Asymmetrische Verschlüsselungsverfahren
|
|
- Kerstin Schuler
- vor 6 Jahren
- Abrufe
Transkript
1 Asymmetrische Verschlüsselungsverfahren Vorlesung 4 Alexander Koch (Vertretung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK Alexander Koch Asymmetrische Verschlüsselungsverfahren KIT Die Forschungsuniversität in der Helmholtz-Gemeinschaft
2 Szenario mit symmetrischer Verschlüsselung Alice möchte Bob eine private Nachricht schicken Alice Bob Eve Alexander Koch Asymmetrische Verschlüsselungsverfahren
3 Szenario mit symmetrischer Verschlüsselung Alice möchte Bob eine private Nachricht schicken 1. gemeinsamen Schlüssel k austauschen Alice Bob Eve Alexander Koch Asymmetrische Verschlüsselungsverfahren
4 Szenario mit symmetrischer Verschlüsselung Alice möchte Bob eine private Nachricht schicken 2. Alice verschlüsselt m: c := Enc k (m) 1. gemeinsamen Schlüssel k austauschen Alice Bob Eve Alexander Koch Asymmetrische Verschlüsselungsverfahren
5 Szenario mit symmetrischer Verschlüsselung Alice möchte Bob eine private Nachricht schicken 2. Alice verschlüsselt m: c := Enc k (m) Alice 1. gemeinsamen Schlüssel k austauschen 3. Versenden von c über unsicheren Kanal Eve lauscht Bob Eve Alexander Koch Asymmetrische Verschlüsselungsverfahren
6 Szenario mit symmetrischer Verschlüsselung Alice möchte Bob eine private Nachricht schicken 1. gemeinsamen Schlüssel k austauschen 2. Alice verschlüsselt m: c := Enc k (m) Alice 3. Versenden von c über unsicheren Kanal Eve lauscht Bob 4. Bob entschlüsselt c: m := Dec k (c) Eve Eve kann aus c nichts lernen Alexander Koch Asymmetrische Verschlüsselungsverfahren
7 Szenario mit symmetrischer Verschlüsselung Alice möchte Bob eine private Nachricht schicken 1. gemeinsamen Schlüssel k austauschen 2. Alice verschlüsselt m: c := Enc k (m) Alice 3. Versenden von c über unsicheren Kanal Eve lauscht Bob 4. Bob entschlüsselt c: m := Dec k (c) Eve Eve kann aus c nichts lernen Frage: Geht das vollständig über unsicheren Kanal? Alexander Koch Asymmetrische Verschlüsselungsverfahren
8 Lernziele heute Ziel ist es, dass Sie nach dieser Lehrveranstaltung... 1 den konzeptionellen Unterschied zwischen symmetrischen und asymmetrischen Verschlüsselungsverfahren (PKE) verstehen und diese an Hand von Vor- und Nachteilen vergleichen können, 2 (asymmetrische) -Verschlüsselung praktisch anwenden können, 3 die formale Definition eines PKE kennen und damit umgehen können, 4 den gängigen Begriff von Sicherheit gegenüber (passiven) Lauschern verstehen und die Wahl dieses Begriffes motivieren können, 5 verstehen, wieso PKE nicht perfekt sicher sein können, 6 verstehen, wieso sichere PKE nicht deterministisch verschlüsseln, 7 Varianten des Sicherheitsbegriffs vergleichen können Alexander Koch Asymmetrische Verschlüsselungsverfahren
9 Lernziele heute Ziel ist es, dass Sie nach dieser Lehrveranstaltung... 1 den konzeptionellen Unterschied zwischen symmetrischen und asymmetrischen Verschlüsselungsverfahren (PKE) verstehen und diese an Hand von Vor- und Nachteilen vergleichen können, 2 (asymmetrische) -Verschlüsselung praktisch anwenden können, 3 die formale Definition eines PKE kennen und damit umgehen können, 4 den gängigen Begriff von Sicherheit gegenüber (passiven) Lauschern verstehen und die Wahl dieses Begriffes motivieren können, 5 verstehen, wieso PKE nicht perfekt sicher sein können, 6 verstehen, wieso sichere PKE nicht deterministisch verschlüsseln, 7 Varianten des Sicherheitsbegriffs vergleichen können Alexander Koch Asymmetrische Verschlüsselungsverfahren
10 Lernziele heute Ziel ist es, dass Sie nach dieser Lehrveranstaltung... 1 den konzeptionellen Unterschied zwischen symmetrischen und asymmetrischen Verschlüsselungsverfahren (PKE) verstehen und diese an Hand von Vor- und Nachteilen vergleichen können, 2 (asymmetrische) -Verschlüsselung praktisch anwenden können, 3 die formale Definition eines PKE kennen und damit umgehen können, 4 den gängigen Begriff von Sicherheit gegenüber (passiven) Lauschern verstehen und die Wahl dieses Begriffes motivieren können, 5 verstehen, wieso PKE nicht perfekt sicher sein können, 6 verstehen, wieso sichere PKE nicht deterministisch verschlüsseln, 7 Varianten des Sicherheitsbegriffs vergleichen können Alexander Koch Asymmetrische Verschlüsselungsverfahren
11 Lernziele heute Ziel ist es, dass Sie nach dieser Lehrveranstaltung... 1 den konzeptionellen Unterschied zwischen symmetrischen und asymmetrischen Verschlüsselungsverfahren (PKE) verstehen und diese an Hand von Vor- und Nachteilen vergleichen können, 2 (asymmetrische) -Verschlüsselung praktisch anwenden können, 3 die formale Definition eines PKE kennen und damit umgehen können, 4 den gängigen Begriff von Sicherheit gegenüber (passiven) Lauschern verstehen und die Wahl dieses Begriffes motivieren können, 5 verstehen, wieso PKE nicht perfekt sicher sein können, 6 verstehen, wieso sichere PKE nicht deterministisch verschlüsseln, 7 Varianten des Sicherheitsbegriffs vergleichen können Alexander Koch Asymmetrische Verschlüsselungsverfahren
12 Lernziele heute Ziel ist es, dass Sie nach dieser Lehrveranstaltung... 1 den konzeptionellen Unterschied zwischen symmetrischen und asymmetrischen Verschlüsselungsverfahren (PKE) verstehen und diese an Hand von Vor- und Nachteilen vergleichen können, 2 (asymmetrische) -Verschlüsselung praktisch anwenden können, 3 die formale Definition eines PKE kennen und damit umgehen können, 4 den gängigen Begriff von Sicherheit gegenüber (passiven) Lauschern verstehen und die Wahl dieses Begriffes motivieren können, 5 verstehen, wieso PKE nicht perfekt sicher sein können, 6 verstehen, wieso sichere PKE nicht deterministisch verschlüsseln, 7 Varianten des Sicherheitsbegriffs vergleichen können Alexander Koch Asymmetrische Verschlüsselungsverfahren
13 Lernziele heute Ziel ist es, dass Sie nach dieser Lehrveranstaltung... 1 den konzeptionellen Unterschied zwischen symmetrischen und asymmetrischen Verschlüsselungsverfahren (PKE) verstehen und diese an Hand von Vor- und Nachteilen vergleichen können, 2 (asymmetrische) -Verschlüsselung praktisch anwenden können, 3 die formale Definition eines PKE kennen und damit umgehen können, 4 den gängigen Begriff von Sicherheit gegenüber (passiven) Lauschern verstehen und die Wahl dieses Begriffes motivieren können, 5 verstehen, wieso PKE nicht perfekt sicher sein können, 6 verstehen, wieso sichere PKE nicht deterministisch verschlüsseln, 7 Varianten des Sicherheitsbegriffs vergleichen können Alexander Koch Asymmetrische Verschlüsselungsverfahren
14 Lernziele heute Ziel ist es, dass Sie nach dieser Lehrveranstaltung... 1 den konzeptionellen Unterschied zwischen symmetrischen und asymmetrischen Verschlüsselungsverfahren (PKE) verstehen und diese an Hand von Vor- und Nachteilen vergleichen können, 2 (asymmetrische) -Verschlüsselung praktisch anwenden können, 3 die formale Definition eines PKE kennen und damit umgehen können, 4 den gängigen Begriff von Sicherheit gegenüber (passiven) Lauschern verstehen und die Wahl dieses Begriffes motivieren können, 5 verstehen, wieso PKE nicht perfekt sicher sein können, 6 verstehen, wieso sichere PKE nicht deterministisch verschlüsseln, 7 Varianten des Sicherheitsbegriffs vergleichen können Alexander Koch Asymmetrische Verschlüsselungsverfahren
15 Szenario mit PKE Alice möchte Bob eine private Nachricht schicken 1. Bob erzeugt Schlüsselpaar Alice Bob Eve Alexander Koch Asymmetrische Verschlüsselungsverfahren
16 Szenario mit PKE Alice möchte Bob eine private Nachricht schicken 2. Bob veröffentlicht 1. Bob erzeugt Schlüsselpaar Alice Bob Eve Alexander Koch Asymmetrische Verschlüsselungsverfahren
17 Szenario mit PKE Alice möchte Bob eine private Nachricht schicken 3. Alice verschlüsselt m: c Enc (m) Alice 2. Bob veröffentlicht Bob 1. Bob erzeugt Schlüsselpaar Eve Alexander Koch Asymmetrische Verschlüsselungsverfahren
18 Szenario mit PKE Alice möchte Bob eine private Nachricht schicken 2. Bob veröffentlicht 3. Alice verschlüsselt m: c Enc (m) 4. Versenden von c über unsicheren Kanal 1. Bob erzeugt Schlüsselpaar Alice Eve lauscht Bob Eve Alexander Koch Asymmetrische Verschlüsselungsverfahren
19 Szenario mit PKE Alice möchte Bob eine private Nachricht schicken 2. Bob veröffentlicht 3. Alice verschlüsselt m: c Enc (m) 4. Versenden von c über unsicheren Kanal 1. Bob erzeugt Schlüsselpaar 5. Bob entschlüsselt c: m := Dec (c) Alice Eve lauscht Bob Eve Eve kann aus, c nichts lernen Alexander Koch Asymmetrische Verschlüsselungsverfahren
20 Szenario mit PKE Alice möchte Bob eine private Nachricht schicken 2. Bob veröffentlicht 3. Alice verschlüsselt m: c Enc (m) 4. Versenden von c über unsicheren Kanal 1. Bob erzeugt Schlüsselpaar 5. Bob entschlüsselt c: m := Dec (c) Alice Eve lauscht Bob Eve Eve kann aus, c nichts lernen Frage: Welcher Schlüssel wird wo verwendet? Alexander Koch Asymmetrische Verschlüsselungsverfahren
21 Szenario mit PKE Alice möchte Bob eine private Nachricht schicken 3. Alice verschlüsselt m: c Enc pk (m) Alice 2. Bob veröffentlicht pk 4. Versenden von c über unsicheren Kanal Eve lauscht Bob 1. Bob erzeugt Schlüsselpaar 5. Bob entschlüsselt c: m := Dec sk (c) Eve Frage: Welcher Schlüssel wird wo verwendet? Eve kann aus pk, c nichts lernen Alexander Koch Asymmetrische Verschlüsselungsverfahren
22 Szenario mit PKE Alice möchte Bob eine private Nachricht schicken Alexander Koch Asymmetrische Verschlüsselungsverfahren
23 Szenario mit PKE Alice möchte Bob eine private Nachricht schicken 3. Alice verschlüsselt m: c Enc pk (m) Alice 2. Bob veröffentlicht pk 4. Versenden von c über unsicheren Kanal Eve lauscht Bob 1. Bob erzeugt Schlüsselpaar 5. Bob entschlüsselt c: m := Dec sk (c) Eve Eve kann aus pk, c nichts lernen Beachte: Für jeden Empfänger benötigen wir ein Schlüsselpaar. Symmetrisch: Je zwei Personen benötigen einen gem. Schlüssel Alexander Koch Asymmetrische Verschlüsselungsverfahren
24 Demo: GnuPG mit Enigmail Alexander Koch Asymmetrische Verschlüsselungsverfahren
25 Syntax eines PKE-Schemas Ein PKE-Schema besteht aus drei PPT 1 -Algorithmen: Schlüssel erzeugen. Gen(1 n ) erhält Sicherheitsparameter 1 n und gibt Schlüsselpaar (pk, sk) aus. Verschlüsseln. Enc pk (m) erhält öffentlichen Schlüssel pk und Nachricht m und gibt ein Chiffrat aus. Entschlüsseln. Dec sk (c) erhält geheimen Schlüssel sk und Chiffrat c und gibt die entschlüsselte Nachricht aus, oder falls nicht entschlüsselt werden konnte. 1 probabilistisch und polynomialzeitbeschränkt ˆ= effizient Alexander Koch Asymmetrische Verschlüsselungsverfahren
26 Korrektheit Das PKE-Schema entschlüsselt regulär erstellte Chiffrate korrekt, d.h. für alle (sk, pk) im Bild von Gen gilt Dec sk (Enc pk (m)) = m. Allgemeiner: Pr[Dec sk (Enc pk (m)) = m] ist vernachlässigbar (mit Wahrscheinlichkeit über Zufall von Gen und Enc). Wiederholung vernachlässigbar Eine Funktion f ist vernachlässigbar, wenn es für jedes Polynom p( ) ein N gibt, sodass für alle n > N gilt: f (n) < 1 p(n). f fällt asymptotisch schneller als der Kehrwert jedes Polynoms. 1 Frage: Warum nicht: f fällt schneller als 2O(n)? Alexander Koch Asymmetrische Verschlüsselungsverfahren
27 Korrektheit Das PKE-Schema entschlüsselt regulär erstellte Chiffrate korrekt, d.h. für alle (sk, pk) im Bild von Gen gilt Dec sk (Enc pk (m)) = m. Allgemeiner: Pr[Dec sk (Enc pk (m)) = m] ist vernachlässigbar (mit Wahrscheinlichkeit über Zufall von Gen und Enc). Wiederholung vernachlässigbar Eine Funktion f ist vernachlässigbar, wenn es für jedes Polynom p( ) ein N gibt, sodass für alle n > N gilt: f (n) < 1 p(n). f fällt asymptotisch schneller als der Kehrwert jedes Polynoms. 1 Frage: Warum nicht: f fällt schneller als 2O(n)? Alexander Koch Asymmetrische Verschlüsselungsverfahren
28 Korrektheit Das PKE-Schema entschlüsselt regulär erstellte Chiffrate korrekt, d.h. für alle (sk, pk) im Bild von Gen gilt Dec sk (Enc pk (m)) = m. Allgemeiner: Pr[Dec sk (Enc pk (m)) = m] ist vernachlässigbar (mit Wahrscheinlichkeit über Zufall von Gen und Enc). Wiederholung vernachlässigbar Eine Funktion f ist vernachlässigbar, wenn es für jedes Polynom p( ) ein N gibt, sodass für alle n > N gilt: f (n) < 1 p(n). f fällt asymptotisch schneller als der Kehrwert jedes Polynoms. 1 Frage: Warum nicht: f fällt schneller als 2O(n)? Alexander Koch Asymmetrische Verschlüsselungsverfahren
29 Korrektheit Das PKE-Schema entschlüsselt regulär erstellte Chiffrate korrekt, d.h. für alle (sk, pk) im Bild von Gen gilt Dec sk (Enc pk (m)) = m. Allgemeiner: Pr[Dec sk (Enc pk (m)) = m] ist vernachlässigbar (mit Wahrscheinlichkeit über Zufall von Gen und Enc). Wiederholung vernachlässigbar Eine Funktion f ist vernachlässigbar, wenn es für jedes Polynom p( ) ein N gibt, sodass für alle n > N gilt: f (n) < 1 p(n). f fällt asymptotisch schneller als der Kehrwert jedes Polynoms. 1 Frage: Warum nicht: f fällt schneller als 2O(n)? Antwort: unnötig/zu stark, wichtig v.a.: f vernachlässigbar, p Polynom = f p vernachlässigbar Alexander Koch Asymmetrische Verschlüsselungsverfahren
30 Wie Sicherheit definieren? Kein Angreifer kann, gegeben ein Chiffrat C Enc pk (M), die enthaltene Nachricht M ausgeben Alexander Koch Asymmetrische Verschlüsselungsverfahren
31 Wie Sicherheit definieren? Kein effizienter Angreifer kann, gegeben ein Chiffrat C Enc pk (M), die enthaltene Nachricht M mit nicht-vernachlässigbarer Wahrscheinlichkeit ausgeben. Bzw. Jeder effiziente Angreifer hat, gegeben ein Chiffrat C Enc pk (M), nur eine vernachlässigbare Wahrscheinlichkeit, die enthaltene Nachricht M auszugeben. Frage: Warum ist diese Sicherheitsdefinition viel zu schwach? Alexander Koch Asymmetrische Verschlüsselungsverfahren
32 Sicherheit gegen passive Lauscher Das IND-CPA-Sicherheitsspiel Herausforderer Angreifer pk Mit dem pk kann ich mir jetzt beliebige Chiffrate selbst erzeugen ich brauche also ein mögliches Verschlüsselungsorakel gar nicht... Angreifer gewinnt, wenn er errät, welche Nachricht in einem Chiffrat einer von zwei selbstgewählten Nachrichten steckt Alexander Koch Asymmetrische Verschlüsselungsverfahren
33 Sicherheit gegen passive Lauscher Das IND-CPA-Sicherheitsspiel Herausforderer Angreifer pk Welche beiden Nachrichten m 0, m 1 machen mir das Gewinnen am leichtesten? Angreifer gewinnt, wenn er errät, welche Nachricht in einem Chiffrat einer von zwei selbstgewählten Nachrichten steckt Alexander Koch Asymmetrische Verschlüsselungsverfahren
34 Sicherheit gegen passive Lauscher Das IND-CPA-Sicherheitsspiel Herausforderer Angreifer pk m 0, m 1, mit m 0 = m 1, m 0 = m 1 Welche beiden Nachrichten m 0, m 1 machen mir das Gewinnen am leichtesten? Angreifer gewinnt, wenn er errät, welche Nachricht in einem Chiffrat einer von zwei selbstgewählten Nachrichten steckt Alexander Koch Asymmetrische Verschlüsselungsverfahren
35 Sicherheit gegen passive Lauscher Das IND-CPA-Sicherheitsspiel Herausforderer Angreifer pk b {0, 1} c Enc pk (m b ) m 0, m 1, mit m 0 = m 1, m 0 = m 1 Angreifer gewinnt, wenn er errät, welche Nachricht in einem Chiffrat einer von zwei selbstgewählten Nachrichten steckt Alexander Koch Asymmetrische Verschlüsselungsverfahren
36 Sicherheit gegen passive Lauscher Das IND-CPA-Sicherheitsspiel Herausforderer Angreifer pk b {0, 1} c Enc pk (m b ) m 0, m 1, mit m 0 = m 1, m 0 = m 1 c Welche der beiden Nachrichten steckt wohl in c? Angreifer gewinnt, wenn er errät, welche Nachricht in einem Chiffrat einer von zwei selbstgewählten Nachrichten steckt Alexander Koch Asymmetrische Verschlüsselungsverfahren
37 Sicherheit gegen passive Lauscher Das IND-CPA-Sicherheitsspiel Herausforderer Angreifer pk b {0, 1} c Enc pk (m b ) m 0, m 1, mit m 0 = m 1, m 0 = m 1 c Welche der beiden Nachrichten steckt wohl in c? Ich vermute Nachricht m b... b Angreifer gewinnt, wenn er errät, welche Nachricht in einem Chiffrat einer von zwei selbstgewählten Nachrichten steckt Alexander Koch Asymmetrische Verschlüsselungsverfahren
38 Sicherheit gegen passive Lauscher Das IND-CPA-Sicherheitsspiel Herausforderer Angreifer pk b {0, 1} c Enc pk (m b ) m 0, m 1, mit m 0 = m 1, m 0 = m 1 c b b = b? Angreifer gewinnt, wenn er errät, welche Nachricht in einem Chiffrat einer von zwei selbstgewählten Nachrichten steckt. Also, wenn b = b Alexander Koch Asymmetrische Verschlüsselungsverfahren
39 Sicherheit gegen passive Lauscher Indistinguishability under Chosen-Plaintext Attacks Ein PKE-Schema ist sicher gegen Lauscher, bzw. IND-CPA-sicher, wenn für jeden effizienten Angreifer A der Gewinnvorteil gegenüber Raten (mit Fifty-fifty-Chance ) vernachlässigbar im Sicherheitsparameter n ist, d.h. Pr[A gewinnt] 1 2 f (n), für eine vernachlässigbare Funktion f Alexander Koch Asymmetrische Verschlüsselungsverfahren
40 Es gibt keine perfekte Sicherheit Im Gegensatz zur symmetrischen Verschlüsselung kann hier ein unbeschränkter Angreifer das System immer brechen. Wie? Alexander Koch Asymmetrische Verschlüsselungsverfahren
41 Es gibt keine perfekte Sicherheit Angriff durch unbeschränkten Angreifer Herausforderer Angreifer pk Alexander Koch Asymmetrische Verschlüsselungsverfahren
42 Es gibt keine perfekte Sicherheit Angriff durch unbeschränkten Angreifer Herausforderer Angreifer pk m 0, m 1, mit m 0 = m 1, m 0 = m 1 ruft Gen(1 n ) auf, bis (pk, sk) ausgegeben wird, wählt m 0, m 1 beliebig Alexander Koch Asymmetrische Verschlüsselungsverfahren
43 Es gibt keine perfekte Sicherheit Angriff durch unbeschränkten Angreifer Herausforderer Angreifer b {0, 1} c Enc pk (m b ) pk m 0, m 1, mit m 0 = m 1, m 0 = m 1 c ruft Gen(1 n ) auf, bis (pk, sk) ausgegeben wird, wählt m 0, m 1 beliebig Alexander Koch Asymmetrische Verschlüsselungsverfahren
44 Es gibt keine perfekte Sicherheit Angriff durch unbeschränkten Angreifer Herausforderer Angreifer b {0, 1} c Enc pk (m b ) pk m 0, m 1, mit m 0 = m 1, m 0 = m 1 c b ruft Gen(1 n ) auf, bis (pk, sk) ausgegeben wird, wählt m 0, m 1 beliebig m := Dec sk (c ), Ist m = m 0? ja: b := 0, nein: b := 1 b = b? Alexander Koch Asymmetrische Verschlüsselungsverfahren
45 Es gibt keine perfekte Sicherheit Angriff durch unbeschränkten Angreifer Herausforderer Angreifer b {0, 1} c Enc pk (m b ) pk m 0, m 1, mit m 0 = m 1, m 0 = m 1 c b ruft Gen(1 n ) auf, bis (pk, sk) ausgegeben wird, wählt m 0, m 1 beliebig m := Dec sk (c ), Ist m = m 0? ja: b := 0, nein: b := 1 b = b? Angreifer gewinnt immer, aber läuft vermutlich sehr lange Alexander Koch Asymmetrische Verschlüsselungsverfahren
46 Deterministische PKE sind unsicher Wenn der Enc-Algorithmus deterministisch ist, ist das Verfahren unsicher. Wieso? Alexander Koch Asymmetrische Verschlüsselungsverfahren
47 Deterministische PKE sind unsicher Herausforderer Angreifer pk Idee: Angreifer verschlüsselt einfach selbst die Nachrichten und vergleicht mit c Alexander Koch Asymmetrische Verschlüsselungsverfahren
48 Deterministische PKE sind unsicher Herausforderer Angreifer b {0, 1} c := Enc pk (m b ) pk m 0, m 1, mit m 0 = m 1, m 0 = m 1 c wählt m 0, m 1 beliebig Idee: Angreifer verschlüsselt einfach selbst die Nachrichten und vergleicht mit c Alexander Koch Asymmetrische Verschlüsselungsverfahren
49 Deterministische PKE sind unsicher Herausforderer Angreifer b {0, 1} c := Enc pk (m b ) pk m 0, m 1, mit m 0 = m 1, m 0 = m 1 c b wählt m 0, m 1 beliebig Ist c = Enc pk (m 0 )? ja: b := 0, nein: b := 1 b = b? Idee: Angreifer verschlüsselt einfach selbst die Nachrichten und vergleicht mit c Alexander Koch Asymmetrische Verschlüsselungsverfahren
50 Deterministische PKE sind unsicher Herausforderer Angreifer b {0, 1} c := Enc pk (m b ) pk m 0, m 1, mit m 0 = m 1, m 0 = m 1 c b wählt m 0, m 1 beliebig Ist c = Enc pk (m 0 )? ja: b := 0, nein: b := 1 b = b? Insbesondere: Das Lehrbuch-RSA-Schema (letzte Vorlesung) ist nicht sicher! Nächste Vorlesung: Wie gehts sicher (und effizient)? Alexander Koch Asymmetrische Verschlüsselungsverfahren
51 Sicherheit bei mehreren Chiffraten Was ist, wenn mehr als eine Nachricht verschlüsselt wird? Herausforderer Angreifer pk (m 1 0,..., mt 0 ), (m1 1,..., mt 1 ) Alexander Koch Asymmetrische Verschlüsselungsverfahren
52 Sicherheit bei mehreren Chiffraten Was ist, wenn mehr als eine Nachricht verschlüsselt wird? Herausforderer Angreifer pk b {0, 1} i : c i Enc pk (m i b ) (m 1 0,..., mt 0 ), (m1 1,..., mt 1 ) Alexander Koch Asymmetrische Verschlüsselungsverfahren
53 Sicherheit bei mehreren Chiffraten Was ist, wenn mehr als eine Nachricht verschlüsselt wird? Herausforderer Angreifer pk b {0, 1} i : c i Enc pk (m i b ) (m 1 0,..., mt 0 ), (m1 1,..., mt 1 ) C = (c 1,..., c t ) Alexander Koch Asymmetrische Verschlüsselungsverfahren
54 Sicherheit bei mehreren Chiffraten Was ist, wenn mehr als eine Nachricht verschlüsselt wird? Herausforderer Angreifer pk b {0, 1} i : c i Enc pk (m i b ) (m 1 0,..., mt 0 ), (m1 1,..., mt 1 ) C = (c 1,..., c t ) b b = b? Alexander Koch Asymmetrische Verschlüsselungsverfahren
55 Sicherheit bei mehreren Chiffraten Was ist, wenn mehr als eine Nachricht verschlüsselt wird? Herausforderer Angreifer pk b {0, 1} i : c i Enc pk (m i b ) (m 1 0,..., mt 0 ), (m1 1,..., mt 1 ) C = (c 1,..., c t ) b b = b? IND-CPA-sicher für mehrere Chiffrate: Für jeden effizienten Angreifer A ist Pr[A gewinnt] 1 2 vernachlässigbar in n Alexander Koch Asymmetrische Verschlüsselungsverfahren
56 Sicherheit für mehrere Chiffrate nicht stärker Proposition Ein IND-CPA-sicheres PKE-Schema ist auch IND-CPA-sicher für mehrere Chiffrate. Beweis. Per Reduktion: Aus einem beliebigen PPT-Angreifer A auf das IND-CPA-Sicherheitsexperiment für mehrere Chiffrate konstruieren wir einen PPT-Angreifer B auf die IND-CPA-Sicherheit (für einzelne Chiffrate). Reduktion auf nächster Folie und Tafel, bzw. Katz Lindell, Alexander Koch Asymmetrische Verschlüsselungsverfahren
57 Reduktion mit Hybridargument Herausforderer B pk pk A m i 0, mi 1, mit i {1,..., t} (m1 0,..., mt 0 ), (m1 1,..., mt 1 ) Alexander Koch Asymmetrische Verschlüsselungsverfahren
58 Reduktion mit Hybridargument Herausforderer B pk pk A b {0, 1} c i Enc pk (m i b ) m i 0, mi 1, mit i {1,..., t} (m1 0,..., mt 0 ), (m1 1,..., mt 1 ) Alexander Koch Asymmetrische Verschlüsselungsverfahren
59 Reduktion mit Hybridargument Herausforderer B pk pk A b {0, 1} c i Enc pk (m i b ) m i 0, mi 1, mit i {1,..., t} (m1 0,..., mt 0 ), (m1 1,..., mt 1 ) c i Alexander Koch Asymmetrische Verschlüsselungsverfahren
60 Reduktion mit Hybridargument Herausforderer B pk pk A b {0, 1} c i Enc pk (m i b ) m i 0, mi 1, mit i {1,..., t} (m1 0,..., mt 0 ), (m1 1,..., mt 1 ) c i Erzeuge fehlende c j 2(c 1,..., c t ) 2 für j < i, berechne c j Enc pk (m j 0 ); für j > i berechne c j Enc pk (m j 1 ) Alexander Koch Asymmetrische Verschlüsselungsverfahren
61 Reduktion mit Hybridargument Herausforderer B pk pk A b {0, 1} c i Enc pk (m i b ) m i 0, mi 1, mit i {1,..., t} (m1 0,..., mt 0 ), (m1 1,..., mt 1 ) c i Erzeuge fehlende c j 2(c 1,..., c t ) b b b = b? 2 für j < i, berechne c j Enc pk (m j 0 ); für j > i berechne c j Enc pk (m j 1 ) Alexander Koch Asymmetrische Verschlüsselungsverfahren
62 Bitverschlüsselung reicht aus Gegeben ein PKE-Schema Π = (Gen, Enc, Dec), dass Bits IND-CPA-sicher verschlüsselt, können wir daraus ein PKE-Schema Π = (Gen, Enc, Dec ) konstruieren, dass beliebige Nachrichten aus {0, 1} IND-CPA-sicher verschlüsseln kann: Enc pk (m) = Enc pk (m 1 ),..., Enc pk (m t ) Alexander Koch Asymmetrische Verschlüsselungsverfahren
63 Zusammenfassung 1 PKE-Schema: PPT-Algorithmen (Gen(1 n ), Enc pk (m), Dec sk (c)) 2 IND-CPA-Sicherheit: Kein effizienter Angreifer kann mit mehr als vernachlässigbarer Wahrscheinlichkeit Chiffrate zweier selbstgewählter, gleichlanger Nachrichten unterscheiden 3 Bei unbeschränktem Angreifer unsicher 4 Verschlüsseln zwingend probabilistisch 5 Sicherheit automatisch für viele Chiffrate Bilder: XKCD, CC-BY-NC Alexander Koch Asymmetrische Verschlüsselungsverfahren
64 Zusammenfassung 1 PKE-Schema: PPT-Algorithmen (Gen(1 n ), Enc pk (m), Dec sk (c)) 2 IND-CPA-Sicherheit: Kein effizienter Angreifer kann mit mehr als vernachlässigbarer Wahrscheinlichkeit Chiffrate zweier selbstgewählter, gleichlanger Nachrichten unterscheiden 3 Bei unbeschränktem Angreifer unsicher 4 Verschlüsseln zwingend probabilistisch 5 Sicherheit automatisch für viele Chiffrate Vielen Dank für Ihre Aufmerksamkeit. Quelle: Katz und Lindell (2007, Kap exkl.) Bilder: XKCD, CC-BY-NC Alexander Koch Asymmetrische Verschlüsselungsverfahren
65 References Katz, J. und Y. Lindell (2007). Introduction to Modern Cryptography. Chapman und Hall/CRC Press. Randall Munroe. XKCD comic figures from CC-BY-NC Alexander Koch Asymmetrische Verschlüsselungsverfahren
Sicherheit von ElGamal
Sicherheit von ElGamal Satz CPA-Sicherheit ElGamal ElGamal Π ist CPA-sicher unter der DDH-Annahme. Beweis: Sei A ein Angreifer auf ElGamal Π mit Erfolgsws ɛ(n) := Ws[PubK cpa A,Π (n) = 1]. Wir konstruieren
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 06.05.2013 1 / 25 Überblick 1 Hashfunktionen Erinnerung Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel:
MehrSicherheit von hybrider Verschlüsselung
Sicherheit von hybrider Verschlüsselung Satz Sicherheit hybrider Verschlüsselung Sei Π ein CPA-sicheres PK-Verschlüsselungsverfahren und Π ein KPA-sicheres SK-Verschlüsselungsverfahren. Dann ist das hybride
MehrKryptographie I Symmetrische Kryptographie
Kryptographie I Symmetrische Kryptographie Alexander May Fakultät für Mathematik Ruhr-Universität Bochum Wintersemester 2010/11 Krypto I - Vorlesung 01-11.10.2010 Verschlüsselung, Kerckhoffs, Angreifer,
MehrElGamal Verschlüsselungsverfahren (1984)
ElGamal Verschlüsselungsverfahren (1984) Definition ElGamal Verschlüsselungsverfahren Sei n ein Sicherheitsparameter. 1 Gen : (q, g) G(1 n ), wobei g eine Gruppe G der Ordnung q generiert. Wähle x R Z
MehrVorlesung Sicherheit
Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 20.04.2014 1 / 28 Überblick 1 Blockchiffren Erinnerung Angriffe auf Blockchiffren 2 Formalisierung
Mehr3: Zahlentheorie / Primzahlen
Stefan Lucks Diskrete Strukturen (WS 2009/10) 96 3: Zahlentheorie / Primzahlen 3: Zahlentheorie / Primzahlen Stefan Lucks Diskrete Strukturen (WS 2009/10) 97 Definition 37 (Teiler, Vielfache, Primzahlen,
MehrVoll homomorpe Verschlüsselung
Voll homomorpe Verschlüsselung Definition Voll homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : R R für Ringe R, R. Π heißt voll homomorph, falls 1 Enc(m 1 ) + Enc(m 2 ) eine gültige
MehrKrypto-Begriffe U23 Krypto-Mission
Krypto-Begriffe -Mission florob Simon e.v. http://koeln.ccc.de 4. Oktober 2015 Was ist Kryptographie? Griechisch: κρυπτος (verborgen) + γραϕειν (schreiben) Mittel und Wege: Verschlüsseln einer Nachricht
MehrDigitale Unterschriften mit ElGamal
Digitale Unterschriften mit ElGamal Seminar Kryptographie und Datensicherheit Institut für Informatik Andreas Havenstein Inhalt Einführung RSA Angriffe auf Signaturen und Verschlüsselung ElGamal Ausblick
MehrPublic-Key-Kryptographie
Kapitel 2 Public-Key-Kryptographie In diesem Kapitel soll eine kurze Einführung in die Kryptographie des 20. Jahrhunderts und die damit verbundene Entstehung von Public-Key Verfahren gegeben werden. Es
MehrKryptograhie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik
Kryptograhie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik Übersicht Zwecke der Krytographie Techniken Symmetrische Verschlüsselung( One-time Pad,
MehrVerschlüsselung. Chiffrat. Eve
Das RSA Verfahren Verschlüsselung m Chiffrat m k k Eve? Verschlüsselung m Chiffrat m k k Eve? Aber wie verteilt man die Schlüssel? Die Mafia-Methode Sender Empfänger Der Sender verwendet keine Verschlüsselung
MehrKryptographie II. Introduction to Modern Cryptography. Jonathan Katz & Yehuda Lindell
Kryptographie II Introduction to Modern Cryptography Jonathan Katz & Yehuda Lindell Universität zu Köln, WS 13/14 Medienkulturwissenschaft / Medieninformatik AM2: Humanities Computer Science Aktuelle Probleme
MehrWiederholung. Symmetrische Verfahren: klassische Verfahren / grundlegende Prinzipien: Substitution, Transposition, One-Time-Pad DES AES
Wiederholung Symmetrische Verfahren: klassische Verfahren / grundlegende Prinzipien: Substitution, Transposition, One-Time-Pad DES AES Mathematische Grundlagen: algebraische Strukturen: Halbgruppe, Monoid,
MehrDiffie-Hellman, ElGamal und DSS. Vortrag von David Gümbel am 28.05.2002
Diffie-Hellman, ElGamal und DSS Vortrag von David Gümbel am 28.05.2002 Übersicht Prinzipielle Probleme der sicheren Nachrichtenübermittlung 'Diskreter Logarithmus'-Problem Diffie-Hellman ElGamal DSS /
MehrKryptographie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik
Kryptographie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik Übersicht Zwecke der Kryptographie Techniken Symmetrische Verschlüsselung (One-time Pad,
MehrDigitale Unterschriften Grundlagen der digitalen Unterschriften Hash-Then-Sign Unterschriften Public-Key Infrastrukturen (PKI) Digitale Signaturen
Sommersemester 2008 Digitale Unterschriften Unterschrift von Hand : Physikalische Verbindung mit dem unterschriebenen Dokument (beides steht auf dem gleichen Blatt). Fälschen erfordert einiges Geschick
MehrPublic-Key-Verschlüsselung und Diskrete Logarithmen
Public-Key-Verschlüsselung und Diskrete Logarithmen Carsten Baum Institut für Informatik Universität Potsdam 10. Juni 2009 1 / 30 Inhaltsverzeichnis 1 Mathematische Grundlagen Gruppen, Ordnung, Primitivwurzeln
MehrGrundbegriffe der Kryptographie II Technisches Seminar SS 2012 Deniz Bilen
Grundbegriffe der Kryptographie II Technisches Seminar SS 2012 Deniz Bilen Agenda 1. Kerckhoff sches Prinzip 2. Kommunikationsszenario 3. Wichtige Begriffe 4. Sicherheitsmechanismen 1. Symmetrische Verschlüsselung
MehrPublic-Key Kryptographie mit dem RSA Schema. Torsten Büchner
Public-Key Kryptographie mit dem RSA Schema Torsten Büchner 7.12.2004 1.Einleitung 1. symmetrische-, asymmetrische Verschlüsselung 2. RSA als asymmetrisches Verfahren 2.Definition von Begriffen 1. Einwegfunktionen
Mehr10. Public-Key Kryptographie
Stefan Lucks 10. PK-Krypto 274 orlesung Kryptographie (SS06) 10. Public-Key Kryptographie Analyse der Sicherheit von PK Kryptosystemen: Angreifer kennt öffentlichen Schlüssel Chosen Plaintext Angriffe
MehrBjörn Kaidel Bjoern.Kaidel@kit.edu Alexander Koch Alexander.Koch@kit.edu 23.04.2015
Übung zur Vorlesung Sicherheit Übung 1 Björn Kaidel Bjoern.Kaidel@kit.edu Alexander Koch Alexander.Koch@kit.edu 23.04.2015 1 / 31 Sicherheit Literatur zur Vorlesung Jonathan Katz, Yehuda Lindell. Introduction
MehrMitschrift Vorlesung Einführung in die Kryptographie vom 18. Januar 2011
Mitschrift Vorlesung Einführung in die Kryptographie vom 18. Januar 2011 Dominic Scheurer 6. Februar 2012 Inhaltsverzeichnis 30 Digitale Signaturen (cont'd) - One-Time-Signaturen (OTS) 1 31 Public-Key-Verschlüsselung
MehrWiederholung Symmetrische Verschlüsselung klassische Verfahren: Substitutionschiffren Transpositionschiffren Vigenère-Chiffre One-Time-Pad moderne
Wiederholung Symmetrische Verschlüsselung klassische Verfahren: Substitutionschiffren Transpositionschiffren Vigenère-Chiffre One-Time-Pad moderne Verfahren: DES (Feistel-Chiffre) mehrfache Wiederholung
MehrÜbungen zu. Grundlagen der Kryptologie SS 2008. Hochschule Konstanz. Dr.-Ing. Harald Vater. Giesecke & Devrient GmbH Prinzregentenstraße 159
Übungen zu Grundlagen der Kryptologie SS 2008 Hochschule Konstanz Dr.-Ing. Harald Vater Giesecke & Devrient GmbH Prinzregentenstraße 159 D-81677 München Tel.: +49 89 4119-1989 E-Mail: hvater@htwg-konstanz.de
MehrVortrag zum Proseminar: Kryptographie
Vortrag zum Proseminar: Kryptographie Thema: Oliver Czernik 6.12.2005 Historie Michael Rabin Professor für Computerwissenschaft Miller-Rabin-Primzahltest Januar 1979 April 1977: RSA Asymmetrisches Verschlüsselungssystem
MehrKap. 2: Fail-Stop Unterschriften
Stefan Lucks 2: Fail-Stop Unterschriften 17 Digital Unterschreiben und Bezahlen Kap. 2: Fail-Stop Unterschriften Digitale Unterschriften (Synomym: Digitale Signaturen ): Fälschen mutmaßlich hart (RSA-Wurzeln,
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 13.05.2013 1 / 16 Überblick 1 Asymmetrische Verschlüsselung Erinnerung Andere Verfahren Demonstration Zusammenfassung 2 Symmetrische Authentifikation von Nachrichten
MehrGrundlagen der Kryptographie
Grundlagen der Kryptographie Seminar zur Diskreten Mathematik SS2005 André Latour a.latour@fz-juelich.de 1 Inhalt Kryptographische Begriffe Primzahlen Sätze von Euler und Fermat RSA 2 Was ist Kryptographie?
MehrNetzwerktechnologien 3 VO
Netzwerktechnologien 3 VO Univ.-Prof. Dr. Helmut Hlavacs helmut.hlavacs@univie.ac.at Dr. Ivan Gojmerac gojmerac@ftw.at Bachelorstudium Medieninformatik SS 2012 Kapitel 8 - Netzwerksicherheit 8.1 Was ist
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 26.05.2014 1 / 32 Überblick 1 Hinweis 2 Asymmetrische Authentifikation von Nachrichten Erinnerung RSA als Signaturschema ElGamal-Signaturen Hash-Then-Sign
MehrDas RSA Kryptosystem
Kryptografie Grundlagen RSA Institut für Mathematik Technische Universität Berlin Kryptografie Grundlagen RSA mit geheimem mit öffentlichem Schlüssel Realisierung Kryptografie mit geheimem Schlüssel Alice
MehrVorkurs für. Studierende in Mathematik und Physik. Einführung in Kryptographie Kurzskript 2015
Vorkurs für Studierende in Mathematik und Physik Einführung in Kryptographie Kurzskript 2015 Felix Fontein Institut für Mathematik Universität Zürich Winterthurerstrasse 190 8057 Zürich 11. September 2015
MehrKapitel 3: Etwas Informationstheorie
Stefan Lucks 3: Informationstheorie 28 orlesung Kryptographie (SS06) Kapitel 3: Etwas Informationstheorie Komplexitätstheoretische Sicherheit: Der schnellste Algorithmus, K zu knacken erfordert mindestens
MehrSicherer MAC für Nachrichten beliebiger Länge
Sicherer MAC für Nachrichten beliebiger Länge Korollar Sicherer MAC für Nachrichten beliebiger Länge Sei F eine Pseudozufallsfunktion. Dann ist Π MAC2 für Π = Π MAC sicher. Nachteile: Für m ({0, 1} n 4
MehrStefan Lucks Krypto und Mediensicherheit (2009) 4: Stromchiffren
4: Stromchiffren Zwei Grundbausteine der symmetrischen Kryptographie: Stromchiffren Verschlüsseln beliebig langer Klartexte, interner Zustand Blockchiffren Verschlüsseln von Blocks einer festen Größe,
Mehr8. Von den Grundbausteinen zu sicheren Systemen
Stefan Lucks 8. Grundb. sich. Syst. 211 orlesung Kryptographie (SS06) 8. Von den Grundbausteinen zu sicheren Systemen Vorlesung bisher: Bausteine für Kryptosysteme. Dieses Kapitel: Naiver Einsatz der Bausteine
MehrHomomorphe Verschlüsselung
Homomorphe Verschlüsselung Definition Homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : G G für Gruppen G, G. Π heißt homomorph, falls Enc(m 1 ) G Enc(m 2 ) eine gültige Verschlüsselung
MehrTechnikseminar SS2012
Technikseminar SS2012 ECC - Elliptic Curve Cryptography Kryptosysteme basierend auf elliptischen Kurven 11.06.2012 Gliederung Was ist ECC? ECC und andere Verfahren Diffie-Hellman-Schlüsselaustausch Funktionsweise
MehrKonzepte. SelfLinux Autor: Mike Ashley () Formatierung: Matthias Hagedorn Lizenz: GFDL
Konzepte Autor: Mike Ashley () Formatierung: Matthias Hagedorn (matthias.hagedorn@selflinux.org) Lizenz: GFDL GnuPG verwendet mehrere kryptographische Verfahren wie beispielsweise symmetrische Verschlüsselung,
MehrKryptographie. nur mit. Freier Software!
Michael Stehmann Kryptographie nur mit Freier Software! Kurze Einführung in Kryptographie ErsterTeil: Bei der Kryptographie geht es um die Zukunft von Freiheit und Demokratie Artur P. Schmidt, 1997 http://www.heise.de/tp/artikel/1/1357/1.html
MehrName:... Vorname:... Matrikel-Nr.:... Studienfach:...
Stefan Lucks Medien Bauhaus-Univ. Weimar Probeklausur Name:.............................. Vorname:........................... Matrikel-Nr.:....................... Studienfach:........................ Wichtige
MehrIT-Sicherheit: Kryptographie. Asymmetrische Kryptographie
IT-Sicherheit: Kryptographie Asymmetrische Kryptographie Fragen zur Übung 5 C oder Java? Ja (gerne auch Python); Tips waren allerdings nur für C Wie ist das mit der nonce? Genau! (Die Erkennung und geeignete
MehrEine Praxis-orientierte Einführung in die Kryptographie
Eine Praxis-orientierte Einführung in die Kryptographie Mag. Lukas Feiler, SSCP lukas.feiler@lukasfeiler.com http://www.lukasfeiler.com/lectures_brg9 Verschlüsselung & Entschlüsselung Kryptographie & Informationssicherheit
MehrBetriebssysteme und Sicherheit
Betriebssysteme und Sicherheit Signatursysteme WS 2013/2014 Dr.-Ing. Elke Franz Elke.Franz@tu-dresden.de 1 Überblick 1 Prinzip digitaler Signatursysteme 2 Vergleich symmetrische / asymmetrische Authentikation
MehrComputeralgebra in der Lehre am Beispiel Kryptografie
Kryptografie Grundlagen RSA KASH Computeralgebra in der Lehre am Beispiel Kryptografie Institut für Mathematik Technische Universität Berlin Kryptografie Grundlagen RSA KASH Überblick Kryptografie mit
MehrAnleitung Thunderbird Email Verschlu sselung
Anleitung Thunderbird Email Verschlu sselung Christoph Weinandt, Darmstadt Vorbemerkung Diese Anleitung beschreibt die Einrichtung des AddOn s Enigmail für den Mailclient Thunderbird. Diese Anleitung gilt
MehrVorlesung Datensicherheit. Sommersemester 2010
Vorlesung Datensicherheit Sommersemester 2010 Harald Baier Kapitel 3: Hashfunktionen und asymmetrische Verfahren Inhalt Hashfunktionen Asymmetrische kryptographische Verfahren Harald Baier Datensicherheit
MehrVerfügbarkeit (Schutz vor Verlust) Vertraulichkeit (Schutz vor unbefugtem Lesen) Authentizität (Schutz vor Veränderung, Fälschung)
Was bisher geschah Sicherheitsziele: Verfügbarkeit (Schutz vor Verlust) Vertraulichkeit (Schutz vor unbefugtem Lesen) Authentizität (Schutz vor Veränderung, Fälschung) von Information beim Speichern und
MehrElementare Zahlentheorie II
Schülerzirel Mathemati Faultät für Mathemati. Universität Regensburg Elementare Zahlentheorie II Der Satz von Euler-Fermat und die RSA-Verschlüsselung Die Mathemati ist die Königin der Wissenschaften,
MehrAsymmetrische. Verschlüsselungsverfahren. erarbeitet von: Emilia Winkler Christian-Weise-Gymnasium Zittau
Asymmetrische Verschlü erarbeitet von: Emilia Winkler Christian-Weise-Gymnasium Zittau Gliederung 1) Prinzip der asymmetrischen Verschlü 2) Vergleich mit den symmetrischen Verschlü (Vor- und Nachteile)
Mehr9 Schlüsseleinigung, Schlüsselaustausch
9 Schlüsseleinigung, Schlüsselaustausch Ziel: Sicherer Austausch von Schlüsseln über einen unsicheren Kanal initiale Schlüsseleinigung für erste sichere Kommunikation Schlüsselerneuerung für weitere Kommunikation
MehrEinführung in PGP/GPG Mailverschlüsselung
Einführung in PGP/GPG Mailverschlüsselung Vorweg bei Unklarheiten gleich fragen Einsteiger bestimmen das Tempo helft wo Ihr könnt, niemand ist perfekt Don't Panic! Wir haben keinen Stress! Diese Präsentation
MehrRSA Verfahren. Kapitel 7 p. 103
RSA Verfahren RSA benannt nach den Erfindern Ron Rivest, Adi Shamir und Leonard Adleman war das erste Public-Key Verschlüsselungsverfahren. Sicherheit hängt eng mit der Schwierigkeit zusammen, große Zahlen
MehrKryptologie. Bernd Borchert. Univ. Tübingen WS 15/16. Vorlesung. Teil 1a. Historische Verschlüsselungsverfahren
ryptologie Bernd Borchert Univ. Tübingen WS 15/16 Vorlesung Teil 1a Historische Verschlüsselungsverfahren ryptologie vom Umgang mit Geheimnissen Drei Zielrichtungen der ryptologie: Vertraulichkeit Verschlüsseln
Mehrn ϕ n
1 3. Teiler und teilerfremde Zahlen Euler (1707-1783, Gymnasium und Universität in Basel, Professor für Physik und Mathematik in Petersburg und Berlin) war nicht nur einer der produktivsten Mathematiker
MehrHomomorphe Verschlüsselung
Homomorphe Verschlüsselung Sophie Friedrich, Nicholas Höllermeier, Martin Schwaighofer 11. Juni 2012 Inhaltsverzeichnis Einleitung Motivation Mathematische Definitionen Wiederholung Gruppe Ring Gruppenhomomorphisums
MehrWorkshop Experimente zur Kryptographie
Fakultät Informatik, Institut Systemarchitektur, Professur Datenschutz und Datensicherheit Workshop Experimente zur Kryptographie Sebastian Clauß Dresden, 23.03.2011 Alltägliche Anwendungen von Kryptographie
MehrAlgorithmische Kryptographie
Algorithmische Kryptographie Walter Unger, Dirk Bongartz Lehrstuhl für Informatik I 27. Januar 2005 Teil I Mathematische Grundlagen Welche klassischen Verfahren gibt es? Warum heissen die klassischen Verfahren
MehrVorlesung Diskrete Strukturen Gruppe und Ring
Vorlesung Diskrete Strukturen Gruppe und Ring Bernhard Ganter Institut für Algebra TU Dresden D-01062 Dresden bernhard.ganter@tu-dresden.de WS 2009/10 1 Bernhard Ganter, TU Dresden Modul Einführung in
MehrE-Mail-Verschlüsselung
E-Mail-Verschlüsselung German Privacy Foundation e.v. Schulungsreihe»Digitales Aikido«Workshop am 15.04.2009 Jan-Kaspar Münnich (jan.muennich@dotplex.de) Übertragung von E-Mails Jede E-Mail passiert mindestens
MehrSchutz von Informationen bei Übertragung über unsichere Kanäle Beispiele für zu schützende Informationen
Kryptographie Motivation Schutz von Informationen bei Übertragung über unsichere Kanäle Beispiele für zu schützende Informationen Geheimzahlen (Geldkarten, Mobiltelefon) Zugriffsdaten (Login-Daten, Passwörter)
MehrBernd Blümel. Verschlüsselung. Prof. Dr. Blümel
Bernd Blümel 2001 Verschlüsselung Gliederung 1. Symetrische Verschlüsselung 2. Asymetrische Verschlüsselung 3. Hybride Verfahren 4. SSL 5. pgp Verschlüsselung 111101111100001110000111000011 1100110 111101111100001110000111000011
MehrInstitut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Klausur
Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz IKS Institut für Kryptographie und Sicherheit Stammvorlesung Sicherheit im Sommersemester 2013 Klausur 26.07.2013 Vorname: Nachname:
MehrCryptoparty: Einführung
Cryptoparty: Einführung Eine Einführung in E-Mail-Sicherheit mit GPG ifsr TU Dresden 22. Januar 2015 Zum Verlauf der Veranstaltung oder: Willkommen! Dreiteilige Veranstaltung 1. Zuerst: Konzeptuelle Einführung
MehrAsymmetrische Kryptographie u
Asymmetrische Kryptographie u23 2015 Simon, Florob e.v. https://koeln.ccc.de Cologne 2015-10-05 1 Zahlentheorie Modulare Arithmetik Algebraische Strukturen Referenzprobleme 2 Diffie-Hellman Diffie-Hellman-Schlüsselaustausch
MehrBetriebsarten für Blockchiffren
Betriebsarten für Blockchiffren Prof. Dr. Rüdiger Weis TFH Berlin Sommersemester 2008 Betriebsarten für Blockchiffren Was ist eine Betriebsart (engl. Mode of Operation )? Blockchiffre wird genutzt, um
MehrQuantenkryptographie
Quantenkryptographie Tobias Mühlbauer Technische Universität München Hauptseminar Kryptographische Protokolle 2009 Outline 1 Motivation Klassische Kryptographie Alternativen zur klassischen Kryptographie
Mehr11. Das RSA Verfahren und andere Verfahren
Chr.Nelius: Kryptographie (SS 2011) 31 11. Das RSA Verfahren und andere Verfahren Eine konkrete Realisierung eines Public Key Kryptosystems ist das sog. RSA Verfahren, das im Jahre 1978 von den drei Wissenschaftlern
MehrDas RSA-Verfahren. Armin Litzel. Proseminar Kryptographische Protokolle SS 2009
Das RSA-Verfahren Armin Litzel Proseminar Kryptographische Protokolle SS 2009 1 Einleitung RSA steht für die drei Namen Ronald L. Rivest, Adi Shamir und Leonard Adleman und bezeichnet ein von diesen Personen
MehrEffizienten MAC-Konstruktion aus der Praxis: NMAC Idee von NMAC:
Effizienten MAC-Konstruktion aus der Praxis: NMAC Idee von NMAC: Hashe m {0, 1} auf einen Hashwert in {0, 1} n. Verwende Π MAC3 für Nachrichten fixer Länge auf dem Hashwert. Wir konstruieren Π MAC3 mittels
MehrDigitale Signaturen. Sven Tabbert
Digitale Signaturen Sven Tabbert Inhalt: Digitale Signaturen 1. Einleitung 2. Erzeugung Digitaler Signaturen 3. Signaturen und Einweg Hashfunktionen 4. Digital Signature Algorithmus 5. Zusammenfassung
MehrKryptografie & Kryptoanalyse. Eine Einführung in die klassische Kryptologie
Kryptografie & Kryptoanalyse Eine Einführung in die klassische Kryptologie Ziele Anhand historischer Verschlüsselungsverfahren Grundprinzipien der Kryptografie kennen lernen. Klassische Analysemethoden
MehrExkurs Kryptographie
Exkurs Kryptographie Am Anfang Konventionelle Krytographie Julius Cäsar mißtraute seinen Boten Ersetzen der Buchstaben einer Nachricht durch den dritten folgenden im Alphabet z. B. ABCDEFGHIJKLMNOPQRSTUVWXYZ
MehrBeweisbar sichere Verschlüsselung 1
Beweisbar sichere Verschlüsselung 1 zu ufgabe 1.1 Sei K, E, D ein Verschlüsselungsschema mit einer Plaintext-Menge M = {0, 1} l, l 1. Nehmen wir an, dieses Verschlüsselungsschema sei völlig unsicher in
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 05.06.2014 1 / 35 Überblick 1 Schlüsselaustauschprotokolle Symmetrische Verfahren Asymmetrische Verfahren Transport Layer Security (TLS) 2 / 35 Überblick 1
MehrDigitale Selbstverteidigung
Verschlüsselte Kommunikation für Politgruppen 15. Januar 2013 Gliederung 1 2 3 4 5 6 Grundlagen Grundlagen Schema Deshalb verschlüsseln Emails werden unverschlüsselt übertragen Analogie: Postkarte Unterschied
MehrIT-Sicherheit Kapitel 3 Public Key Kryptographie
IT-Sicherheit Kapitel 3 Public Key Kryptographie Dr. Christian Rathgeb Sommersemester 2013 1 Einführung In der symmetrischen Kryptographie verwenden Sender und Empfänger den selben Schlüssel die Teilnehmer
MehrSSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites zu beschäftigen
SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites zu beschäftigen Immo FaUl Wehrenberg immo@ctdo.de Chaostreff Dortmund 16. Juli 2009 Immo FaUl Wehrenberg immo@ctdo.de (CTDO) SSL/TLS Sicherheit
MehrVerschlüsselung. Kirchstraße 18 Steinfelderstraße 53 76831 Birkweiler 76887 Bad Bergzabern. 12.10.2011 Fabian Simon Bfit09
Verschlüsselung Fabian Simon BBS Südliche Weinstraße Kirchstraße 18 Steinfelderstraße 53 76831 Birkweiler 76887 Bad Bergzabern 12.10.2011 Fabian Simon Bfit09 Inhaltsverzeichnis 1 Warum verschlüsselt man?...3
MehrKapitel 4: Flusschiffren
Stefan Lucks 4: Flusschiffren 52 orlesung Kryptographie (SS06) Kapitel 4: Flusschiffren Als Basis-Baustein zur Verschlüsselung von Daten dienen Fluss- und Blockchiffren. Der Unterschied: Flusschiffren
MehrWas ist Kryptographie
Was ist Kryptographie Kryptographie Die Wissenschaft, mit mathematischen Methoden Informationen zu verschlüsseln und zu entschlüsseln. Eine Methode des sicheren Senden von Informationen über unsichere
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 03.06.2013 1 / 34 Überblick 1 Schlüsselaustauschprotokolle Motivation Symmetrische Verfahren Asymmetrische Verfahren Transport Layer Security (TLS) 2 / 34
MehrRSA Full Domain Hash (RSA-FDH) Signaturen
RSA Full Domain Hash (RSA-FDH) Signaturen Signatur RSA-FDH Sei H : {0, 1} Z N ein Random-Oracle. 1 Gen: (N, e, d) GenRSA(1 n ) mit pk = (N, e) und sk = (N, d). 2 Sign: Für eine Nachricht m {0, 1} berechne
MehrKurze Einführung in kryptographische Grundlagen.
Kurze Einführung in kryptographische Grundlagen. Was ist eigentlich AES,RSA,DH,ELG,DSA,DSS,ECB,CBC Benjamin.Kellermann@gmx.de GPG-Fingerprint: D19E 04A8 8895 020A 8DF6 0092 3501 1A32 491A 3D9C git clone
MehrKommunikationsalgorithmus RSA
Kommunikationsalgorithmus RSA Herr Maue Ergänzungsfach Informatik Neue Kantonsschule Aarau Früjahrsemester 2015 24.04.2015 EFI (Hr. Maue) Kryptographie 24.04.2015 1 / 26 Programm heute 1. Verschlüsselungsverfahren
MehrVorlesung Sicherheit
Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 28.05.2015 1 / 33 Überblick 1 Schlüsselaustauschprotokolle Symmetrische Verfahren Asymmetrische
Mehr8 Komplexitätstheorie und Kryptologie
8 Komplexitätstheorie und Kryptologie Verschlüsselung, Authentisierung,... müssen schnell berechenbar sein. Formal: polynomiell zeitbeschränkte Funktionen/Algorithmen Angreifer hat beschränkte Ressourcen.
MehrMathematik in der Praxis: Kryptologie
von Enrico Thomae Wie, du studierst Mathe? Was willst du denn damit werden?, wurde ich des Öfteren während meines Studiums gefragt. Im Unterton und Gesichtsausdruck ließen sich weitere Fragen ablesen Wozu
MehrVerschlüsselte E-Mails: Wie sicher ist sicher?
Verschlüsselte E-Mails: Wie sicher ist sicher? Mein Name ist Jörg Reinhardt Linux-Administrator und Support-Mitarbeiter bei der JPBerlin JPBerlin ist ein alteingesessener Provider mit zwei Dutzend Mitarbeitern
MehrStammtisch 04.12.2008. Zertifikate
Stammtisch Zertifikate Ein Zertifikat ist eine Zusicherung / Bestätigung / Beglaubigung eines Sachverhalts durch eine Institution in einem definierten formalen Rahmen 1 Zertifikate? 2 Digitale X.509 Zertifikate
Mehr4: Algebraische Strukturen / Gruppen
Stefan Lucks Diskrete Strukturen (WS 2009/10) 120 4: Algebraische Strukturen / Gruppen Definition 46 Sei G eine nichtleere Menge. Eine Funktion : G G G bezeichnen wir als Verknüpfung auf G. Das Paar (G,
MehrÜbung zur Vorlesung Sicherheit. Florian Böhl
Übung zur Vorlesung Sicherheit Florian Böhl florian.boehl@kit.edu Sicherheit Literatur zur Vorlesung Jonathan Katz, Yehuda Lindell. Introduction to Modern Cryptography. ISBN 1-584-88551-3. http://www.cs.umd.edu/~jkatz/imc.html
MehrRSA Full Domain Hash (RSA-FDH) Signaturen
RSA Full Domain Hash (RSA-FDH) Signaturen Signatur RSA-FDH Sei H : {0, 1} Z N ein Random-Oracle. 1 Gen: (N, e, d) GenRSA(1 n ) mit pk = (N, e) und sk = (N, d). 2 Sign: Für eine Nachricht m {0, 1} berechne
MehrLinux User Group Tübingen
theoretische Grundlagen und praktische Anwendung mit GNU Privacy Guard und KDE Übersicht Authentizität öffentlicher GNU Privacy Guard unter KDE graphische Userinterfaces:, Die dahinter
MehrKryptologie und Kodierungstheorie
Kryptologie und Kodierungstheorie Alexander May Horst Görtz Institut für IT-Sicherheit Ruhr-Universität Bochum Lehrerfortbildung 17.01.2012 Kryptologie Verschlüsselung, Substitution, Permutation 1 / 18
MehrWiederholung: Informationssicherheit Ziele
Wiederholung: Informationssicherheit Ziele Vertraulichkeit : Schutz der Information vor unberechtigtem Zugriff bei Speicherung, Verarbeitung und Übertragung Methode: Verschüsselung symmetrische Verfahren
MehrDateien und EMails verschlüsseln mit GPG
Dateien und EMails verschlüsseln mit GPG Linuxwochen Linz 2013 Mario Koppensteiner June 16, 2013 Table of contents Theorie Software was man braucht Schlüssel erstellen Schlüsselserver Beispiele Fragen
Mehr4 RSA und PGP. Die Mathematik von RSA an einem Beispiel
4 RSA und PGP Im Juni 1991 wurde das Programm PGP (für pretty good privacy ) von Phil Zimmermann ins Internet gestellt. Es ermöglichte jedermann, e-mails derart gut zu verschlüsseln, dass nicht einmal
Mehr