Kryptographie II Asymmetrische Kryptographie
|
|
- Sven Messner
- vor 6 Jahren
- Abrufe
Transkript
1 Kryptographie II Asymmetrische Kryptographie Alexander May Fakultät für Mathematik Ruhr-Universität Bochum Wintersemester 2017/18 Krypto II - Vorlesung 01 Schlüsselverteil-Center, Diffie-Hellman Schlüsselaustausch 1 / 174
2 Erinnerung an Kryptographie I Symmetrische Kryptographie Parteien besitzen gemeinsamen geheimen Schlüssel. Erlaubt Verschlüsselung, Authentifikation, Hashen, Auswerten von Pseudozufallspermutationen. Frage: Wie tauschen die Parteien einen Schlüssel aus? Nachteile 1 U Teilernehmer benötigen ( U 2) = Θ(U 2 ) viele Schlüssel. 2 Jeder Teilnehmer muss U 1 Schlüssel sicher speichern. Update erforderlich, falls Teilnehmer hinzukommen oder gelöscht werden. 3 Schlüsselaustausch funktioniert nicht in offenen Netzen. Krypto II - Vorlesung 01 Schlüsselverteil-Center, Diffie-Hellman Schlüsselaustausch 2 / 174
3 Schlüsselverteilungs-Center (KDC) Partielle Lösung: Verwenden vertrauenswürdige Instanz IT-Manager eröffnet Key Distribution Center (KDC). Teilnehmer besitzen gemeinsamen, geheimen Schlüssel mit KDC. Alice schickt Nachricht Kommunikation mit Bob an KDC. Alice authentisiert Nachricht mit ihrem geheimen Schlüssel. KDC wählt einen Session-Key k, d.h. einen neuen Schlüssel. KDC schickt Verschlüsselung Enc ka (k) an Alice. KDC schickt Verschlüsselung Enc kb (k) an Bob. Alternativ im Needham Schröder Protokoll: KDC schickt Enc kb (k) an Alice und diese leitet an Bob weiter. Krypto II - Vorlesung 01 Schlüsselverteil-Center, Diffie-Hellman Schlüsselaustausch 3 / 174
4 Vor- und Nachteile von KDCs Vorteile Jeder Teilnehmer muss nur einen Schlüssel speichern. Hinzufügen/Entfernen eines Teilnehmers erfordert Update eines Schlüssels. Nachteile Kompromittierung von KDC gefährdet das gesamte System. Falls KDC ausfällt, ist sichere Kommunikation nicht möglich. Praktischer Einsatz von KDCs Kerberos (ab Windows 2000) Krypto II - Vorlesung 01 Schlüsselverteil-Center, Diffie-Hellman Schlüsselaustausch 4 / 174
5 Diffie Hellman Gedankenexperiment Szenario Alice will eine Kiste zu Bob schicken. Post ist nicht zu trauen, d.h. die Kiste muss verschlossen werden. Sowohl Alice als auch Bob besitzen ein Schloss. Algorithmus 3-Runden Diffie-Hellman Austausch 1 Alice sendet die Kiste an Bob, verschlossen mit ihrem Schlüssel. 2 Bob sendet die Kiste zurück, verschlossen mit seinem Schlüssel. 3 Alice entfernt ihr Schloss und sendet die Kiste an Bob. 4 Bob entfernt sein Schloss und öffnet die Kiste. Beobachtung: Viele Funktionen sind inherent asymmetrisch. Zudrücken eines Schlosses ist leicht, Öffnen ist schwer. Multiplizieren von Zahlen ist leicht, Faktorisieren ist schwer. Exponentieren von Zahlen ist leicht, dlog ist (oft) schwer. Krypto II - Vorlesung 01 Schlüsselverteil-Center, Diffie-Hellman Schlüsselaustausch 5 / 174
6 Diffie Hellman Gedankenexperiment Alice Bob A A B A B B Krypto II - Vorlesung 01 Schlüsselverteil-Center, Diffie-Hellman Schlüsselaustausch 6 / 174
7 Diffie-Hellman Schlüsselaustausch (1976) Szenario: Alice und Bob verwenden öffentlichen Kanal. Ziel: Beide wollen einen zufälligen Bitstring k austauschen. Angreifer ist passiv, d.h. kann nur lauschen, nicht manipulieren. Systemparameter: Sicherheitsparameter 1 n Schlüsselerzeugung (G, q, g) G(1 n ) G ist probabilistischer polynomial-zeit (in n) Algorithmus G ist multiplikative Gruppe mit Ordnung q und Generator g. Krypto II - Vorlesung 01 Schlüsselverteil-Center, Diffie-Hellman Schlüsselaustausch 7 / 174
8 2-Runden Diffie-Hellman Schlüsselaustausch Protokoll 2-Runden Diffie-Hellman Schlüsselaustausch 1 Alice: Wähle x R Z q. Sende h 1 = g x an Bob. 2 Bob: Wähle y R Z q. Sende h 2 = g y an Alice. 3 Alice: Berechne k A = h2 x. 4 Bob: Berechne k B = h y 1. Alice x R Z q h 1 := g x h 1 k A := h x 2 h 2 Bob y R Z q h 2 := g y k B := h y 1 Krypto II - Vorlesung 01 Schlüsselverteil-Center, Diffie-Hellman Schlüsselaustausch 8 / 174
9 Korrektheit und Schlüsselerzeugung Korrektheit: k A = k B Alice berechnet Schlüssel k A = h x 2 = (gy ) x = g xy. Bob berechnet Schlüssel k B = h y 1 = (gx ) y = g xy. Schlüsselerzeugung: Gemeinsamer Schlüssel k A = k B G ist ein Gruppenelement, kein Zufallsstring k {0, 1} m. Konstruktion von Zufallsstring mittels sog. Zufallsextraktoren. Sei k A ein zufälliges Gruppenelement aus G. Zufallsextraktor liefert bei Eingabe k A einen Schlüssel k {0, 1} m, ununterscheidbar von einem Zufallsstring derselben Länge. Übung: Schlüssel k + sichere symmetrische Verschlüsselung liefert zusammen ein beweisbar sicheres Verfahren. Krypto II - Vorlesung 01 Schlüsselverteil-Center, Diffie-Hellman Schlüsselaustausch 9 / 174
10 Spiel zur Unterscheidung des Schlüssels Spiel Schlüsselaustausch KE A,Π (n) Sei Π ein Schlüsselaustausch Protokoll für Gruppenelemente aus G. Sei A ein Angreifer für Π. 1 (k 0, trans) Π(n), wobei k 0 der gemeinsame Schlüssel und trans der Protokollablauf ist. 2 Wähle k 1 R {0, 1} n und b R {0, 1}. { 3 b 1 falls b = b A(trans, k b ). Ausgabe. 0 sonst A gewinnt, falls KE A,Π (n) = 1. D.h. A gewinnt, falls er erkennt, welches der korrekte Schlüssel k des Protokolls Π und welches der zufällige Schlüssel k R G ist. A kann trivialerweise mit Ws 1 2 gewinnen. (Wie?) Krypto II - Vorlesung 01 Schlüsselverteil-Center, Diffie-Hellman Schlüsselaustausch 10 / 174
11 Spiel zur Unterscheidung des Schlüssels KE A,Π (n) (trans, k 0 ) Π(n) b R {0, 1} k 1 R {0, 1} n Ausgabe: { 1 falls b = b = 0 sonst (trans, k b ) b A b {0, 1} Krypto II - Vorlesung 01 Schlüsselverteil-Center, Diffie-Hellman Schlüsselaustausch 11 / 174
12 Sicherheit Schlüsselaustausch Definition negl(n) Erinnerung aus Krypto I Eine Funktion f : N R + heißt vernachlässigbar, falls für jedes Polynom p(n) und alle hinreichend großen n gilt f (n) < 1 p(n). Notation: Wir bezeichnen eine bel. vernachlässigbare Fkt mit negl(n). Bsp: 1 2 n, 1 2, 1 n nlog log n sind vernachlässigbar. 1 2 O(log n) ist nicht vernachlässigbar. Es gilt q(n) negl(n) = negl(n) für jedes Polynom q(n). Definition Sicherheit Schlüsselaustausch Ein Schlüsselaustausch Protokoll Π ist sicher gegen passive Angriffe, falls für alle probabilistischen Polynomialzeit (ppt) Angreifer A gilt Ws[KE A,Π (n) = 1] negl(n). Der Wsraum ist definiert über die zufälligen Münzwürfe von A und Π. Krypto II - Vorlesung 01 Schlüsselverteil-Center, Diffie-Hellman Schlüsselaustausch 12 / 174
13 dlog Problem Definition Diskrete Logarithmus (dlog) Annahme Das Diskrete Logarithmus Problem ist hart bezüglich G, falls für alle ppt Algorithmen A gilt Ws[A(g, q, g x ) = x] negl. Der Wsraum ist definiert bezüglich der zufälligen Wahl von x Z q und der internen Münzwürfe von A und G. dlog Annahme: Das dlog Problem ist hart bezüglich G. Unter der dlog Annahme können die geheimen Schlüssel x, y bei Diffie-Hellman nur mit vernachlässigbarer Ws berechnet werden. D.h. die dlog Annahme ist eine notwendige Sicherheitsannahme. Problem: Die Berechnung von g xy aus g x, g y könnte einfach sein. Krypto II - Vorlesung 01 Schlüsselverteil-Center, Diffie-Hellman Schlüsselaustausch 13 / 174
14 CDH Problem Definition Computational Diffie-Hellman (CDH) Annahme Das Computational Diffie-Hellman Problem ist hart bezüglich G, falls für alle ppt Algorithmen A gilt Ws[A(g, q, g x, g y ) = g xy ] negl. Wsraum: zufällige Wahl von x, y R Z q, interne Münzwürfe von A, G. CDH Annahme: Das CDH Problem ist hart bezüglich G. Unter der CDH-Annahme kann ein DH-Angreifer Eve den Schlüssel k A = g xy nur mit vernachlässigbarer Ws berechnen. Problem: Sei CDH schwer, so dass Angreifer Eve k A nicht berechnen kann. Benötigen aber, dass k A ein zufälliges Gruppenelement in G ist. Unterscheiden von g xy und g z, z R Z q könnte einfach sein. Krypto II - Vorlesung 01 Schlüsselverteil-Center, Diffie-Hellman Schlüsselaustausch 14 / 174
15 DDH Problem Definition Decisional Diffie-Hellman (DDH) Annahme Das Decisional Diffie-Hellman Problem ist hart bezüglich G, falls für alle ppt Algorithmen A gilt Ws[A(g, q, g x, g y, g xy ) = 1] Ws[A(g, q, g x, g y, g z ) = 1] negl. Wsraum: zufällige Wahl von x, y, z R Z q, interne Münzwürfe von A, G. DDH Annahme: Das DDH Problem ist hart bezüglich G. Unter der DDH-Annahme kann Eve den DH-Schlüssel g xy nicht von einem zufälligen Gruppenelement unterscheiden. Krypto II - Vorlesung 02 Sicherheit von Diffie-Hellman, Verschlüsselung, CPA Sicherheit 15 / 174
16 Sicherheitsbeweis des DH-Protokolls Satz Sicherheit des Diffie-Hellman Protokolls Unter der DDH-Annahme ist das DH-Protokoll Π sicher gegen passive Angreifer A. Beweis: Es gilt Ws[KE A,Π (n) = 1] = 1 2 Ws[KE A,Π(n) = 1 b = 0] Ws[KE A,Π(n) = 1 b = 1] = 1 2 Ws[A(G, g, q, gx, g y, g xy ) = 0] Ws[A(G, g, q, gx, g y, g z ) = 1] = 1 2 (1 Ws[A(G, g, q, gx, g y, g xy ) = 1]) Ws[A(G, g, q, gx, g y, g z ) = 1] = (Ws[A(G, g, q, gx, g y, g z ) = 1] Ws[A(G, g, q, g x, g y, g xy ) = 1]) Ws[A(G, g, q, gx, g y, g xy ) = 1] Ws[A(G, g, q, g x, g y, g z ) = 1] negl(n) = 1 + negl(n) nach DDH-Annahme. 2 Krypto II - Vorlesung 02 Sicherheit von Diffie-Hellman, Verschlüsselung, CPA Sicherheit 16 / 174
17 Public-Key Verschlüsselung Szenario: Asymmetrische/Public Key Verschlüsselung Schlüsselpaar (pk, sk) aus öffentlichem/geheimem Schlüssel. Verschlüsselung Enc pk ist Funktion des öffentlichen Schlüssels. Entschlüsselung Dec sk ist Funktion des geheimen Schlüssels. pk kann veröffentlicht werden, z.b. auf Webseite, Visitenkarte. pk kann über öffentlichen (authentisierten) Kanal verschickt werden. Vorteile: Löst Schlüsselverteilungsproblem. Erfordert die sichere Speicherung eines einzigen Schlüssels. Nachteil: Heutzutage deutlich langsamer als sym. Verschlüsselung. Krypto II - Vorlesung 02 Sicherheit von Diffie-Hellman, Verschlüsselung, CPA Sicherheit 17 / 174
18 Public-Key Verschlüsselung Definition Public-Key Verschlüsselung Ein Public-Key Verschlüsselungsverfahren ist ein 3-Tupel Π = (Gen, Enc, Dec) von ppt Algorithmen mit 1 Gen: (pk, sk) Gen(1 n ), wobei pk der öffentliche und sk der geheime Schlüssel ist. Beide Schlüssel besitzen Länge mind. n. 2 Enc: Für eine Nachricht m M und Schlüssel pk berechne c Enc pk (m). 3 Dec: Für einen Chiffretext c C und Schlüssel sk berechne m := Dec sk (c). Es gilt Ws[Dec sk (Enc pk (m)) = m] = 1 negl(n). Krypto II - Vorlesung 02 Sicherheit von Diffie-Hellman, Verschlüsselung, CPA Sicherheit 18 / 174
19 Ununterscheidbarkeit von Chiffretexten Spiel CPA Ununterscheidbarkeit von Chiffretexten PubK cpa A,Π (n) Sei Π ein PK-Verschlüsselungsverfahren und A ein Angreifer. 1 (pk, sk) Gen(1 n ) 2 (m 0, m 1 ) A(pk) 3 Wähle b R {0, 1}. b A(Enc pk (m b )). { 4 PubK cpa A,Π (n) = 1 für b = b 0 sonst Man beachte, dass A Orakelzugriff auf Enc pk besitzt. D.h. A kann sich beliebig gewählte Klartexte verschlüsseln lassen. (chosen plaintext attack = CPA) Krypto II - Vorlesung 02 Sicherheit von Diffie-Hellman, Verschlüsselung, CPA Sicherheit 19 / 174
20 CPA-Spiel PubK cpa A,Π (n) (pk, sk) Gen(1 n ) b R {0, 1} c = Enc pk (m b ) Ausgabe: { 1 falls b = b = 0 sonst (1 n, pk) (m 0, m 1 ) c b A m 0, m 1 M b {0, 1} Krypto II - Vorlesung 02 Sicherheit von Diffie-Hellman, Verschlüsselung, CPA Sicherheit 20 / 174
21 CPA Sicherheit Definition CPA Sicherheit von Verschlüsselung Ein PK-Verschlüsselungsverfahren Π = (Gen, Enc, Dec) heißt CPA-sicher, d.h. Π besitzt ununterscheidbare Verschlüsselungen unter CPA, falls für alle ppt A gilt Ws[PubK cpa A,Π (n) = 1] negl(n). Übung: Unbeschränkte A können das Spiel PubK cpa A,Π (n) mit Ws 1 negl(n) gewinnen. Krypto II - Vorlesung 02 Sicherheit von Diffie-Hellman, Verschlüsselung, CPA Sicherheit 21 / 174
22 Unsicherheit deterministischer Verschlüsselung Satz Deterministische Verschlüsselung Deterministische PK-Verschlüsselung ist unsicher gegenüber CPA. Beweis: A kann sich Enc pk (m 0 ) und Enc pk (m 1 ) selbst berechnen. D.h. ein Angreifer A gewinnt PubK cpa A,Π (n) mit Ws 1. Krypto II - Vorlesung 02 Sicherheit von Diffie-Hellman, Verschlüsselung, CPA Sicherheit 22 / 174
23 Mehrfache Verschlüsselung Spiel Mehrfache Verschlüsselung PubK mult A,Π (n) Sei Π ein PK-Verschlüsselungsverfahren und A ein Angreifer. 1 (pk, sk) Gen(1 n ) 2 (M 0, M 1 ) A(pk), wobei M i = (mi 1,..., mt i ), i = 0, 1 und m j 0 = mj 1 für j [t]. 3 Wähle b R {0, 1}. b A(Enc pk (mb 1),..., Enc pk(mb t { )). 1 für b = b 4 PubK mult A,Π (n) = 0 sonst Definition CPA Sicherheit von mehrfacher Verschlüsselung Ein PK-Verschlüsselungsverfahren Π = (Gen, Enc, Dec) heißt mult-cpa sicher, d.h. besitzt ununterscheidbare mehrfache Verschlüsselungen unter CPA, falls für alle ppt A gilt Ws[PubK mult A,Π (n) = 1] negl(n). Krypto II - Vorlesung 02 Sicherheit von Diffie-Hellman, Verschlüsselung, CPA Sicherheit 23 / 174.
24 multcpa-spiel PubK mult cpa A,Π (n) (pk, sk) Gen(1 n ) b R {0, 1} ) c j = Enc pk (m j b C = (c 1,, c t ) Ausgabe: { 1 falls b = b = 0 sonst (1 n, pk) (M 0, M 1 ) C b A M i = (m 1 i,, mt i ), i = 0, 1 = j, m j i M m j 0 m j 1 b {0, 1} Krypto II - Vorlesung 02 Sicherheit von Diffie-Hellman, Verschlüsselung, CPA Sicherheit 24 / 174
25 Sicherheit mehrfacher Verschlüsselung Satz Sicherheit mehrfacher Verschlüsselung (analog zu Krypto I) Sei Π ein PK-Verschlüsselungsschema. Π ist mult-cpa sicher gdw Π CPA sicher ist. Beweis : Für t = 2. Ein Angreifer A gewinnt das Spiel PubKA,Π mult (n) mit Ws 1 2 Ws[A(Enc pk(m 1 0), Enc pk (m 2 0)) = 0] Ws[A(Enc pk(m 1 1), Enc pk (m 2 1)) = 1]. Daraus folgt Ws[PubK mult A,Π (n)] = 1 2 Ws[A(Enc pk(m0), 1 Enc pk (m0)) 2 = 0] Ws[A(Enc pk(m1), 1 Enc pk (m1)) 2 = 1] + 1 ( ) Ws[A(Enc pk (m0), 1 Enc pk (m1)) 2 = 0] + Ws[A(Enc pk (m0), 1 Enc pk (m1)) 2 = 1] 2 Ziel: Zeigen, dass Ws[PubK mult A,Π (n)] negl(n). Krypto II - Vorlesung 02 Sicherheit von Diffie-Hellman, Verschlüsselung, CPA Sicherheit 25 / 174
26 Betrachten der Hybride Lemma 1 2 Ws[A(Enc pk (m 1 0 ), Enc pk (m 2 0 )) = 0] Ws[A(Enc pk (m 1 0 ), Enc pk (m 2 1 )) = 1] negl(n). Beweis: Sei A Angreifer für einfache Verschlüsselungen. A versucht mittels A das Spiel PubK cpa A,Π(n) zu gewinnnen. Strategie von Angreifer A 1 A gibt pk an A weiter. 2 (M 0, M 1 ) A(pk) mit M 0 = (m 1 0, m2 0 ) und M 1 = (m 1 1, m2 1 ). 3 A gibt (m 2 0, m2 1 ) aus. A erhält Chiffretext c(b) = Enc pk (m 2 b ). 4 b A(Enc pk (m0 1 ), c(b)). 5 A gibt Bit b aus. Ws[A (Enc pk (m0 2)) = 0] = Ws[A((Enc pk(m0 1), Enc pk(m0 2 )) = 0] und Ws[A (Enc pk (m1 2)) = 1] = Ws[A((Enc pk(m0 1), Enc pk(m1 2 )) = 1]. Krypto II - Vorlesung 02 Sicherheit von Diffie-Hellman, Verschlüsselung, CPA Sicherheit 26 / 174
27 Strategie des Angreifers bei Hybriden PubK cpa A,Π (n) (pk, sk) Gen(1 n ) b R {0, 1} c = Enc pk ( m 2 b ) Ausgabe: { 1 falls b = b = 0 sonst (1 n, pk) (m 2 0, m 2 1) c b A c := Enc pk ( m 1 0 ) (1 n, pk) (M 0, M 1 ) (c, c) b A M 0 = (m 1 0, m 2 0) M 1 = (m 1 1, m 2 1) m j i M, i, j b {0, 1} Krypto II - Vorlesung 02 Sicherheit von Diffie-Hellman, Verschlüsselung, CPA Sicherheit 27 / 174
28 Fortsetzung Hybridtechnik Beweis(Fortsetzung): CPA Sicherheit von Π bei einzelnen Nachrichten impliziert 1 cpa + negl(n) Ws[PubK 2 A,Π(n) = 1] = 1 2 Ws[A (Enc pk (m 2 0 )) = 0] Ws[A (Enc pk (m 2 1 )) = 1 = 1 2 Ws[A((Enc pk(m0 1 ), Enc pk(m0 2 )) = 0] Ws[A((Enc pk(m 1 0 ), Enc pk(m 2 1 )) = 1] Lemma Analog kann gezeigt werden, dass negl(n) 1 2 Ws[A((Enc pk(m0 1 ), Enc pk(m1 2 )) = 0] Ws[A((Enc pk(m1 1 ), Enc pk(m1 2 )) = 1] Daraus folgt Ws[PubK mult A,Π (n)] negl(n). Satz für t = 2 Krypto II - Vorlesung 02 Sicherheit von Diffie-Hellman, Verschlüsselung, CPA Sicherheit 28 / 174
29 Von fester zu beliebiger Nachrichtenlänge Beweistechnik für allgemeines t: Definiere für i [t] Hybride C (i) = (Enc pk (m0 1),..., Enc pk(m0 i ), Enc pk(m i+1 1 ),..., Enc pk (m1 t )). Ws[PubKA,Π mult(n) = 1] = 1 2 Ws[A(C(t) ) = 0] Ws[A(C(0) = 1]. A unterscheidet Enc pk (m0 i ) und Enc pk(m1 i ) für zufälliges i [t]. Entspricht dem Unterscheiden von C (i) und C (i 1). Liefert Pr[PubK mult A,Π (n)] t negl(n) Satz. Von fester zu beliebiger Nachrichtenlänge Sei Π ein Verschlüsselungsverfahren mit Klartexten aus {0, 1} n. Splitte m {0, 1} auf in m 1,... m t mit m i {0, 1} n. Definiere Π mittels Enc pk (m) = Enc pk(m 1 )... Enc pk (m t ). Aus vorigem Satz folgt: Π ist CPA-sicher, falls Π CPA-sicher ist. Krypto II - Vorlesung 02 Sicherheit von Diffie-Hellman, Verschlüsselung, CPA Sicherheit 29 / 174
30 Hybride Verschlüsselungsverfahren Ziel: Flexibilität von asym. Verfahren und Effizienz von sym. Verfahren. Szenario: Sei Π = (Gen, Enc, Dec) ein PK-Verschlüsselungsverfahren und Π = (Gen, Enc, Dec ) ein SK-Verschlüsselungsverfahren. Berechne (pk, sk) Gen(1 n ). Algorithmus Hybride Verschlüsselung Eingabe: m, pk 1 Wähle k R {0, 1} n. 2 Verschlüssele c 1 Enc pk (k) mit asym. Verschlüsselung. 3 Verschlüssele c 2 Enc k (m) mit sym. Verschlüsselung. Ausgabe: Chiffretext c = (c 1, c 2 ) Krypto II - Vorlesung 02 Sicherheit von Diffie-Hellman, Verschlüsselung, CPA Sicherheit 30 / 174
31 Hybride Entschlüsselung Algorithmus Hybride Entschlüsselung Eingabe: c = (c 1, c 2 ), sk 1 Entschlüssele k Dec sk (c 1 ). 2 Entschlüssele m Dec k (c 2). Ausgabe: Klartext m Effizienzgewinn für m n, sofern Π effizienter ist als Π. Frage: Ist hybride Verschlüsselung sicher, falls Π, Π sicher? Krypto II - Vorlesung 02 Sicherheit von Diffie-Hellman, Verschlüsselung, CPA Sicherheit 31 / 174
32 Sicherheit von hybrider Verschlüsselung Satz Sicherheit hybrider Verschlüsselung Sei Π ein CPA-sicheres PK-Verschlüsselungsverfahren und Π ein KPA-sicheres SK-Verschlüsselungsverfahren. Dann ist das hybride Verfahren Π hy CPA-sicher. Beweisskizze: Notation X Y : Kein ppt Angreifer kann X und Y unterscheiden. Sicherheit von Π : Enc k (m 0 ) Enc k (m 1 ) für k R {0, 1} n. Sicherheit von Π hy : Müssen zeigen dass (Enc pk (k), Enc k (m 0)) (Enc pk (k), Enc k (m 1)). Problem: Erstes Argument könnte beim Unterscheiden des zweiten Arguments helfen. Krypto II - Vorlesung 03 Hybride Verschlüsselung, Textbook RSA 32 / 174
33 Beweis Sicherheit hybrider Verschlüsselung Beweisskizze: Zeigen die folgenden 3 Schritte 1 Sicherheit von Π liefert (Enc pk (k), Enc k (m 0)) (Enc pk (0 n ), Enc k (m 0)). Gilt sogar falls A die Werte k, 0 n kennt. Dass das zweite Argument k beinhaltet ist daher kein Problem. 2 Sicherheit von Π liefert (Enc pk (0 n ), Enc k (m 0)) (Enc pk (0 n ), Enc k (m 1)). Kein Problem mehr, da 2. Argument nicht vom ersten abhängt. 3 Sicherheit von Π liefert (Enc pk (0 n ), Enc k (m 1)) (Enc pk (k), Enc k (m 1)). Transititivität der 3 Ergebnisse liefert schließlich wie gewünscht (Enc pk (k), Enc k (m 0)) (Enc pk (k), Enc k (m 1)). Krypto II - Vorlesung 03 Hybride Verschlüsselung, Textbook RSA 33 / 174
34 Textbook RSA Algorithmus Schlüsselerzeugung GenRSA Eingabe: 1 n 1 (N, p, q) GenModulus(1 n ) mit primen n-bit p, q und N = pq. 2 φ(n) (p 1)(q 1) 3 Wähle e Z φ(n). 4 Berechne d e 1 mod φ(n). Ausgabe: (N, e, d) mit pk = (N, e) und sk = (N, d). Definition Textbook RSA Verschlüsselungsverfahren Sei n ein Sicherheitsparameter. 1 Gen : (N, e, d) GenRSA(1 n ) 2 Enc : c m e mod N für eine Nachricht m Z N. 3 Dec : m c d mod N Krypto II - Vorlesung 03 Hybride Verschlüsselung, Textbook RSA 34 / 174
35 RSA Problem und Sicherheit von RSA Definition RSA Problem Das RSA Problem ist hart bezüglich GenRSA(1 n ), falls für alle ppt Algorithmen A gilt Ws[A(N, e, m e mod N) = m] negl(n). Wsraum: Wahl m R Z N und interne Münzwürfe von A, GenRSA. RSA Annahme: Das RSA Problem ist hart bezüglich GenRSA. Anmerkungen: Falls N effizient faktorisiert werden kann, ist das RSA Problem nicht hart. (Warum?) Berechnen von d ist so schwer wie Faktorisieren von N. Offenes Problem: Impliziert eine Lösung des RSA Problem eine Lösung des Faktorisierungsproblems? Enc ist deterministisch, d.h. Textbook RSA ist nicht CPA-sicher. Unter der RSA-Annahme: Kein ppt Angreifer kann für zufällige m Z N aus (N, e, me mod N) die ganze Nachricht m berechnen. Krypto II - Vorlesung 03 Hybride Verschlüsselung, Textbook RSA 35 / 174
36 Angriffe auf Textbook RSA Verschlüsseln von kurzen Nachrichten mit kleinem e Sei m < N 1 e. Dann gilt c = m e < N. D.h. c 1 e über Z liefert m. Realistisch bei hybrider Verschlüsselung: N 1024-Bit und e = 3, m ist 128-Bit Schlüssel für symmetrische Verschlüsselung. Hastad Angriff auf RSA Szenario: Verschlüsselung desselben m unter verschiedenen pk. Sei pk 1 = (N 1, 3), pk 2 = (N 2, 3), pk 3 = (N 3, 3). Angreifer erhält c 1 = m 3 mod N 1, c 2 = m 3 mod N 2 und c 3 = m 3 mod N 3. Berechne mittels Chinesischem Restsatz eind. c Z N1 N 2 N 3 mit c = c 1 mod N 1 c = c 2 mod N 2 c = c 3 mod N 3. Es gilt c = m 3 < (min{n 1, N 2, N 3 }) 3 < N 1 N 2 N 3, d.h. m = c 1 3. Krypto II - Vorlesung 03 Hybride Verschlüsselung, Textbook RSA 36 / 174
37 Padded RSA Definition Padded RSA Verschlüsselungsverfahren Sei n ein Sicherheitsparameter und l eine Fkt. mit l(n) 2n 2. 1 Gen : (N, e, d) GenRSA(1 n ) 2 Enc : Für m {0, 1} l(n) und r R {0, 1} N l(n) 1 berechne c (r m) e mod N. 3 Dec : r m := c d mod N. Gib die untersten l(n) Bits aus. Anmerkungen Für l(n) = 2n O(log n) kann r in polyn. Zeit geraten werden. Für l(n) = cn, konstantes c < 2, ist kein CPA Angriff bekannt. Für l(n) = O(log n) kann CPA-Sicherheit gezeigt werden. Weitverbreitete standardisierte Variante von Padded RSA: PKCS #1 version 1.5 mit c := ( r 0 8 m) e mod N. Krypto II - Vorlesung 03 Hybride Verschlüsselung, Textbook RSA 37 / 174
38 Einfache symmetrische Verschlüsselung Algorithmus ONE-TIME GRUPPENELEMENT Sei n ein Sicherheitsparameter. 1 Gen: Schlüsselerzeugung (G, g) G(1 n ), wobei G eine Gruppe und g R G ein zufälliger gemeinsamer geheimer Schlüssel ist. 2 Enc: Verschlüssele m G als c m g. 3 Dec: Entschlüssele c G als m := c g 1. Anmerkung: Das One-Time Pad erhalten wir als Spezialfall mit (G, ) = (F n 2, +). Krypto II - Vorlesung 03 Hybride Verschlüsselung, Textbook RSA 38 / 174
39 Perfekte Sicherheit von ONE-TIME ELEMENT Satz Perfekte Sicherheit von ONE-TIME ELEMENT (Krypto I) ONE-TIME ELEMENT Π ist eine perfekt sichere symmetrisches Verschlüsselung, d.h. für alle Angreifer A gilt Ws[PrivK A,Π (n) = 1] = 1 2. Beweis: Klartext-, Chiffretext und Schlüsselraum sind identisch M = C = K = G. Jeder Schlüssel g G wird gleichverteilt mit Ws 1 G gewählt. Für jedes m, c G existiert genau ein Schlüssel g = c m 1 mit c = Enc g (m). Nach dem Satz von Shannon ist Π damit perfekt sicher. D.h. Ws[PrivK A,Π (n) = 1] = 1 2. Anmerkungen: Geheimer Schlüssel sk = g muss stets neu gewählt werden. Idee für PK-Verfahren: Ersetze das zufällige g durch ein stets neu gewähltes pseudozufälliges Gruppenelement. Krypto II - Vorlesung 03 Hybride Verschlüsselung, Textbook RSA 39 / 174
40 ElGamal Verschlüsselungsverfahren (1984) Definition ElGamal Verschlüsselungsverfahren Sei n ein Sicherheitsparameter. 1 Gen : (q, g) G(1 n ), wobei g eine Gruppe G der Ordnung q generiert. Wähle x R Z q und berechne h g x. Schlüssel: pk = (q, g, h), sk = (q, g, x) 2 Enc : Für eine Nachricht m G wähle ein y R Z q und berechne c (g y, h y m). 3 Dec : Für einen Chiffretext c = (c 1, c 2 ) berechne m := c 2 c. 1 x Korrektheit: c 2 c x 1 = hy m (g y ) x = (gx ) y m g xy = m. c 2 ist ein Analog von Enc bei ONE-TIME GRUPPENELEMENT mit einem DH-Schlüssel g xy als pseudozufälligem Gruppenelement. Anmerkung: Parameter q, g können global für alle Teilnehmer gewählt werden. Krypto II - Vorlesung 04 ElGamal, CPA-Sicherheit unter DDH, CCA Angriffe, Malleability 40 / 174
41 Sicherheit von ElGamal Satz CPA-Sicherheit ElGamal ElGamal Π ist CPA-sicher unter der DDH-Annahme. Beweis: Sei A ein Angreifer auf ElGamal Π mit Erfolgsws ɛ(n) := Ws[PubK cpa A,Π (n) = 1]. Wir konstruieren mittels A einen Unterscheider D zum Unterscheiden von DDH-Instanzen (q, g, g x, g y, g ) mit g = g xy oder g = g z. Krypto II - Vorlesung 04 ElGamal, CPA-Sicherheit unter DDH, CCA Angriffe, Malleability 41 / 174
42 Unterscheider für DDH durch A Algorithmus DDH-Unterscheider D EINGABE: (q, g, g x, g y, g ) 1 Setze pk = (G, q, g, g x ). 2 (m 0, m 1 ) A(pk). 3 Wähle b R {0, 1} und berechne b A(g y, g m b ). 4 Falls b = b Ausgabe 1, sonst Ausgabe 0. { 1 wird interpretiert als g = g xy AUSGABE: 0 wird interpretiert als g = g z. Krypto II - Vorlesung 04 ElGamal, CPA-Sicherheit unter DDH, CCA Angriffe, Malleability 42 / 174
43 DDH-Unterscheider mit Angreifer A Unterscheider D A (1 n, q, g, g x, g y, g ) pk = (q, g, g x ) b R {0, 1} c = (g y, g m b ) (1 n, pk) (m 0, m 1 ) c m 0, m 1 M 1 bedeutet g = g xy 0 bedeutet g = g z Ausgabe: { 1 falls b = b 0 sonst b b {0, 1} Krypto II - Vorlesung 04 ElGamal, CPA-Sicherheit unter DDH, CCA Angriffe, Malleability 43 / 174
44 Fall DDH-Tupel Fall 1: DDH-Tupel, d.h. g = g xy. c = (g y, g xy m b ) ist identisch zu ElGamal-Chiffretexten verteilt. D.h. Ws[D(q, g, g x, g y, g xy ) = 1] = Ws[PubK A,Π (n) = 1] = ɛ(n). Fall 2: kein DDH-Tupel, d.h. g = g z für z R Z q. Chiffretext c = (c 1, c 2 ) ist von der Form (g y, g z m b ). c 2 ist identisch verteilt zu ONE TIME ELEMENT. Die erste Komponente c 1 ist unabhängig von c 2, d.h. Ws[PrivK A,Π (n) = 1] = 1 2. Es folgt Ws[D(G, q, g, g x, g y, g z ) = 1] = Ws[PubK A,Π (n) = 1] = 1 2. Aus der DDH-Annahme folgt negl(n) Ws[D(G, q, g, g x, g y, g z ) = 1] Ws[D(G, q, g, g x, g y, g xy ) = 1] = 1 2 ɛ(n). Damit gilt ɛ(n) negl(n). Krypto II - Vorlesung 04 ElGamal, CPA-Sicherheit unter DDH, CCA Angriffe, Malleability 44 / 174
45 Parameterwahl bei ElGamal Einbetten von Nachrichten m {0, 1} Beliebte Parameterwahl: Z p, p = 2q + 1 mit p, q prim. D.h. p ist eine sogenannte starke Primzahl. Ziel: Konstruktion einer Untergruppe G mit Ordnung q. Quadrieren Z p Z p, x x 2 ist eine (2 : 1)-Abbildung. Urbilder x, p x kollidieren, genau eines ist in [ p 1 2 ] = [q]. Wir bezeichnen den Bildraum mit QR p. QR p ist Untergruppe von Z p mit Ordnung q. Wählen g als Generator von QR p. Sei q = n. Interpretieren m {0, 1} n 1 als natürliche Zahl kleiner q. Es gilt m + 1 [q]. Einbettung von m ist m = (m + 1) 2 mod p. Umkehren der Einbettung ist effizient berechenbar. Krypto II - Vorlesung 04 ElGamal, CPA-Sicherheit unter DDH, CCA Angriffe, Malleability 45 / 174
46 CPA-Sicherheit ist ungenügend Definition CCA (informal) CCA (=Chosen Ciphertext Attack) ist ein Angriff, bei dem der Angreifer sich Chiffretext seiner Wahl entschlüsseln lassen kann. Beispiele in denen CPA-Sicherheit nicht genügt: Eve fängt verschlüsselte c = Enc(m) an Bob ab. Eve verschickt c selbst an Bob. Bob antwortet Eve und hängt dabei m an die Antwort an. D.h. Bob fungiert als Entschlüsselungsorakel. Alice und Eve nehmen als Bieter an einer Auktion von Bob teil. Alice sendet ihr Gebot c = Enc(m) verschlüsselt an Bob. Enc soll CPA-sicher sein, d.h. Eve erhält keine Information über m. Frage: Ist es Eve möglich, c = Enc(2m) aus c zu berechnen, ohne m zu kennen, und damit Alice zu überbieten? (Malleability) Es gilt: CCA-Sicherheit impliziert Non-Malleability. (ohne Beweis) Krypto II - Vorlesung 04 ElGamal, CPA-Sicherheit unter DDH, CCA Angriffe, Malleability 46 / 174
47 CCA Ununterscheidbarkeit Spiel CCA Ununterscheidbarkeit von Chiffretexten PubK cca A,Π (n) Sei Π ein PK-Verschlüsselungsverfahren mit Angreifer A. 1 (pk, sk) Gen(1 n ) 2 (m 0, m 1 ) A Dec sk ( ) (pk), wobei Dec sk ( ) ein Entschlüsselungsorakel für A für beliebige Chiffretexte ist. 3 Wähle b R {0, 1}. Verschlüssele c Enc pk (m b ). 4 b A Dec sk ( ) (c), wobei A beliebige Chiffretexte c c durch das Orakel Dec sk ( ) entschlüsseln lassen darf. { 5 PubKA,Π cca 1 für b = b 0 sonst Anmerkungen: Zusätzlich zum Verschlüsselungs-Orakel bei CPA besitzt A bei CCA ein weiteres Entschlüsselungs-Orakel Dec sk ( ). Falls A in Schritt 4 auch c entschlüsseln darf, ist das Spiel trivial. Krypto II - Vorlesung 04 ElGamal, CPA-Sicherheit unter DDH, CCA Angriffe, Malleability 47 / 174
48 PubK cca A,Π (n) (pk, sk) Gen(1 n ) m 1 = Dec sk (c 1) m i = Dec sk(c i ) b R {0, 1} c = Enc pk (m b ) m i+1 = Dec sk(c i+1 ) m q = Dec sk (c q) Ausgabe: { 1 falls b = b = 0 sonst (1 n, pk) c 1 m 1. c i m i (m 0, m 1 ) c c i+1 m i+1. c q m q b A c 1 C c i C, i q m 0, m 1 M c i+1 C\{c} c q C\{c} b {0, 1} Krypto II - Vorlesung 04 ElGamal, CPA-Sicherheit unter DDH, CCA Angriffe, Malleability 48 / 174
49 CCA-Sicherheit Definition CCA-Sicherheit Ein Verschlüsselungsverfahren Π heißt CCA-sicher (bzw. besitzt ununterscheidbare Chiffretexte unter CCA), falls für alle ppt Angreifer A gilt Ws[PubK cca A,Π (n) = 1] negl(n). Anmerkungen: Erstes effizientes CCA-sicheres Verfahren Cramer-Shoup (1998). Cramer-Shoup ist CCA-sicher unter der DDH-Annahme. Chiffretexte sind doppelt so lang wie bei ElGamal. Sicherheitsbeweis von Cramer-Shoup ist nicht-trivial. Später in der Vorlesung: CCA-sichere Verfahren im sogenannten Random Oracle Modell. Krypto II - Vorlesung 04 ElGamal, CPA-Sicherheit unter DDH, CCA Angriffe, Malleability 49 / 174
50 CCA Angriff und Malleability von Textbuch RSA CCA Angriff auf Textbuch RSA Wollen c = m e mod N entschlüsseln. Man beachte: c darf nicht direkt angefragt werden. Berechne c = c r e = (mr) e mod N für r Z N \ {1}. Berechne mr Dec sk (c ) mittels Entschlüsselungs-Orakel. Berechne mr r 1 = m mod N. Malleability von Textbuch RSA Voriger Angriff zeigt: Für c = m e mod N kann die Verschlüsselung von mr berechnet werden, ohne m selbst zu kennen. D.h. Textbuch RSA ist malleable. Krypto II - Vorlesung 04 ElGamal, CPA-Sicherheit unter DDH, CCA Angriffe, Malleability 50 / 174
51 CCA Angriff und Malleability von ElGamal Praktischer CCA-Angriff auf Padded RSA Variante PKCS #1 v1.5 Bleichenbacher Angriff: Sende adaptiv Chiffretexte an Server. Falls die Entschlüsselung nicht das korrekte Format besitzt, sendet der Server eine Fehlermeldung zurück. Genügt, um einen beliebigen Chiffretext c zu entschlüsseln. CCA Angriff auf ElGamal Ziel: Entschlüssele c = (g y, g xy m). Lasse c = (g y, g xy m r) für r G \ {1} entschlüsseln. Berechne mr r 1 = m. ElGamal ist malleable, da c korrekte Verschlüsselung von mr. Krypto II - Vorlesung 04 ElGamal, CPA-Sicherheit unter DDH, CCA Angriffe, Malleability 51 / 174
52 Einwegfunktionen Ziel: CPA-sichere Verschlüsselung aus Trapdoor-Einwegpermutation Später: CCA-sichere Verschlüsselung aus Trapdoor-Einwegperm. Spiel Invertieren Invert A,f (n) Sei f : {0, 1} {0, 1} effizient berechenbar, A ein Invertierer für f. 1 Wähle x R {0, 1} n. Berechne y f (x). 2 x A(1 n, y) 3 Invert A,f (n) = { 1 falls f (x ) = y 0 sonst. Definition Einwegfunktion Eine Funktion f : {0, 1} {0, 1} heißt Einwegfunktion, falls 1 Es existiert ein deterministischer pt Alg B mit f (x) B(x). 2 Für alle ppt Algorithmen A gilt Ws[Invert A,f (n) = 1] negl(n). Krypto II - Vorlesung 05 Konstruktion einer Einwegfunktion, Trapdoor-Permutation, Hardcore-Prädikat 52 / 174
53 Spiel Invertieren Invert A,f (n) Wähle: x R {0, 1} n Berechne: y f(x) (1 n, y) Ausgabe: { 1 falls f(x ) = y 0 sonst x A Berechne: x {0, 1} n Krypto II - Vorlesung 05 Konstruktion einer Einwegfunktion, Trapdoor-Permutation, Hardcore-Prädikat 53 / 174
54 Die Faktorisierungsannahme Problem: Existenz von Einwegfunktionen ist ein offenes Problem. Konstruktion unter Komplexitätsannahme (z.b. Faktorisierung) Verwenden dazu (N, p, q) GenModulus(1 n ) von RSA. Spiel Faktorisierungsspiel Factor A,GenModulus (n) 1 (N, p, q) GenModulus(1 n ) 2 (p, q ) A(N) mit p, q > 1. { 1 falls p q = N 3 Factor A,GenModulus (n) =. 0 sonst Krypto II - Vorlesung 05 Konstruktion einer Einwegfunktion, Trapdoor-Permutation, Hardcore-Prädikat 54 / 174
55 Spiel Faktorisieren Factor A,GenModulus (n) (N, p, q) GenModulus(1 n ) Ausgabe: { 1 falls p q = N 0 sonst (1 n, N) (p, q ) A Berechne: p, q > 1 Definition Faktorisierungsannahme Faktorisieren ist hart bezüglich GenModulus falls für alle ppt Algorithmen A gilt Ws[Factor A,GenModulus (n) = 1] negl(n). Faktorisierungsannahme: Faktorisieren ist hart bezüglich GenModulus. Krypto II - Vorlesung 05 Konstruktion einer Einwegfunktion, Trapdoor-Permutation, Hardcore-Prädikat 55 / 174
56 Konstruktion aus Faktorisierungsannahme Sei p(n) ein Polynom, so dass GenModulus(1 n ) höchstens p(n) Zufallsbits verwendet. OBdA sei p(n) : N N monoton wachsend. Algorithmus FACTOR-ONEWAY f FO Eingabe: x {0, 1} 1 Berechne n mit p(n) x < p(n + 1). 2 (N, p, q) := GenModulus(1 n, x), wobei GenModulus die Eingabe x als internen Zufallsstring verwendet. Ausgabe: N Bemerkung: GenModulus(1 n, x) ist deterministisch. (Derandomisierung) Krypto II - Vorlesung 05 Konstruktion einer Einwegfunktion, Trapdoor-Permutation, Hardcore-Prädikat 56 / 174
57 Existenz von Einwegfunktionen Satz Einweg-Eigenschaft von f FO Unter der Faktorisierungsannahme ist f FO eine Einwegfunktion. Beweis: Sei A ein Invertierer für f FO mit Erfolgsws ɛ(n). Konstruieren mit A Faktorisierer A im Spiel Factor A,GenModulus(n). Algorithmus Faktorisierer A EINGABE: 1 n, N 1 x A(1 n, N). 2 (N, p, q ) GenModulus(1 n, x ). AUSGABE: p, q Unter der Faktorisierungsannahme gilt negl(n) Ws[Factor A,GenModulus(n) = 1] = Ws[Invert A,fFO (n) = 1] = ɛ(n). Krypto II - Vorlesung 05 Konstruktion einer Einwegfunktion, Trapdoor-Permutation, Hardcore-Prädikat 57 / 174
58 Faktorisieren mit Invertierer für f FO Factor A,GenModulus (N, p, q) GenModu lus(1 n ) (1 n, N) Faktorisierer A (1 n, N) A Ausgabe: { 1 falls N = p q = 0 sonst p, q (N, p, q ) := GenModulus(1 n, x ) x Krypto II - Vorlesung 05 Konstruktion einer Einwegfunktion, Trapdoor-Permutation, Hardcore-Prädikat 58 / 174
59 Trapdoor-Permutationsfamilie Definition Permutationsfamilie Eine Permutationsfamilie Π f = (Gen, Samp, f ) besteht aus 3 ppt Alg: 1 I Gen(1 n ), wobei I eine Urbildmenge D für f definiert. 2 x Samp(I), wobei x R D. 3 y := f I (x) und f : D D ist bijektiv. Definition Trapdoor-Permutationsfamilie Trapdoor-Permutationsfamilie Π f = (Gen, Samp, f, Inv) besteht aus 1 (I, td) Gen(1 n ) mit td als Trapdoor-Information. 2 x Samp(I) wie zuvor. 3 y := f I (x) wie zuvor. 4 x Inv td (y) mit Inv td (f I (x)) = x für alle x D. Krypto II - Vorlesung 05 Konstruktion einer Einwegfunktion, Trapdoor-Permutation, Hardcore-Prädikat 59 / 174
60 Spiel Invertieren einer Permutation Invert A,Πf (n) Sei A ein Invertierer für die Familie Π f. 1 I Gen(1 n ), x Samp(I) und y f (I, x). 2 x A(I, y). 3 Invert A,Π (n) = { 1 falls f (x ) = y 0 sonst. Invert A,Πf (n) I Gen(1 n ) x Samp(I) y f I (x) Ausgabe: { 1 falls f(x ) = y 0 sonst (1 n, I, y) x A Berechne x. Krypto II - Vorlesung 05 Konstruktion einer Einwegfunktion, Trapdoor-Permutation, Hardcore-Prädikat 60 / 174
61 Konstruktion einer Trapdoor-Einwegpermutation Definition Einweg-Permutation Eine (Trapdoor-)Permutationsfamilie heißt (Td-)Einwegpermutation falls für alle ppt Algorithmen A gilt Ws[Invert A,Πf (n) = 1] negl(n). Bsp: Trapdoor-Einwegpermutation unter RSA-Annahme Gen(1 n ): (N, e, d) GenRSA(1 n ), Ausgabe I = (N, e) und td = (N, d). Samp(I): Wähle x R Z N. f I (x): Berechne y := x e mod N. Inv td (y): Berechne x := y d mod N. Krypto II - Vorlesung 05 Konstruktion einer Einwegfunktion, Trapdoor-Permutation, Hardcore-Prädikat 61 / 174
62 Hardcore-Prädikat Ziel: Destilliere Komplexität des Invertierens auf ein Bit. Definition Hardcore-Prädikat Sei Π f eine Einwegpermutation. Sei hc ein deterministischer pt Alg mit Ausgabe eines Bits hc(x) bei Eingabe x D. hc heißt Hardcore-Prädikat für f falls für alle ppt Algorithmen A gilt: Ws[A(1 n, I, f (x)) = hc(x)]] negl(n). Intuition: Bild f (x) hilft nicht beim Berechnen von hc(x). Krypto II - Vorlesung 05 Konstruktion einer Einwegfunktion, Trapdoor-Permutation, Hardcore-Prädikat 62 / 174
63 Spiel zum Berechnen des Hardcore-Prädikats CompHC A,Πf (n) I Gen(1 n ) x Samp(I) y f I (x) Ausgabe: { 1 falls hc(x) = hc(x) 0 sonst (1 n, I, y) hc(x) A Berechne hc(x). Falls hc ein Hardcoreprädikat ist, so gilt für alle ppt A Ws[CompHC A,Πf (n) = 1] = Ws[A(1 n, I, f (x)) = hc(x)]] negl(n). Krypto II - Vorlesung 05 Konstruktion einer Einwegfunktion, Trapdoor-Permutation, Hardcore-Prädikat 63 / 174
64 Goldreich-Levin Hardcore-Prädikat Satz von Goldreich-Levin Sei Π f eine Einwegpermutation. Dann existiert eine Einwegpermutation Π g mit Hardcoreprädikat hc. Konstruktion: (ohne Beweis) Sei f eine Einwegpermutation mit Definitionsbereich {0, 1} n. Sei x = x 1... x n {0, 1} n. Konstruiere g(x, r) := (f (x), r) mit r R {0, 1} n. Offenbar ist g ebenfalls eine Einwegpermutation. Wir konstruieren ein Hardcore-Prädikat hc für g mittels hc(x, r) = x, r = n i=1 x ir i mod 2. Beweis der Hardcore-Eigenschaft ist nicht-trivial. Krypto II - Vorlesung 05 Konstruktion einer Einwegfunktion, Trapdoor-Permutation, Hardcore-Prädikat 64 / 174
65 Verschlüsselung aus Trapdoor-Einwegpermutation Algorithmus Π cpa Sei Π f eine Td-Einwegpermutation mit Hardcore-Prädikat hc. 1 Gen: (I, td) Gen(1 n ). Ausgabe pk = I und sk = td. 2 Enc: Für m {0, 1} setze x Sample(I) und berechne c (f (x), hc(x) m). 3 Dec: Für Chiffretext c = (c 1, c 2 ) berechne x := Inv td (c 1 ) und m := c 2 hc(x). Intuition: hc(x) ist pseudozufällig gegeben f (x). D.h. hc(x) m ist ununterscheidbar von 1-Bit One-Time Pad. Krypto II - Vorlesung 05 Konstruktion einer Einwegfunktion, Trapdoor-Permutation, Hardcore-Prädikat 65 / 174
66 Bsp: Verschlüsselung mit RSA-Td-Einwegpermutation Algorithmus Π rsa cpa Sei Π rsa die RSA Td-Einwegpermutation mit Hardcore-Prädikat hc. 1 Gen: (N, e, d) GenRSA(1 n ). Ausgabe pk = (N, e) und sk = (N, d). 2 Enc: Für m {0, 1} wähle r R Z N und berechne c (r e mod N, hc(r) m). 3 Dec: Für Chiffretext c = (c 1, c 2 ) berechne r := c1 d mod N und m c 2 hc(r). Krypto II - Vorlesung 05 Konstruktion einer Einwegfunktion, Trapdoor-Permutation, Hardcore-Prädikat 66 / 174
67 CPA-Sicherheit unserer Konstruktion Satz CPA-Sicherheit von Π cpa Sei Π f eine Trapdoor-Einwegpermutation mit Hardcore-Prädikat hc. Dann ist Π cpa CPA-sicher. Beweis: Sei A ein Angreifer mit Erfolgsws ɛ(n) = Ws[PubK cpa A,Π f (n) = 1]. OBdA (m 0, m 1 ) A(pk) mit {m 0, m 1 } = {0, 1}. (Warum?) Verwenden A, um A im Spiel CompHC A,Π f (n) zu konstruieren. Algorithmus Angreifer A Eingabe: 1 n, I, y = f (x) D 1 Setze pk I und berechne (m 0, m 1 ) A(pk). 2 Wähle b, z R {0, 1}. Setze c 2 m b z. 3 b A(y, c 2 ) Ausgabe: hc(x) = { z falls b = b. z sonst Krypto II - Vorlesung 06 CPA-sichere Verschlüsselung, Random Oracle Modell, ROM-RSA 67 / 174
68 Angreifer A für das Hardcore-Prädikat CompHC A,Πf (n) I Gen(1 n ) x Samp(I) y f I (x) Ausgabe: { 1 hc(x) = hc(x) 0 sonst (1 n, I, y) hc(x) A pk = I (1 n, pk) b, z R {0, 1} (m 0, m 1 ) c 2 = (m b z) (y, c 2 ) Ausgabe: { hc(x) z if b = b = z else b A Krypto II - Vorlesung 06 CPA-sichere Verschlüsselung, Random Oracle Modell, ROM-RSA 68 / 174
69 CPA-Sicherheit von Π cpa Beweis: Fortsetzung Sei x = f 1 (y). A hc rät z = hc(x). Es gilt Ws[A hc (f (x)) = hc(x)] = 1 2 Ws[b = b z = hc(x)] Ws[b b z hc(x)]. 1. Fall z = hc(x): (y, c 2 ) ist korrekte Verschlüsselung von m b, d.h. 2. Fall z hc(x): Es gilt Ws[b = b z = hc(x)] = ɛ(n). (y, c 2 ) = (f (x), z m b ) = (f (x), z 1 m b 1) = (f (x), hc(x) m b 1). D.h. (y, c 2 ) ist korrekte Verschlüsselung von m b 1 = m 1 b. Ws[b b z hc(x)] = Ws[1 b = b z 1 = hc(x)] = ɛ(n). Da hc ein Hardcore-Prädikat ist, folgt negl(n) Ws[A hc(f (x)) = hc(x)] = ɛ(n). Krypto II - Vorlesung 06 CPA-sichere Verschlüsselung, Random Oracle Modell, ROM-RSA 69 / 174
70 Random Oracle Definition Random Oracle Sei F n,l die Menge aller Funktionen {0, 1} n {0, 1} l(n). Ein Random Oracle ist eine zufällige Funktion H R F n,l. Wir besitzen keine Beschreibung von H. Bei Anfrage x liefert das Random Oracle H(x). Anmerkung: Bildliche Darstellung Ein Random Oracle H ist eine Funktion in einer schwarzen Box. H ist beobachtbar über das Eingabe/Ausgabe-Verhalten der Box. Alternative Beschreibung eines Random Oracles Oracle erhält Anfragen x 1,..., x q. Falls x i x j für alle j < i, gib y i R {0, 1} l(n) aus. Falls x i = x j für ein j < i, gib y j aus. D.h. wir können uns vorstellen, dass das Orakel die Antworten auf Anfragen bei Bedarf erzeugt und konsistent beantwortet. Damit können Random Oracle durch ppt Alg. simuliert werden. Krypto II - Vorlesung 06 CPA-sichere Verschlüsselung, Random Oracle Modell, ROM-RSA 70 / 174
71 Random Oracles liefern Einwegfunktionen Satz Für polynomielles l(n) sind Random Oracles H Einwegfunktionen. Beweis: Sei x R {0, 1} n und y = H(x). Wollen ein Urbild von y ermitteln. Jeder Angreifer A stellt obda verschiedene Anfragen x 1,..., x q. (Warum sollte jeder Angreifer so verfahren?) A gewinnt offenbar falls x i = x für ein i [q]. Es gilt Ws[x i = x für ein i] = q i=1 Ws[x i = x] = q 2. n A gewinnt ebenfalls für H(x i ) = y für mindestens ein i [q], d.h. Ws[H(x i ) = y für mindestens ein i] q i=1 Ws[H(x i) = y] = q. 2 l(n) Damit gilt Ws[Invert A,H (n) = 1] q 2 + n q 2 l(n). Für polynomielles q, l(n) ist dies vernachlässigbar in n. Krypto II - Vorlesung 06 CPA-sichere Verschlüsselung, Random Oracle Modell, ROM-RSA 71 / 174
72 Random Oracle und kollisionsresistentes Hashen Satz Für polynomielles l(n) sind Random Oracles kollisionsresistent. Beweis: Jeder Angreifer A stellt obda verschiedene Anfragen x 1,..., x q. A gewinnt mit Ws[H(x i ) = H(x j ) für ein i j] i j Ws[H(x i) = H(x j )] = (q 2) q2. 2 l(n) 2 l(n) Dies ist vernachlässigbar für polynomielles q, l(n). Krypto II - Vorlesung 06 CPA-sichere Verschlüsselung, Random Oracle Modell, ROM-RSA 72 / 174
73 Random Oracle Methode Definition Random Oracle Modell / Methode Das Random Oracle Modell (ROM) nimmt die Existenz von Random Oracles an. Die Random Oracle Methode besteht aus 2 Schritten: 1 Konstruiere ein Verfahren Π mit Hilfe eines Random Oracles H und beweise die Sicherheit von Π im ROM. 2 Instantiiere Π mit einer kryptographischen Hashfunktion H anstelle von H, z.b. mit SHA-1. Negativ: Beschreibung von H spezifiziert H (x) für alle x. Es existieren künstliche Kryptosysteme, die sicher im Random Oracle Modell aber unsicher für jede Instantiierung von H sind. Positiv: Ein Beweis im ROM ist besser als kein Beweis. Erfolgreicher Angriff muss die Instantiierung von H attackieren. H kann leicht durch eine andere Hashfunktion ersetzt werden. Krypto II - Vorlesung 06 CPA-sichere Verschlüsselung, Random Oracle Modell, ROM-RSA 73 / 174
74 CPA-sicheres effizientes RSA im ROM Verschlüsselung ROM-RSA Sei H : Z N {0, 1}l(n) ein Random Oracle. 1 Gen: (N, e, d) GenRSA(1 n ) mit pk = (N, e), sk = (N, d). 2 Enc: Für m {0, 1} l(n), wähle r R Z N. Berechne c (r e mod N, H(r) m). 3 Dec: Für c = (c 1, c 2 ) berechne r := c1 d mod N und m := H(r) c 2. Krypto II - Vorlesung 06 CPA-sichere Verschlüsselung, Random Oracle Modell, ROM-RSA 74 / 174
75 Sicherheit von RSA im Random Oracle Modell Satz CPA-Sicherheit von ROM-RSA Unter der RSA-Annahme und für ein Random Oracle H ist ROM-RSA Π CPA-sicher. Beweis: Sei A ein Angreifer mit Erfolgws ɛ(n) = Ws[PubK cpa A,Π (n) = 1]. A darf Orakelanfragen an H stellen, sowohl vor Ausgabe von (m 0, m 1 ) als auch nach Erhalt von Enc(m b ). Definiere Query : Ereignis A stellt Anfrage r = c1 d mod N an H. ɛ(n) = Ws[Query] Ws[PubK cpa A,Π (n) = 1 Query] + Ws[Query] Ws[PubK cpa A,Π (n) = 1 Query] Ws[PubK cpa A,Π (n) = 1 Query] + Ws[Query]. Zeigen Ws[PubK cpa A,Π (n) = 1 Query] = 1 2 und Ws[Query] negl(n). Daraus folgt ɛ(n) negl(n). Krypto II - Vorlesung 06 CPA-sichere Verschlüsselung, Random Oracle Modell, ROM-RSA 75 / 174
76 Beweis der CPA-Sicherheit von ROM-RSA (1/3) Beweis: Falls r nicht an H angefragt wird, ist H(r) m nach Eigenschaft des Random Oracles ein perfektes One-Time Pad für m. Daraus folgt Ws[PubK cpa A,Π (n) = 1 Query] = 1 2. Krypto II - Vorlesung 06 CPA-sichere Verschlüsselung, Random Oracle Modell, ROM-RSA 76 / 174
77 Beweis der CPA-Sicherheit von ROM-RSA (2/3) Beweis: Ws[Query] negl(n) Idee: Verwende Anfragen von A, um e-te Wurzeln zu berechnen. Algorithmus RSA-Invertierer A EINGABE: N, e, c 1 = r e mod N 1 Wähle k R {0, 1} l(n). (Wir setzen H(r) = k, ohne r zu kennen.) 2 (m 0, m 1 ) A(N, e), beantworte { Orakelanfragen r i an H( ) k i = k für ri e = c 1 mod N konsistent mit k i R {0, 1} l(n). sonst 3 Berechne c (c 1, k m b ) für ein b R {0, 1}. 4 b A(c), beantworte Anfragen von A an H( ) wie zuvor. 5 Falls r e i = c 1 mod N für eine der Orakelanfragen, setze r r i. AUSGABE: r Es gilt Ws[Query] = Ws[A (N, e, r e ) = r] negl(n). Krypto II - Vorlesung 06 CPA-sichere Verschlüsselung, Random Oracle Modell, ROM-RSA 77 / 174
78 Beweis der CPA-Sicherheit von ROM-RSA (3/3) A Invert A,Π RSA (n) (1 n, N, e, c 1 ) pk = (N, e) k i, k R {0, 1} n (N, e, d) GenRSA(1 n ) { r R Z k if ri e N H(r i ) = 1 c 1 = r e mod N k i sonst Ausgabe: { 1 (r ) e = c 1 0 sonst r c 2 := k m b für { b R {0, 1} r r i if ri e = = c 1 sonst (1 n, pk) r i H(r i ) (m 0, m 1 ) (c 1, c 2 ) b A Krypto II - Vorlesung 06 CPA-sichere Verschlüsselung, Random Oracle Modell, ROM-RSA 78 / 174
79 Sicherheit gegenüber CCA Idee: Ersetze One-Time Pad durch CCA-sicheres Secret Key Verfahren. Erinnerung Krypto I: Konstruktion von CPA-sicherem Secret Key Verfahren mittels Pseudozufallsfunktion (und MAC) möglich. Verschlüsselung ROM-RSA-2 Sei H : Z N {0, 1}l(n) ein Random Oracle, Π = (Gen, Enc, Dec ) ein CPA-sicheres Secret Key Verschlüsselungsverfahren. 1 Gen: (N, e, d) GenRSA(1 n ) mit pk = (N, e), sk = (N, d). 2 Enc: Für m {0, 1} l(n), wähle r R Z N. Berechne k = H(r) und c (r e mod N, Enc k (m)). 3 Dec: Für c = (c 1, c 2 ) berechne r c d 1 mod N, k H(r) und m Dec k (c 2). Krypto II - Vorlesung 07 CCA-sicheres RSA, Jacobi-Symbol, Goldwasser-Micali 79 / 174
80 Sicherheit von ROM-RSA-2 Satz Sicherheit von ROM-RSA-2 Unter der RSA-Annahme, für ein Random Oracle H und ein CPA-sicheres Π liefert ROM-RSA-2 CCA-sichere Verschlüsselung. Anmerkungen: Wir werden den Satz hier nicht formal beweisen. Der Beweis verläuft großteils analog zum vorigen Beweis. Problem: Müssen Orakel Dec sk ( ) simulieren, ohne sk zu kennen. Verwende dazu geschicktes Simulieren des Random Oracles H( ). Bsp. für geschicktes Simulieren: s. Beweis zu RSA-FDH (später). Krypto II - Vorlesung 07 CCA-sicheres RSA, Jacobi-Symbol, Goldwasser-Micali 80 / 174
81 Jacobi-Symbol Erinnerung Jacobi-Symbol: Beweise siehe Diskrete Mathematik II Definition Quadratischer Rest Sei N N. Ein Element a Z N heißt quadratischer Rest in Z N, falls es ein b Z N gibt mit b 2 = a mod N. Wir definieren QR N = {a Z N a ist quadratischer Rest } und QNR N = Z N \ QR N. Lemma Anzahl quadratischer Reste in primen Restklassen Sei p > 2 prim. Dann gilt QR p = Z p 2 = p 1 2. Beweisidee: Quadrieren auf Z p, x x 2, ist eine 2:1-Abbildung. Die verschiedenen Werte x, ( x) werden beide auf x 2 abgebildet. Krypto II - Vorlesung 07 CCA-sicheres RSA, Jacobi-Symbol, Goldwasser-Micali 81 / 174
82 Legendre-Symbol Definition Legendre Symbol Sei p > 2 prim und a N. Das Legendre Symbol ist definiert als ( ) a = p 0 falls p a 1 falls (a mod p) QR p. 1 falls (a mod p) QNR p Satz ( ) a = a p 1 2 mod p p Eigenschaften Quadratischer Reste ( ) ( ) ( ) 1 Multiplikativität: ab p = a b p p 2 (QR p, ) ist eine multiplikative Gruppe. Krypto II - Vorlesung 07 CCA-sicheres RSA, Jacobi-Symbol, Goldwasser-Micali 82 / 174
83 Das Jacobi Symbol Definition Jacobi Symbol Sei N = p e pe k k N ungerade und a N. Dann ist das Jacobi Symbol definiert als ) ( ) ei ( ) ek = a p 1... a pk. ( a N Warnung: ( a N ) = 1 impliziert nicht, dass a QRN ist. Bsp: ( 2 15) = ( 2 3) ( 2 5) = ( 1)( 1) = 1. D.h. 2 QNR 3 und 2 QNR 5. Damit besitzt x 2 = 2 weder Lösungen modulo 3 noch modulo 5. Nach CRT besitzt x 2 = 2 mod 15 ebenfalls keine Lösung. Krypto II - Vorlesung 07 CCA-sicheres RSA, Jacobi-Symbol, Goldwasser-Micali 83 / 174
84 Pseudoquadrate Berechnung des Jacobi-Symbols: Sei a Z N. Berechnung von ( a N ) ist in Zeit log 2 (max{n, a}) möglich, ohne die Faktorisierung von N zu kennen. Algorithmus ist ähnlich zum Euklidischen Algorithmus, verwendet das Gaußsche Reziprozitätsgesetz. Definition Pseudoquadrat Sei N N. Die Menge der Pseudoquadrate ist definiert als QNR +1 N = {a Z N ( a N ) = 1 und a / QRN }. Krypto II - Vorlesung 07 CCA-sicheres RSA, Jacobi-Symbol, Goldwasser-Micali 84 / 174
85 Multiplikation von Resten/Nichtresten Lemma Multiplikation von Resten/Nichtresten Sei N = pq ein RSA-Modul. Seien x, x QR N und y, y QNR +1 N. 1 xx QR N 2 yy QR N 3 xy QNR +1 N Beweis: für 3 (1+2 folgen analog) Nach Chinesischem Restsatz gilt QR N QR p QR q und QNR +1 N QNR p QNR q. Aus der Multiplikativität des Legendre-Symbols folgt ( xy ) ( ) ( ) ( ) ( ) ( ) ( ) N = xy xy p q = x x y y p q p q = 1 1 ( 1) ( 1) = 1. Analog gilt ( xy p Daraus folgt xy QNR +1 N. ) ( ) ( ) = x y p p = ( 1). Krypto II - Vorlesung 07 CCA-sicheres RSA, Jacobi-Symbol, Goldwasser-Micali 85 / 174
86 Quadratische Residuositätsannahme Definition Quadratische Residuosität Das Unterscheiden quadratischer Reste ist hart bezüglich GenModulus(1 n ) falls für alle ppt D gilt Ws[D(1 n, N, qr) = 1] Ws[D(1 n, N, qnr) = 1] negl(n), wobei qr R QR N und qnr R QNR +1 N. QR-Annahme: Unterscheiden quadratischer Reste ist hart. Idee des Goldwasser-Micali Kryptosystems pk = N, sk = (p, q) Verschlüsselung von 0 ist zufälliges x R QR N. Wähle x R Z N und berechne x x 2 mod N. Verschlüsselung von 1 ist zufälliges y R QNR +1 N. Problem: Wie wählt man y ohne p, q zu kennen? Abhilfe: Public-Key enthält z R QNR +1 N. Sender wählt x R Z N und berechnet y z x 2 mod N QNR +1 N. Krypto II - Vorlesung 07 CCA-sicheres RSA, Jacobi-Symbol, Goldwasser-Micali 86 / 174
87 GOLDWASSER-MICALI Verschlüsselung (1984) Definition GOLDWASSER-MICALI Verschlüsselung Sei n ein Sicherheitsparameter. 1 Gen: (N, p, q) GenModulus(1 n ). Wähle z R QNR +1 N. (Wie?) Schlüssel: pk = (N, z) und sk = (p, q) 2 Enc: Für m {0, 1} wähle x R {0, 1} und berechne c z m x 2 mod N. { ( ) 0 falls c 3 p = 1 Dec: Berechne m =. 1 sonst Korrektheit: ( ) Für m = 0 ist c QR N QR p QR q, d.h. c p = 1. ( ) Für m = 1 ist c QNR +1 N QNR p QNR q, d.h. c p = ( 1). Krypto II - Vorlesung 07 CCA-sicheres RSA, Jacobi-Symbol, Goldwasser-Micali 87 / 174
88 Sicherheit von GOLDWASSER-MICALI Verschlüsselung Satz Sicherheit von GOLDWASSER-MICALI Unter der QR-Annahme ist GOLDWASSER-MICALI Π CPA-sicher. Beweis: Sei A ein Angreifer für Π mit ɛ(n) = Ws[PubK cpa A,Π (n) = 1]. Konstruieren Unterscheider D für Quadratische Residuosität. Algoritmus QR-Unterscheider D EINGABE: (N, z) mit ( z N ) = 1 1 Setze pk = (N, z) und berechne (m 0, m 1 ) A(pk). OBdA gilt {m 0, m 1 } = {0, 1}. 2 Wähle b R {0, 1} und x R Z N. Berechne c zm b x 2 mod N. 3 b A(c) { 1 falls b = b, Interpretation z QNR +1 AUSGABE: N 0 sonst, Interpretation z QR N Krypto II - Vorlesung 07 CCA-sicheres RSA, Jacobi-Symbol, Goldwasser-Micali 88 / 174
CPA-Sicherheit ist ungenügend
CPA-Sicherheit ist ungenügend Definition CCA CCA (=Chosen Ciphertext Attack) ist ein Angriff, bei dem der Angreifer sich Chiffretext seiner Wahl entschlüsseln lassen kann. Beispiele in denen CPA nicht
MehrHybride Verschlüsselungsverfahren
Hybride Verschlüsselungsverfahren Ziel: Flexibilität von asym. Verfahren und Effizienz von sym. Verfahren. Szenario: Sei Π = (Gen, Enc, Dec) ein PK-Verschlüsselungsverfahren und Π = (Gen, Enc, Dec ) ein
MehrExistenz von Einwegfunktionen
Existenz von Einwegfunktionen Satz Einweg-Eigenschaft von f FO Unter der Faktorisierungsannahme ist f FO eine Einwegfunktion. Beweis: f FO ist mittels FACTOR-ONEWAY effizient berechenbar. z.z.: Invertierer
MehrSicherheit von ElGamal
Sicherheit von ElGamal Satz CPA-Sicherheit ElGamal ElGamal Π ist CPA-sicher unter der DDH-Annahme. Beweis: Sei A ein Angreifer auf ElGamal Π mit Erfolgsws ɛ(n) := Ws[PubK cpa A,Π (n) = 1]. Wir konstruieren
MehrKryptographie II Asymmetrische Kryptographie
Kryptographie II Asymmetrische Kryptographie Alexander May Fakultät für Mathematik Ruhr-Universität Bochum Sommersemester 2011 Krypto II - Vorlesung 01-06.04.2011 Schlüsselverteil-Center, Diffie-Hellman
MehrHardcore-Prädikat. Definition Hardcore-Prädikat. Ziel: Destilliere Komplexität des Invertierens auf ein Bit.
Hardcore-Prädikat Ziel: Destilliere Komplexität des Invertierens auf ein Bit. Definition Hardcore-Prädikat Sei Π f eine Einwegfunktion. Sei hc ein deterministischer pt Alg mit Ausgabe eines Bits hc(x)
MehrElGamal Verschlüsselungsverfahren (1984)
ElGamal Verschlüsselungsverfahren (1984) Definition ElGamal Verschlüsselungsverfahren Sei n ein Sicherheitsparameter. 1 Gen : (q, g) G(1 n ), wobei g eine Gruppe G der Ordnung q generiert. Wähle x R Z
MehrRabin Verschlüsselung 1979
Rabin Verschlüsselung 1979 Idee: Rabin Verschlüsselung Beobachtung: Berechnen von Wurzeln in Z p ist effizient möglich. Ziehen von Quadratwurzeln in Z N ist äquivalent zum Faktorisieren. Vorteil: CPA-Sicherheit
MehrSicherheit von hybrider Verschlüsselung
Sicherheit von hybrider Verschlüsselung Satz Sicherheit hybrider Verschlüsselung Sei Π ein CPA-sicheres PK-Verschlüsselungsverfahren und Π ein KPA-sicheres SK-Verschlüsselungsverfahren. Dann ist das hybride
MehrUnunterscheidbarkeit von Chiffretexten
Ununterscheidbarkeit von Chiffretexten Spiel Ununterscheidbarkeit von Chiffretexten PrivK eav A,Π (n) Sei Π ein Verschlüsselungsverfahren und A ein Angreifer. 1 (m 0, m 1 ) A. 2 k Gen(1 n ). 3 Wähle b
MehrSicherheit von Merkle Signaturen
Sicherheit von Merkle Signaturen Algorithmus Angreifer A für die Einwegsignatur EINGABE: pk, Zugriff auf eine Anfrage an Orakel Sign sk ( ) 1 Berechne (pk (i), sk (i) ) Gen(1 n ) für i = 1,...,l. Wähle
MehrStromchiffre. Algorithmus Stromchiffre
Stromchiffre Algorithmus Stromchiffre Sei G ein Pseudozufallsgenerator mit Expansionsfaktor l(n). Wir definieren Π s = (Gen, Enc, Dec) mit Sicherheitsparameter n für Nachrichten der Länge l(n). 1 Gen:
MehrStromchiffre. Algorithmus Stromchiffre
Stromchiffre Algorithmus Stromchiffre Sei G ein Pseudozufallsgenerator mit Expansionsfaktor l(n). Wir definieren Π s = (Gen, Enc, Dec) mit Sicherheitsparameter n für Nachrichten der Länge l(n). 1 Gen:
MehrHomomorphe Verschlüsselung
Homomorphe Verschlüsselung Definition Homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : G G für Gruppen G, G. Π heißt homomorph, falls Enc(m 1 ) G Enc(m 2 ) eine gültige Verschlüsselung
MehrPrinzipien der modernen Kryptographie Sicherheit
Prinzipien der modernen Kryptographie Sicherheit Prinzip 1 Sicherheitsmodell Das Sicherheitsmodell (Berechnungsmodell, Angriffstypen, Sicherheitsziele) muss präzise definiert werden. Berechnungsmodell:
MehrPrinzipien der modernen Kryptographie Sicherheit
Prinzipien der modernen Kryptographie Sicherheit Prinzip 1 Sicherheitsziel Die Sicherheitsziele müssen präzise definiert werden. Beispiele für ungenügende Definitionen von Sicherheit Kein Angreifer kann
MehrKryptographie I Symmetrische Kryptographie
Kryptographie I Symmetrische Kryptographie Eike Kiltz 1 Fakultät für Mathematik Ruhr-Universität Bochum Wintersemester 2011/12 1 Basierend auf Folien von Alexander May. Krypto I - Vorlesung 01-10.10.2011
MehrKryptographie I Symmetrische Kryptographie
Kryptographie I Symmetrische Kryptographie Alexander May Fakultät für Mathematik Ruhr-Universität Bochum Wintersemester 2012/13 Krypto I - Vorlesung 01-08.10.2012 Verschlüsselung, Kerckhoffs, Angreifer,
MehrDefinition Message Authentication Code (MAC) Ein Message Authentication Code (MAC) bzgl. des Nachrichtenraumen M besteht aus den ppt Alg.
Message Authentication Code (MAC) Szenario: Integrität und Authentizität mittels MACs. Alice und Bob besitzen gemeinsamen Schlüssel k. Alice berechnet für m einen MAC-Tag t als Funktion von m und k. Alice
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Vorlesung 4 Alexander Koch (Vertretung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 KIT 2015-11-12 Universität desalexander Landes Baden-Württemberg
Mehr8. Woche Quadratische Reste und Anwendungen. 8. Woche: Quadratische Reste und Anwendungen 163/ 238
8 Woche Quadratische Reste und Anwendungen 8 Woche: Quadratische Reste und Anwendungen 163/ 238 Quadratische Reste Ḋefinition Quadratischer Rest Sei n N Ein Element a Z n heißt quadratischer Rest in Z
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Vorlesung 4 Alexander Koch (Vertretung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-11-10 Alexander Koch Asymmetrische Verschlüsselungsverfahren
Mehr13. Woche: NP-Vollständigkeit Satz von Cook-Levin Anwendungen in der Kryptographie
13 Woche: NP-Vollständigkeit Satz von Cook-Levin Anwendungen in der Kryptographie 13 Woche: NP-Vollständigkeit, Satz von Cook-Levin, Anwendungen 276/ 333 N P-Vollständigkeit Ḋefinition NP-vollständig Sei
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 12.05.2014 1 / 26 Überblick 1 Hashfunktionen Erinnerung Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel:
MehrKryptographie I Symmetrische Kryptographie
Kryptographie I Symmetrische Kryptographie Eike Kiltz 1 Fakultät für Mathematik Ruhr-Universität Bochum Wintersemester 2014/15 1 Basierend auf Folien von Alexander May. Krypto - Vorlesung 01-6.10.2014
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 15.05.2017 1 / 25 Überblick 1 Hashfunktionen Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel: RSA
MehrKryptographie I Symmetrische Kryptographie
Kryptographie I Symmetrische Kryptographie Alexander May Fakultät für Mathematik Ruhr-Universität Bochum Wintersemester 2009/10 Krypto I - Vorlesung 01-12.10.2009 Verschlüsselung, Kerckhoffs, Angreifer,
MehrBeliebige Anzahl von Signaturen
Beliebige Anzahl von Signaturen Algorithmus Signaturketten Sei Π = (Gen, Sign, Vrfy) ein Einwegsignaturverfahren. 1 Gen : (pk 1, sk 1 ) Gen(1 n ) 2 Sign : Signieren der Nachricht m i. Verwende gemerkten
MehrDas Quadratische Reste Problem
Das Quadratische Reste Problem Definition Pseudoquadrate Sei N = q mit, q rim. Eine Zahl a heißt Pseudoquadrat bezüglich N, falls ( a ) = 1 und a / QR N. N Wir definieren die Srache QUADRAT:= {a Z N (
MehrKryptographie I Symmetrische Kryptographie
Kryptographie I Symmetrische Kryptographie Alexander May Fakultät für Mathematik Ruhr-Universität Bochum Wintersemester 2012/13 Krypto I - Vorlesung 01-08.10.2012 Verschlüsselung, Kerckhoffs, Angreifer,
MehrKryptographie I Symmetrische Kryptographie
Kryptographie I Symmetrische Kryptographie Eike Kiltz 1 Fakultät für Mathematik Ruhr-Universität Bochum Wintersemester 2011/12 1 Basierend auf Folien von Alexander May. Krypto I - Vorlesung 01-10.10.2011
MehrHashfunktionen und Kollisionen
Hashfunktionen und Kollisionen Definition Hashfunktion Eine Hashfunktion ist ein Paar (Gen, H) von pt Algorithmen mit 1 Gen: s Gen(1 n ). Gen ist probabilistisch. 2 H: H s berechnet Funktion {0, 1} {0,
MehrSatz von Euler. Satz von Euler. Korollar 1. Korollar 2 Kleiner Fermat. Sei (G, ) eine endl. abelsche Gruppe. Dann gilt a G = 1 für alle a G.
Satz von Euler Satz von Euler Sei (G, ) eine endl. abelsche Gruppe. Dann gilt a G = 1 für alle a G. Beweis: Sei G = {g 1,..., g n } und a G. Betrachte die Abbildung f : G G, g ag. Da a G, besitzt a ein
MehrSatz von Euler. Satz von Euler. Korollar 1. Korollar 2 Kleiner Fermat. Sei (G, ) eine endl. abelsche Gruppe. Dann gilt a G = 1 für alle a G.
Satz von Euler Satz von Euler Sei (G, ) eine endl. abelsche Gruppe. Dann gilt a G = 1 für alle a G. Beweis: Sei G = {g 1,..., g n } und a G. Betrachte die Abbildung f : G G, g ag. Da a G, besitzt a ein
MehrVorlesung Sicherheit
Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 04.05.2015 1 / 20 Kummerkasten Vorlesungsfolien bitte einen Tag vorher hochladen : Sollte
MehrRSA Full Domain Hash (RSA-FDH) Signaturen
RSA Full Domain Hash (RSA-FDH) Signaturen Signatur RSA-FDH Sei H : {0, 1} Z N ein Random-Oracle. 1 Gen: (N, e, d) GenRSA(1 n ) mit pk = (N, e) und sk = (N, d). 2 Sign: Für eine Nachricht m {0, 1} berechne
MehrDas Rucksackproblem. Definition Sprache Rucksack. Satz
Das Rucksackproblem Definition Sprache Rucksack Gegeben sind n Gegenstände mit Gewichten W = {w 1,...,w n } N und Profiten P = {p 1,...,p n } N. Seien ferner b, k N. RUCKSACK:= {(W, P, b, k) I [n] : i
MehrVoll homomorpe Verschlüsselung
Voll homomorpe Verschlüsselung Definition Voll homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : R R für Ringe R, R. Π heißt voll homomorph, falls 1 Enc(m 1 ) + Enc(m 2 ) eine gültige
MehrPublic Key Kryptographie
3. Juni 2006 1 Algorithmen für Langzahlen 1 RSA 1 Das Rabin-Kryptosystem 1 Diskrete Logarithmen Grundlagen der PK Kryptographie Bisher: Ein Schlüssel für Sender und Empfänger ( Secret-Key oder symmetrische
MehrKryptographie und Komplexität
Kryptographie und Komplexität Einheit 5 Kryptosysteme auf der Basis diskreter Logarithmen 1. Diffie Hellman Schlüsselaustausch 2. El Gamal Systeme 3. Angriffe auf Diskrete Logarithmen 4. Elliptische Kurven
MehrKryptographie und Komplexität
Kryptographie und Komplexität Einheit 5.2 ElGamal Systeme 1. Verschlüsselungsverfahren 2. Korrektheit und Komplexität 3. Sicherheitsaspekte Das ElGamal Verschlüsselungsverfahren Public-Key Verfahren von
MehrBetriebssysteme und Sicherheit
Betriebssysteme und Sicherheit Asymmetrische Kryptographie WS 2012/2012 Dr.-Ing. Elke Franz Elke.Franz@tu-dresden.de 1 Überblick 1 Prinzip asymmetrischer (Konzelations-)Systeme 2 Mathematische Grundlagen
MehrRSA Full Domain Hash (RSA-FDH) Signaturen
RSA Full Domain Hash (RSA-FDH) Signaturen Signatur RSA-FDH Sei H : {0, 1} Z N ein Random-Oracle. 1 Gen: (N, e, d) GenRSA(1 n ) mit pk = (N, e) und sk = (N, d). 2 Sign: Für eine Nachricht m {0, 1} berechne
MehrKryptographie und Komplexität
Kryptographie und Komplexität Einheit 4.4 Semantische Sicherheit 1. Sicherheit partieller Informationen 2. Das Verfahren von Rabin 3. Sicherheit durch Randomisierung Semantische Sicherheit Mehr als nur
MehrVerschlüsselung. Chiffrat. Eve
Das RSA Verfahren Verschlüsselung m Chiffrat m k k Eve? Verschlüsselung m Chiffrat m k k Eve? Aber wie verteilt man die Schlüssel? Die Mafia-Methode Sender Empfänger Der Sender verwendet keine Verschlüsselung
MehrHomomorphe Verschlüsselung
Homomorphe Verschlüsselung Definition Homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : G G für Gruppen G, G. Π heißt homomorph, falls Enc(m 1 ) G Enc(m 2 ) eine gültige Verschlüsselung
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Björn Kaidel - Vertretung für Prof. J. Müller-Quade (Folien von A. Koch) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 17.11.2016 Björn Kaidel
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 06.05.2013 1 / 25 Überblick 1 Hashfunktionen Erinnerung Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel:
MehrÜbung GSS Blatt 6. SVS Sicherheit in Verteilten Systemen
Übung GSS Blatt 6 SVS Sicherheit in Verteilten Systemen 1 Einladung zum SVS-Sommerfest SVS-Sommerfest am 12.07.16 ab 17 Uhr Ihr seid eingeladen! :-) Es gibt Thüringer Bratwürste im Brötchen oder Grillkäse
Mehr3: Zahlentheorie / Primzahlen
Stefan Lucks Diskrete Strukturen (WS 2009/10) 96 3: Zahlentheorie / Primzahlen 3: Zahlentheorie / Primzahlen Stefan Lucks Diskrete Strukturen (WS 2009/10) 97 Definition 37 (Teiler, Vielfache, Primzahlen,
MehrDigitale Signaturen. RSA-FDH & das Random Oracle Model Björn Kaidel (mit Folien von Gunnar Hartung)
Digitale Signaturen RSA-FDH & das Random Oracle Model Björn Kaidel (mit Folien von Gunnar Hartung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-12-01 B. Kaidel Digitale Signaturen:
MehrGruppenbasierte Kryptographie. ElGamal Sicherheit. Drei Probleme. ElGamal Verschlüsselung. Benutzt zyklische Gruppen von (fast) Primzahlordnung:
Gruppenbasierte Kryptographie Benutzt zyklische Gruppen von (fast) Primzahlordnung: G = g und #G = l = cl 0 mit c klein und l 0 prim. b G : x Z : b = g x. Das Element x heißt diskreter Logarithmus von
MehrAufgabe der Kryptografie
Aufgabe der Kryptografie Eve möchte die Unterhaltung mithören und/oder ausgetauschte Informationen ändern. Alice & Bob kommunzieren über einen unsicheren Kanal. Alice & Bob nutzen Verschlüsselung und digitale
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Digitale Signaturen Prof. Jörn Müller-Quade mit Folien von G. Hartung und B. Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2018-01-25 J.
Mehr3 Public-Key-Kryptosysteme
Stand: 05.11.2013 Vorlesung Grundlagen und Methoden der Kryptographie Dietzfelbinger 3 Public-Key-Kryptosysteme 3.1 Verschlüsselung von Nachrichten Wir betrachten ganz einfache Kommunikationsszenarien.
MehrÜbung zur Vorlesung Sicherheit Übungsblatt 3. Björn Kaidel 1 / 52
Übung zur Vorlesung Sicherheit 21.05.2014 Übungsblatt 3 Björn Kaidel bjoern.kaidel@kit.edu 1 / 52 Kummerkasten Bitte helleren Laserpointer verwenden. Sind die Skriptlinks vertauscht? Nein! Wegen allgemeiner
MehrInstitut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Klausur Hinweise
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Klausur 21.07.2015 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen
Mehr= 1. Falls ( a n. ) r i. i=1 ( b p i
Das Jacobi-Symbol Definition Jacobi-Symbol Sei n N ungerade mit Primfaktorzerlegung n = s definieren das Jacobi-Symbol ( a ( ) ri n) := s a i=1 p i. i=1 pr i i. Wir Anmerkungen: Falls a quadratischer Rest
MehrKryptographie I Symmetrische Kryptographie
Kryptographie I Symmetrische Kryptographie Alexander May Fakultät für Mathematik Ruhr-Universität Bochum Wintersemester 2010/11 Krypto I - Vorlesung 01-11.10.2010 Verschlüsselung, Kerckhoffs, Angreifer,
MehrÜbung zur Vorlesung. Sicherheit Übungsblatt 5 Björn Kaidel
Übung zur Vorlesung Sicherheit 30.06.2016 Übungsblatt 5 Björn Kaidel bjoern.kaidel@kit.edu https://b.socrative.com/login/student/ Room: SICHERHEIT Bitte gleich einloggen! 1 / 55 Evaluation (siehe Evaluations-PDF)
MehrMerkle-Damgard Transformation
Merkle-Damgard Transformation Ziel: Konstruiere H : {0, 1} {0, 1} l aus h : {0, 1} 2l {0, 1} l. Algorithmus Merkle-Damgard Konstruktion Sei (Gen, h) eine kollisionsresistente Hashfunktion mit h : {0, 1}
MehrErinnerung Blockchiffre
Erinnerung Blockchiffre Definition schlüsselabhängige Permutation Seien F, F 1 pt Algorithmen. F heißt schlüsselabhängige Permutation auf l Bits falls 1 F berechnet eine Funktion {0, 1} n {0, 1} l {0,
MehrEffizienten MAC-Konstruktion aus der Praxis: NMAC Idee von NMAC:
Effizienten MAC-Konstruktion aus der Praxis: NMAC Idee von NMAC: Hashe m {0, 1} auf einen Hashwert in {0, 1} n. Verwende Π MAC3 für Nachrichten fixer Länge auf dem Hashwert. Wir konstruieren Π MAC3 mittels
MehrKryptographische Protokolle
Kryptographische Protokolle Lerneinheit 4: Schlüsselvereinbarung Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen Sommersemester 2017 8.5.2017 Einleitung Einleitung In dieser Lerneinheit
MehrInstitut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Klausur Hinweise
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Klausur 22.07.2014 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen
MehrPublic-Key-Verschlüsselung und Diskrete Logarithmen
Public-Key-Verschlüsselung und Diskrete Logarithmen Carsten Baum Institut für Informatik Universität Potsdam 10. Juni 2009 1 / 30 Inhaltsverzeichnis 1 Mathematische Grundlagen Gruppen, Ordnung, Primitivwurzeln
MehrErinnerung Blockchiffre
Erinnerung Blockchiffre Definition schlüsselabhängige Permutation Seien F, F 1 pt Algorithmen. F heißt schlüsselabhängige Permutation auf l Bits falls 1 F berechnet eine Funktion {0, 1} n {0, 1} l {0,
MehrIT-Sicherheit: Kryptographie. Asymmetrische Kryptographie
IT-Sicherheit: Kryptographie Asymmetrische Kryptographie Fragen zur Übung 5 C oder Java? Ja (gerne auch Python); Tips waren allerdings nur für C Wie ist das mit der nonce? Genau! (Die Erkennung und geeignete
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Digitale Signaturen Björn Kaidel - Vertretung für Prof. Müller-Quade FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-01-19 B. Kaidel Asymmetrische
MehrErinnerung Blockchiffre
Erinnerung Blockchiffre Definition schlüsselabhängige Permutation Seien F, F 1 pt Algorithmen. F heißt schlüsselabhängige Permutation auf l Bits falls 1 F berechnet eine Funktion {0, 1} n {0, 1} l {0,
MehrWS 2009/10. Diskrete Strukturen
WS 2009/10 Diskrete Strukturen Prof. Dr. J. Esparza Lehrstuhl für Grundlagen der Softwarezuverlässigkeit und theoretische Informatik Fakultät für Informatik Technische Universität München http://www7.in.tum.de/um/courses/ds/ws0910
MehrPublic Key Kryptographie
4. Dezember 2007 Outline 1 Einführung 2 3 4 Einführung 1976 Whitefield Diffie und Martin Hellman 2 Schlüsselprinzip Asymmetrische Verschlüsselungsverfahren public Key private Key Anwendung E-Mail PGP openpgp
MehrKryptographie und Komplexität
Kryptographie und Komplexität Einheit 4 Public Key Kryptographie mit RSA 1. Ver- und Entschlüsselung 2. Schlüsselerzeugung und Primzahltests 3. Angriffe auf das RSA Verfahren 4. Sicherheit von RSA Probleme
MehrMitschrift Vorlesung Einführung in die Kryptographie vom 18. Januar 2011
Mitschrift Vorlesung Einführung in die Kryptographie vom 18. Januar 2011 Dominic Scheurer 6. Februar 2012 Inhaltsverzeichnis 30 Digitale Signaturen (cont'd) - One-Time-Signaturen (OTS) 1 31 Public-Key-Verschlüsselung
MehrVorlesung Sicherheit
Vorlesung Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 23.05.2016 1 / 32 Überblick 1 Symmetrische Authentifikation von Nachrichten Ziel Konstruktionen MACs
Mehr4 Der diskrete Logarithmus mit Anwendungen
4 Der diskrete Logarithmus mit Anwendungen 53 4.1 Der diskrete Logarithmus Sei G eine Gruppe (multiplikativ geschrieben) und a G ein Element der Ordnung s (die auch sein kann). Dann ist die Exponentialfunktion
Mehr10. Public-Key Kryptographie
Stefan Lucks 10. PK-Krypto 274 orlesung Kryptographie (SS06) 10. Public-Key Kryptographie Analyse der Sicherheit von PK Kryptosystemen: Angreifer kennt öffentlichen Schlüssel Chosen Plaintext Angriffe
Mehr4 Kryptologie. Übersicht
4 Kryptologie Übersicht 4.1 Der erweiterte euklidische Algorithmus................................ 38 4.2 Rechnen mit Restklassen modulo p................................... 39 4.3 Der kleine Satz von
MehrWiederholung. Symmetrische Verfahren: klassische Verfahren / grundlegende Prinzipien: Substitution, Transposition, One-Time-Pad DES AES
Wiederholung Symmetrische Verfahren: klassische Verfahren / grundlegende Prinzipien: Substitution, Transposition, One-Time-Pad DES AES Mathematische Grundlagen: algebraische Strukturen: Halbgruppe, Monoid,
MehrEinführung in die Kryptographie
Einführung in die Kryptographie Stefan Katzenbeisser Institut für Informatik Technische Universität München skatzenbeisser@acm.org Kryptographie p.1/54 Vom Zeichen zum Code Älteste Form: Codes repräsentieren
MehrEin RSA verwandtes, randomisiertes Public Key Kryptosystem
Seminar Codes und Kryptographie WS 2003 Ein RSA verwandtes, randomisiertes Public Key Kryptosystem Kai Gehrs Übersicht 1. Motivation 2. Das Public Key Kryptosystem 2.1 p-sylow Untergruppen und eine spezielle
MehrVIII. Digitale Signaturen
VIII. Digitale Signaturen Bob Eve Eve möchte - lauschen - ändern - personifizieren Alice 1 Aufgaben - Vertraulichkeit - Lauschen - Authentizität - Tauschen des Datenursprungs - Integrität - Änderung der
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 08.05.2017 1 / 32 Überblick 1 Blockchiffren Erinnerung Varianten von DES Beispiel: AES Angriffe auf Blockchiffren 2 Formalisierung von Sicherheit (symmetrischer
MehrEinwegfunktionen. Problemseminar. Komplexitätstheorie und Kryptographie. Martin Huschenbett. 30. Oktober 2008
Problemseminar Komplexitätstheorie und Kryptographie Martin Huschenbett Student am Institut für Informatik an der Universität Leipzig 30. Oktober 2008 1 / 33 Gliederung 1 Randomisierte Algorithmen und
MehrÜbungsblatt 3. Stammvorlesung Sicherheit im Sommersemester Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Übungsblatt 3 Aufgabe 1. Beurteilen Sie für die folgenden Konstruktionen jeweils, ob es sich
MehrKryptologie. Bernd Borchert. Univ. Tübingen SS Vorlesung. Teil 10. Signaturen, Diffie-Hellman
Kryptologie Bernd Borchert Univ. Tübingen SS 2017 Vorlesung Teil 10 Signaturen, Diffie-Hellman Signatur Signatur s(m) einer Nachricht m Alice m, s(m) Bob K priv K pub K pub Signatur Signatur (Thema Integrity
MehrDas Generalized Birthday Problem
Das Generalized Birthday Problem Problem Birthday Gegeben: L 1, L 2 Listen mit Elementen aus {0, 1} n Gesucht: x 1 L 1 und x 2 L 2 mit x 1 x 2 = 0. Anwendungen: Meet-in-the-Middle Angriffe (z.b. für RSA,
MehrInstitut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Nachklausur
Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz IKS Institut für Kryptographie und Sicherheit Stammvorlesung Sicherheit im Sommersemester 2013 Nachklausur 07.10.2013 Vorname: Nachname:
MehrEinführung in die Kryptographie
Einführung in die Kryptographie Stefan Katzenbeisser Institut für Informatik Technische Universität München skatzenbeisser@acm.org Kryptographie p.1/54 Vom Zeichen zum Code Älteste Form: Codes repräsentieren
MehrKryptographie. Nachricht
Kryptographie Kryptographie Sender Nachricht Angreifer Empfänger Ziele: Vertraulichkeit Angreifer kann die Nachricht nicht lesen (Flüstern). Integrität Angreifer kann die Nachricht nicht ändern ohne dass
MehrDiskreter Logarithmus und Primkörper
Diskreter Logarithmus und Primkörper Neben dem RSA-Verfahren ist die ElGamal-Verschlüsselung 8 ein weiteres klassische Public-Key-Verfahren, welches von Taher ElGamal auf der Konferenz CRYPTO 84 vorgestellt
MehrSicherer MAC für Nachrichten beliebiger Länge
Sicherer MAC für Nachrichten beliebiger Länge Korollar Sicherer MAC für Nachrichten beliebiger Länge Sei F eine Pseudozufallsfunktion. Dann ist Π MAC2 für Π = Π MAC sicher. Nachteile: Für m ({0, 1} n 4
MehrDigitale Unterschriften. Angriffe und Sicherheitsmodelle. Bemerkungen. Angriffe und Sicherheitsmodelle
Digitale Unterschriften Auch digitale Signaturen genannt. Nachrichten aus Nachrichtenraum: M M. Signaturen aus Signaturenraum: σ S. Schlüssel sind aus Schlüsselräumen: d K 1, e K 2. SignierungsverfahrenS
MehrDigitale Signaturen. Einführung und das Schnorr Signatur Schema. 1 Digitale Signaturen Einführung & das Schnorr Signatur Schema.
Digitale Signaturen Einführung und das Schnorr Signatur Schema 1 Übersicht 1. Prinzip der digitalen Signatur 2. Grundlagen Hash Funktionen Diskreter Logarithmus 3. ElGamal Signatur Schema 4. Schnorr Signatur
MehrKEY AGREEMENT IN DYNAMIC PEER GROUPS
KEY AGREEMENT IN DYNAMIC PEER GROUPS Seminar Kryptographische Protokolle SS 2009 Motivation Gruppenorientierte Anwendungen, Protokolle und Kommunikation treten in vielen Umgebungen auf: Netzwerk-Schicht:
MehrEINIGE GRUNDLAGEN DER KRYPTOGRAPHIE
EINIGE GRUNDLAGEN DER KRYPTOGRAPHIE Steffen Reith reith@thi.uni-hannover.de 22. April 2005 Download: http://www.thi.uni-hannover.de/lehre/ss05/kry/folien/einleitung.pdf WAS IST KRYPTOGRAPHIE? Kryptographie
MehrKryptograhie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik
Kryptograhie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik Übersicht Zwecke der Krytographie Techniken Symmetrische Verschlüsselung( One-time Pad,
MehrAsymmetrische Kryptographie u
Asymmetrische Kryptographie u23 2015 Simon, Florob e.v. https://koeln.ccc.de Cologne 2015-10-05 1 Zahlentheorie Modulare Arithmetik Algebraische Strukturen Referenzprobleme 2 Diffie-Hellman Diffie-Hellman-Schlüsselaustausch
MehrRSA Verfahren. Kapitel 7 p. 103
RSA Verfahren RSA benannt nach den Erfindern Ron Rivest, Adi Shamir und Leonard Adleman war das erste Public-Key Verschlüsselungsverfahren. Sicherheit hängt eng mit der Schwierigkeit zusammen, große Zahlen
Mehr