweis 2 Asymmetrische Authentifikation von Nachrichten Erinnerung RSA als Signaturschema ElGamal-Signaturen Hash-Then-Sign
MehrBlinde Signaturen, geheime Abstimmungen und digitale Münzen
Blinde Signaturen, geheime Abstimmungen und digitale Münzen Claus Diem Im Wintersemester 2017 / 18 Crypto 1982 Geheime Abstimmungen Eine geheime Abstimmung Problem. Eine Gruppe von Personen will per Brief
MehrDigitale Unterschriften Grundlagen der digitalen Unterschriften Hash-Then-Sign Unterschriften Public-Key Infrastrukturen (PKI) Digitale Signaturen
Sommersemester 2008 Digitale Unterschriften Unterschrift von Hand : Physikalische Verbindung mit dem unterschriebenen Dokument (beides steht auf dem gleichen Blatt). Fälschen erfordert einiges Geschick
MehrSicherheit von hybrider Verschlüsselung
Sicherheit von hybrider Verschlüsselung Satz Sicherheit hybrider Verschlüsselung Sei Π ein CPA-sicheres PK-Verschlüsselungsverfahren und Π ein KPA-sicheres SK-Verschlüsselungsverfahren. Dann ist das hybride
MehrIch bedanke mich bei Florian Böhl, Benny Fuhry, Gunnar Hartung, Jan Holz, Björn Kaidel, Eike Kiltz, Evgheni Kirzner, Jessica Koch, Julia Rohlfing,
Digitale Signaturen Tibor Jager tibor.jager@rub.de Horst Görtz Institut für IT-Sicherheit Lehrstuhl für Netz- und Datensicherheit Ruhr-Universität Bochum Letzte Aktualisierung: 6. Oktober 2015 Ich bedanke
MehrPrinzipien der modernen Kryptographie Sicherheit
Prinzipien der modernen Kryptographie Sicherheit Prinzip 1 Sicherheitsmodell Das Sicherheitsmodell (Berechnungsmodell, Angriffstypen, Sicherheitsziele) muss präzise definiert werden. Berechnungsmodell:
MehrInstitut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Klausur Hinweise
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Klausur 22.07.2014 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 08.05.2017 1 / 32 Überblick 1 Blockchiffren Erinnerung Varianten von DES Beispiel: AES Angriffe auf Blockchiffren 2 Formalisierung von Sicherheit (symmetrischer
MehrVorlesung Sicherheit
Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 20.04.2014 1 / 28 Überblick 1 Blockchiffren Erinnerung Angriffe auf Blockchiffren 2 Formalisierung
MehrVorlesung Sicherheit
Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 02.05.2016 1 / 22 Überblick 1 Hashfunktionen Erinnerung Formalisierung Die Merkle-Damgård-Konstruktion
MehrVerteilte Kyroptographie
Verteilte Kyroptographie Klassische kryptographische Verfahren Kryptographische Hash-Funktionen Public-Key-Signaturen Verteilte Mechanismen Schwellwert-Signaturen Verteilt generierte Zufallszahlen Verteilte
MehrRabin Verschlüsselung 1979
Rabin Verschlüsselung 1979 Idee: Rabin Verschlüsselung Beobachtung: Berechnen von Wurzeln in Z p ist effizient möglich. Ziehen von Quadratwurzeln in Z N ist äquivalent zum Faktorisieren. Vorteil: CPA-Sicherheit
MehrPrinzipien der modernen Kryptographie Sicherheit
Prinzipien der modernen Kryptographie Sicherheit Prinzip 1 Sicherheitsziel Die Sicherheitsziele müssen präzise definiert werden. Beispiele für ungenügende Definitionen von Sicherheit Kein Angreifer kann
MehrElGamal Verschlüsselungsverfahren (1984)
ElGamal Verschlüsselungsverfahren (1984) Definition ElGamal Verschlüsselungsverfahren Sei n ein Sicherheitsparameter. 1 Gen : (q, g) G(1 n ), wobei g eine Gruppe G der Ordnung q generiert. Wähle x R Z
MehrSicherheit von ElGamal
Sicherheit von ElGamal Satz CPA-Sicherheit ElGamal ElGamal Π ist CPA-sicher unter der DDH-Annahme. Beweis: Sei A ein Angreifer auf ElGamal Π mit Erfolgsws ɛ(n) := Ws[PubK cpa A,Π (n) = 1]. Wir konstruieren
MehrInstitut für Theoretische Informatik Prof. Dr. Dennis Hofheinz Übungsleiter: Thomas Agrikola. Stammvorlesung Sicherheit im Sommersemester 2017
Institut für Theoretische Informatik Prof. Dr. Dennis Hofheinz Übungsleiter: Thomas Agrikola Stammvorlesung Sicherheit im Sommersemester 2017 Übungsblatt 5 Aufgabe 1. (1.) In der Vorlesung wurde gezeigt,
MehrVerschlüsselung. Chiffrat. Eve
Das RSA Verfahren Verschlüsselung m Chiffrat m k k Eve? Verschlüsselung m Chiffrat m k k Eve? Aber wie verteilt man die Schlüssel? Die Mafia-Methode Sender Empfänger Der Sender verwendet keine Verschlüsselung
MehrStromchiffre. Algorithmus Stromchiffre
Stromchiffre Algorithmus Stromchiffre Sei G ein Pseudozufallsgenerator mit Expansionsfaktor l(n). Wir definieren Π s = (Gen, Enc, Dec) mit Sicherheitsparameter n für Nachrichten der Länge l(n). 1 Gen:
MehrInstitut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Übungsblatt 5
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Übungsblatt 5 Aufgabe 1. (1.) In der Vorlesung wurde gezeigt, dass Lehrbuch-RSA-Signaturen
Mehrhttps://b.socrative.com/login/student/
Übung zur Vorlesung Sicherheit 23.06.2016 Übungsblatt 4 Björn Kaidel bjoern.kaidel@kit.edu https://b.socrative.com/login/student/ Room: SICHERHEIT Bitte gleich einloggen! 1 / 62 Feedback: Kummerkasten/Feedback
MehrMitschrift Vorlesung Einführung in die Kryptographie vom 18. Januar 2011
Mitschrift Vorlesung Einführung in die Kryptographie vom 18. Januar 2011 Dominic Scheurer 6. Februar 2012 Inhaltsverzeichnis 30 Digitale Signaturen (cont'd) - One-Time-Signaturen (OTS) 1 31 Public-Key-Verschlüsselung
MehrEffizienten MAC-Konstruktion aus der Praxis: NMAC Idee von NMAC:
Effizienten MAC-Konstruktion aus der Praxis: NMAC Idee von NMAC: Hashe m {0, 1} auf einen Hashwert in {0, 1} n. Verwende Π MAC3 für Nachrichten fixer Länge auf dem Hashwert. Wir konstruieren Π MAC3 mittels
MehrTheoretische Grundlagen der Informatik
Theoretische Grundlagen der Informatik Vorlesung am 5. Dezember 2017 INSTITUT FÜR THEORETISCHE 0 05.12.2017 Dorothea Wagner - Theoretische Grundlagen der Informatik INSTITUT FÜR THEORETISCHE KIT Die Forschungsuniversität
MehrKap. 2: Fail-Stop Unterschriften
Stefan Lucks 2: Fail-Stop Unterschriften 17 Digital Unterschreiben und Bezahlen Kap. 2: Fail-Stop Unterschriften Digitale Unterschriften (Synomym: Digitale Signaturen ): Fälschen mutmaßlich hart (RSA-Wurzeln,
Mehr3: Zahlentheorie / Primzahlen
Stefan Lucks Diskrete Strukturen (WS 2009/10) 96 3: Zahlentheorie / Primzahlen 3: Zahlentheorie / Primzahlen Stefan Lucks Diskrete Strukturen (WS 2009/10) 97 Definition 37 (Teiler, Vielfache, Primzahlen,
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 10.06.2013 1 / 26 Überblick 1 Schlüsselaustauschprotokolle Transport Layer Security (TLS) Weitere Schlüsselaustauschtypen Zusammenfassung 2 Identifikationsprotokolle
MehrSicherer MAC für Nachrichten beliebiger Länge
Sicherer MAC für Nachrichten beliebiger Länge Korollar Sicherer MAC für Nachrichten beliebiger Länge Sei F eine Pseudozufallsfunktion. Dann ist Π MAC2 für Π = Π MAC sicher. Nachteile: Für m ({0, 1} n 4
MehrInstitut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Klausur
Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz IKS Institut für Kryptographie und Sicherheit Stammvorlesung Sicherheit im Sommersemester 2013 Klausur 26.07.2013 Vorname: Nachname:
MehrInstitut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Klausur Hinweise
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Klausur 22.07.2014 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen
Mehr13. Woche: NP-Vollständigkeit Satz von Cook-Levin Anwendungen in der Kryptographie
13 Woche: NP-Vollständigkeit Satz von Cook-Levin Anwendungen in der Kryptographie 13 Woche: NP-Vollständigkeit, Satz von Cook-Levin, Anwendungen 276/ 333 N P-Vollständigkeit Ḋefinition NP-vollständig Sei
MehrBeweisbar sichere Verschlüsselung
Beweisbar sichere Verschlüsselung ITS-Wahlpflichtvorlesung Dr. Bodo Möller Ruhr-Universität Bochum Horst-Görtz-Institut für IT-Sicherheit Lehrstuhl für Kommunikationssicherheit bmoeller@crypto.rub.de 1
MehrHardcore-Prädikat. Definition Hardcore-Prädikat. Ziel: Destilliere Komplexität des Invertierens auf ein Bit.
Hardcore-Prädikat Ziel: Destilliere Komplexität des Invertierens auf ein Bit. Definition Hardcore-Prädikat Sei Π f eine Einwegfunktion. Sei hc ein deterministischer pt Alg mit Ausgabe eines Bits hc(x)
MehrEinwegfunktionen. Problemseminar. Komplexitätstheorie und Kryptographie. Martin Huschenbett. 30. Oktober 2008
Problemseminar Komplexitätstheorie und Kryptographie Martin Huschenbett Student am Institut für Informatik an der Universität Leipzig 30. Oktober 2008 1 / 33 Gliederung 1 Randomisierte Algorithmen und
MehrEinführung in die Kryptographie. 20.6.2011, www.privacyfoundation.ch
Einführung in die Kryptographie 20.6.2011, www.privacyfoundation.ch Kryptographie Name kryptós: verborgen, geheim gráphein: schreiben Verschlüsselung Text so umwandeln, dass man ihn nur noch entziffern/lesen
MehrDigitale Signaturen. Einführung und das Schnorr Signatur Schema. 1 Digitale Signaturen Einführung & das Schnorr Signatur Schema.
Digitale Signaturen Einführung und das Schnorr Signatur Schema 1 Übersicht 1. Prinzip der digitalen Signatur 2. Grundlagen Hash Funktionen Diskreter Logarithmus 3. ElGamal Signatur Schema 4. Schnorr Signatur
MehrAlgorithmische Methoden für schwere Optimierungsprobleme
Algorithmische Methoden für schwere Optimierungsprobleme Prof. Dr. Henning Meyerhenke Institut für Theoretische Informatik 1 KIT Henning Universität desmeyerhenke, Landes Baden-Württemberg Institutund
MehrEinführung in die Theoretische Informatik
Technische Universität München Fakultät für Informatik Prof. Tobias Nipkow, Ph.D. Sascha Böhme, Lars Noschinski Sommersemester 2011 Lösungsblatt 9 25. Juli 2011 Einführung in die Theoretische Informatik
MehrBeweisbar sichere Verschlüsselung
Beweisbar sichere Verschlüsselung ITS-Wahlpflichtvorlesung Dr. Bodo Möller Ruhr-Universität Bochum Horst-Görtz-Institut für IT-Sicherheit Lehrstuhl für Kommunikationssicherheit bmoeller@crypto.rub.de 6
MehrWann sind Codes eindeutig entschlüsselbar?
Wann sind Codes eindeutig entschlüsselbar? Definition Suffix Sei C ein Code. Ein Folge s {0, 1} heißt Suffix in C falls 1 c i, c j C : c i = c j s oder 2 c C und einen Suffix s in C: s = cs oder 3 c C
MehrDigitale Signaturen. Proseminar Kryptographie und Datensicherheit SoSe Sandra Niemeyer
Digitale Signaturen Proseminar Kryptographie und Datensicherheit SoSe 2009 Sandra Niemeyer 24.06.2009 Inhalt 1. Signaturgesetz 2. Ziele 3. Sicherheitsanforderungen 4. Erzeugung digitaler Signaturen 5.
MehrDas RSA-Verfahren. Proseminar Kryptographische Protokolle SS Armin Litzel
in der Praxis Proseminar Kryptographische Protokolle SS 2009 5.5.2009 in der Praxis Gliederung 1 Grundlegendes über RSA 2 in der Praxis Allgemeine Vorgehensweise zur Verschlüsselung Signieren mit RSA 3
MehrExistenz von Einwegfunktionen
Existenz von Einwegfunktionen Satz Einweg-Eigenschaft von f FO Unter der Faktorisierungsannahme ist f FO eine Einwegfunktion. Beweis: f FO ist mittels FACTOR-ONEWAY effizient berechenbar. z.z.: Invertierer
MehrÜbungsblatt 4. Stammvorlesung Sicherheit im Sommersemester Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Übungsblatt 4 Aufgabe 1. Wir instanziieren das ElGamal-Verschlüsselungsverfahren aus der
MehrTheoretische Grundlagen der Informatik
Theoretische Grundlagen der Informatik 0 KIT 10.11.2011 Universität des Dorothea Landes Baden-Württemberg Wagner - Theoretische und Grundlagen der Informatik nationales Forschungszentrum Vorlesung in am
MehrLösung zur Klausur zu Krypographie Sommersemester 2005
Lösung zur Klausur zu Krypographie Sommersemester 2005 1. Bestimmen Sie die zwei letzten Ziffern der Dezimaldarstellung von 12 34 Es gilt: 12 34 = 12 32+2 = 12 32 12 2 = 12 (25) 12 2 = ((((12 2 ) 2 ) 2
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 23.05.2013 1 / 26 Überblick 1 Einschub: Seitenkanalangriffe Demonstration Simple Power Attacks (SPAs) (Weitere) Beispiele für Seitenkanäle Gegenmaßnahmen gegen
MehrMessage Authentication Codes. Konstruktion von MACs. Hash-then-Encrypt. Sicherheitsmodell
Message Authentication Codes Entspricht Hashfunktionen mit geheimen Schlüsseln. h : K M H, MAC = h k (m). h parametrisierte Hashfunktion. m Nachricht. k geheimer Schlüssel. Mit der Nachricht m wird h k
MehrSeminar Kryptographie und Datensicherheit
Andere Protokolle für digitale Unterschriften Wintersemester 2006/2007 Gliederung 1 Provably Secure Signature Schemes Lamport Signature Scheme Full Domain Hash 2 Undeniable Signatures 3 Fail-stop Signature
MehrSocrative-Fragen aus der Übung vom
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Übungsleiter: Björn Kaidel, Alexander Koch Stammvorlesung Sicherheit im Sommersemester 2016 Socrative-Fragen aus der Übung vom 28.04.2016
MehrDie Logik der Sicherheit
Die Logik der Sicherheit Seminar im Sommersemester 2016 Vorbesprechung, 20.04.2016 FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 20.04.2016 Gunnar Hartung, Julia Hesse, Alexander Koch
MehrUrbild Angriff auf Inkrementelle Hashfunktionen
Urbild Angriff auf Inkrementelle Hashfunktionen AdHash Konstruktion: (Bellare, Micciancio 1997) Hashe Nachricht x = (x 1,..., x k ) als H(x) = k i=1 h(i, x i) mod M. Inkrementell: Block x i kann leicht
MehrTheoretische Grundlagen der Informatik
Theoretische Grundlagen der Informatik Vorlesung am 23. November 2017 INSTITUT FÜR THEORETISCHE 0 23.11.2017 Dorothea Wagner - Theoretische Grundlagen der Informatik INSTITUT FÜR THEORETISCHE KIT Die Forschungsuniversität
Mehr6.3 Authentizität. Geheimhaltung: nur der Empfänger kann die Nachricht lesen. die Nachricht erreicht den Empfänger so, wie sie abgeschickt wurde
6.3 Authentizität Zur Erinnerung: Geheimhaltung: nur der Empfänger kann die Nachricht lesen Integrität: die Nachricht erreicht den Empfänger so, wie sie abgeschickt wurde Authentizität: es ist sichergestellt,
MehrKryptographische Protokolle
Kryptographische Protokolle Lerneinheit 4: Schlüsselvereinbarung Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen Sommersemester 2017 8.5.2017 Einleitung Einleitung In dieser Lerneinheit
MehrMessage Authentication Codes
Message Authentication Codes Martin Schütte 30. Nov. 2004 Gliederung Denitionen Grundlegende Begrie Konstruktion von MACs häug benutzte MACs Einschätzung der Sicherheit Bedingungslos sichere MACs zusätzliche
MehrBeweisbar sichere Verschlüsselung
Beweisbar sichere Verschlüsselung ITS-Wahlpflichtvorlesung Dr. Bodo Möller Ruhr-Universität Bochum Horst-Görtz-Institut für IT-Sicherheit Lehrstuhl für Kommunikationssicherheit bmoeller@crypto.rub.de 11
MehrAlgorithmen II Vorlesung am
Algorithmen II Vorlesung am 24.01.2013 Online Algorithmen INSTITUT FÜR THEORETISCHE INFORMATIK PROF. DR. DOROTHEA WAGNER KIT Universität des Landes Baden-Württemberg und Algorithmen nationales Forschungszentrum
MehrDigitale Unterschriften mit ElGamal
Digitale Unterschriften mit ElGamal Seminar Kryptographie und Datensicherheit Institut für Informatik Andreas Havenstein Inhalt Einführung RSA Angriffe auf Signaturen und Verschlüsselung ElGamal Ausblick
MehrLineare Kongruenzgeneratoren und Quicksort
Seminar Perlen der theoretischen Informatik Dozenten: Prof. Johannes Köbler und Olaf Beyersdorff Lineare Kongruenzgeneratoren und Quicksort Ausarbeitung zum Vortrag Mia Viktoria Meyer 12. November 2002
MehrProbeklausur zur Vorlesung Berechenbarkeit und Komplexität
RWTH Aachen Lehrgebiet Theoretische Informatik Reidl Ries Rossmanith Sanchez Tönnis WS 2012/13 Probeklausur 25.01.2013 Probeklausur zur Vorlesung Berechenbarkeit und Komplexität Aufgabe 1 (1+2+6+3 Punkte)
MehrDigitale Signaturen. Kapitel 10 p. 178
Digitale Signaturen Realisierung der digitalen Signaturen ist eng verwandt mit der Public-Key-Verschlüsselung. Idee: Alice will Dokument m signieren. Sie berechnet mit dem privaten Schlüssel d die digitale
MehrTheoretische Grundlagen der Informatik
Theoretische Grundlagen der Informatik Vorlesung am 17. Januar 2012 INSTITUT FÜR THEORETISCHE 0 KIT 18.01.2012 Universität des Dorothea Landes Baden-Württemberg Wagner - Theoretische und Grundlagen der
MehrAufgabe der Kryptografie
Aufgabe der Kryptografie Eve möchte die Unterhaltung mithören und/oder ausgetauschte Informationen ändern. Alice & Bob kommunzieren über einen unsicheren Kanal. Alice & Bob nutzen Verschlüsselung und digitale
Mehrdurch Einfügen von Knoten konstruiert werden kann.
Satz von Kuratowski Definition Unterteilung eines Graphen Sei G = (V, E) und e = {u, v} E. 1 Das Einfügen eines neuen Knoten w in die Kante e führt zum Graphen G = (V {w}, E \ e {{u, w}, {w, v}}). 2 Der
MehrHashfunktionen. Roman Brunnemann Stephan Müller. 23. November Einleitung Anforderungen Konstruktion Beispiel MD5 MD5 vs.
23. November 2004 Einleitung Sicherheitsanforderungen Konstruktion von Präsentation einer eigenen Hashfunktion MD5 MD5 vs. SHA1 Angriffe auf Einteilung Kryptographische schlüssellos symmetrisch MDC andere
MehrÜbung zur Vorlesung. Sicherheit Übungsblatt 6 Alexander Koch
Übung zur Vorlesung Sicherheit 14.07.2015 Übungsblatt 6 Alexander Koch alexander.koch@kit.edu https://b.socrative.com/login/student/ Room: SICHERHEIT Bitte gleich einloggen! 1 / 26 Sicherheit Übungsblatt
MehrPseudo-Zufallsgeneratoren basierend auf dem DLP
Seminar Codes und Kryptografie SS 2004 Struktur des Vortrags Struktur des Vortrags Ziel Motivation 1 Einleitung Ziel Motivation 2 Grundlegende Definitionen Zufallsgeneratoren 3 Generator Sicherheit 4 Generator
MehrKombinatorische Optimierung
Juniorprof. Dr. Henning Meyerhenke 1 Henning Meyerhenke: KIT Universität des Landes Baden-Württemberg und nationales Forschungszentrum in der Helmholtz-Gemeinschaft www.kit.edu Vorlesung 4 Programm des
MehrErinnerung VL vom
Erinnerung VL vom 09.05.2016 Analyse von Hashtabellen mit verketteten Listen Erwartete Laufzeit O(1) bei zuf. Hashfkt. und falls M O(m) Guter Ersatz (hier) für zuf. Hashfkt.: universelle Hashfunktionen
MehrKryptosystem von Paillier: Analyse und Verbesserungen
Kryptosystem von Paillier: Analyse und Verbesserungen Andreas Kumlehn 31. März 2006 Inhalt 1 Einleitung 3 2 Grundlagen 4 2.1 Laufzeiten........................................... 4 2.2 Sicherheit...........................................
MehrIn beiden Fällen auf Datenauthentizität und -integrität extra achten.
Stromchiffren Verschlüsseln eines Stroms von Daten m i (Bits/Bytes) mithilfe eines Schlüsselstroms k i in die Chiffretexte c i. Idee: Im One-Time Pad den zufälligen Schlüssel durch eine pseudo-zufällige
Mehr