Digitale Signaturen. Sicherheitsdefinitionen Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
|
|
- Gundi Althaus
- vor 6 Jahren
- Abrufe
Transkript
1 Digitale Signaturen Sicherheitsdefinitionen Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen KIT Die Forschungsuniversität in der Helmholtz-Gemeinschaft
2 Socrative: Wiederholung Room: SIGNATUREN Bitte jetzt einloggen, falls ihr mitmachen wollt :) Bleibt am Besten einfach während der VL eingeloggt. Erstes Quiz läuft bereits & kann ausgefüllt werden! B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen
3 Inhalt Organisatorisches Sicherheitsexperimente (Kap 1.2.2) Definition (Kap. 1.1) Beziehungen zwischen Sicherheitsdefinitionen (Kap ) Perfekte Sicherheit (Kap ) Erweiterung des Nachrichtenraumes (Kap. 1.3) B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen
4 Socrative vom letzten Mal Nur 46% haben Sicherheit besucht Andere Krypto-VLs: Nur Bruchteile Konsequenz: Mehr Sorgfalt bei Grundlagen Fragen sind immer willkommen! :) Socrative kam gut an werden wir weiter verwenden Wunsch: Wissensfragen Sind geplant! Vfy statt Ver: passt besser zum Skript & ist generell nicht einheitlich B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen
5 Werbung: Das KASTEL-Zertifikat Karlsruhe Weg: Vollinformatiker mit Spezialisierung in IT-Sicherheit Voraussetzungen: Abschlussarbeit im Gebiet IT-Sicherheit 30 ECTS durch Veranstaltungen aus dem Gebiet IT-Sicherheit, davon 6 ECTS Grundlagen (Stammmodul Sicherheit) 14 ECTS Vertiefung 10 ECTS Vertiefung oder Erweiterung ein Praktikum Definitionen und Details auf B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen
6 Wdh.: Sicherheitsdefinitionen Sicherheitsdefinition ˆ= Angreiferziel + Angreifermodell Wichtige Kombinationen : EUF-CMA EUF-naCMA B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen
7 Sicherheitsexperimente Werkzeug für Sicherheitsdefinitionen: Sicherheitsexperimente An einem Sicherheitsexperiment nehmen zwei Parteien teil: Angreifer A Challenger C A spielt gegen C A gewinnt, falls er die Sicherheit des Verfahrens bricht B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen
8 EUF-CMA-Sicherheitsexperiment C EUF-CMA A B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen
9 EUF-CMA-Sicherheitsexperiment (pk, sk) Gen(1 k ) C EUF-CMA pk A B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen
10 EUF-CMA-Sicherheitsexperiment (pk, sk) Gen(1 k ) C EUF-CMA pk A m i σ i B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen
11 EUF-CMA-Sicherheitsexperiment (pk, sk) Gen(1 k ) C EUF-CMA pk A m i σ i Anfragen nacheinander q = q(k) Anfragen q Polynom B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen
12 EUF-CMA-Sicherheitsexperiment (pk, sk) Gen(1 k ) C EUF-CMA pk A m i σ i Anfragen nacheinander q = q(k) Anfragen q Polynom m, σ Ver(pk, m, σ ) = 1? m / {m 1,..., m q }? A gewinnt, falls Vfy(pk, m, σ ) = 1 und m / {m 1,..., m q } B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen
13 Definition: EUF-CMA Def. 2: (EUF-CMA) Ein digitales Signaturverfahren Σ = (Gen, Sign, Vfy) ist EUF-CMA-sicher, falls für alle PPT A gilt, dass B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen
14 Definition: EUF-CMA Def. 2: (EUF-CMA) Ein digitales Signaturverfahren Σ = (Gen, Sign, Vfy) ist EUF-CMA-sicher, falls für alle PPT A gilt, dass [ Pr A C EUF-CMA(pk) = (m, σ ) : Vfy(pk, m, σ ] ) = 1 m / {m 1,..., m q } negl(k) B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen
15 Definition: EUF-CMA Def. 2: (EUF-CMA) Ein digitales Signaturverfahren Σ = (Gen, Sign, Vfy) ist EUF-CMA-sicher, falls für alle PPT A gilt, dass [ Pr A C EUF-CMA(pk) = (m, σ ) : Vfy(pk, m, σ ] ) = 1 m / {m 1,..., m q } negl(k) für eine im Sicherheitsparameter k vernachlässigbare Funktion negl B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen
16 Definition (Wdh.): Vernachlässigbarkeit Def.: (Vernachlässigbare Fkt.) Eine Funktion negl : N [0, 1] ist vernachlässigbar, genau dann, wenn: c N k 0 N k k 0 : negl(k) < 1/k c B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen
17 Definition (Wdh.): Vernachlässigbarkeit Def.: (Vernachlässigbare Fkt.) Eine Funktion negl : N [0, 1] ist vernachlässigbar, genau dann, wenn: c N k 0 N k k 0 : negl(k) < 1/k c. Bsp.: 1/2 k vernachlässigbar, 1/k 2 nicht vernachlässigbar B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen
18 Bsp.: UUF-NMA-Sicherheitsexperiment Ideen? B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen
19 Bsp.: UUF-NMA-Sicherheitsexperiment (pk, sk) Gen(1 k ) m {0, 1} p(k) C UUF-NMA pk, m A B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen
20 Bsp.: UUF-NMA-Sicherheitsexperiment (pk, sk) Gen(1 k ) m {0, 1} p(k) C UUF-NMA pk, m A σ Ver(pk, m, σ ) = 1? A gewinnt, falls Vfy(pk, m, σ ) = B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen
21 EUF-CMA UUF-NMA Def. 4 (UUF-NMA): Ein Signaturverfahren Σ = (Gen, Sign, Vfy) ist UUF-NMA-sicher, wenn A : Pr[A C UUF-NMA(pk, m ) = σ : Vfy(pk, m, σ ) = 1] negl(k) B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen
22 EUF-CMA UUF-NMA Def. 4 (UUF-NMA): Ein Signaturverfahren Σ = (Gen, Sign, Vfy) ist UUF-NMA-sicher, wenn A : Pr[A C UUF-NMA(pk, m ) = σ : Vfy(pk, m, σ ) = 1] negl(k) Theorem: Sei Σ = (Gen, Sign, Vfy) ein Signaturverfahren. Wenn Σ EUF-CMA-sicher ist, dann ist es auch UUF-NMA-sicher B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen
23 Beweis: EUF-CMA UUF-NMA Beweisvorgehen Beweise (fast) immer durch Reduktion Widerspruchsbeweis: (EUF-CMA UUF-NMA) ( UUF-NMA EUF-CMA) B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen
24 Beweis: EUF-CMA UUF-NMA Beweisvorgehen Beweise (fast) immer durch Reduktion Widerspruchsbeweis: (EUF-CMA UUF-NMA) ( UUF-NMA EUF-CMA) Ann.: Σ ist EUF-CMA-sicher, aber nicht UUF-NMA-sicher. D.h.: PPT-Angreifer A UUF-NMA, sodass A : Pr[A C UUF-NMA(pk, m ) = σ : Vfy(pk, m, σ ) = 1] 1 poly(k) B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen
25 Beweis: EUF-CMA UUF-NMA (2) Reduktion: Konstruiere aus A UUF-NMA einen erfolgreichen PPT-Angreifer A EUF-CMA auf die EUF-CMA-Sicherheit von Σ. A EUF-CMA verwendet A UUF-NMA als Subroutine B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen
26 Beweis: EUF-CMA UUF-NMA (2) Reduktion: Konstruiere aus A UUF-NMA einen erfolgreichen PPT-Angreifer A EUF-CMA auf die EUF-CMA-Sicherheit von Σ. A EUF-CMA verwendet A UUF-NMA als Subroutine. Existenz von A EUF-CMA ist dann Widerspruch zur EUF-CMA-Sicherheit also kann A UUF-NMA nicht existieren B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen
27 Beweis: EUF-CMA UUF-NMA (3) Beweis: Siehe Tafel. Voraussetzungen: Σ ist EUF-CMA-sicher. Ann.: Σ nicht UUF-NMA-sicher. Ziel: Führe Annahme zum Widerspruch B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen
28 Beweis: EUF-CMA UUF-NMA (4) Anmerkung: A EUF-CMA schickt keine Signaturanfragen an den Challenger damit haben wir sogar gezeigt. EUF-NMA UUF-NMA B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen
29 UUF-NMA: Sinnvoll? Frage: Wie sinnvoll ist die UUF-NMA-Sicherheitsdefinition? Antwort: später B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen
30 Socrative Room: SIGNATUREN Wieviel Nachrichten kann A sich im EUF-CMA-Experiment signieren lassen? Wann gewinnt der Angreifer im EUF-CMA-Experiment? Gilt EUF-CMA UUF-NMA? Gilt UUF-CMA EUF-NMA? B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen
31 EUF-naCMA-Sicherheitsexperiment C EUF-naCMA A B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen
32 EUF-naCMA-Sicherheitsexperiment C EUF-naCMA m 1,..., m q A q = q(k) Nachrichten q Polynom B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen
33 EUF-naCMA-Sicherheitsexperiment (pk, sk) Gen(1 k ) i : σ i Sign(sk, m i ) C EUF-naCMA m 1,..., m q pk, σ 1,..., σ q A q = q(k) Nachrichten q Polynom B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen
34 EUF-naCMA-Sicherheitsexperiment (pk, sk) Gen(1 k ) i : σ i Sign(sk, m i ) C EUF-naCMA m 1,..., m q pk, σ 1,..., σ q A q = q(k) Nachrichten q Polynom m, σ Ver(pk, m, σ ) = 1? m / {m 1,..., m q }? A gewinnt, falls Vfy(pk, m, σ ) = 1 und m / {m 1,..., m q } Def.: Wie Def. 2 (mit EUF-naCMA-Experiment) B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen
35 Beziehungen zwischen Sicherheitsdefinitionen (Kap ) UUF-NMA UUF-naCMA UUF-CMA Generell: UUF < EUF NMA < CMA EUF-NMA EUF-naCMA EUF-CMA B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen
36 Beziehungen zwischen Sicherheitsdefinitionen (Kap ) UUF-NMA UUF-naCMA UUF-CMA EUF-NMA EUF-naCMA EUF-CMA Generell: UUF < EUF siehe Tafel (Skript: Übungsaufgabe 8) NMA < CMA B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen
37 Sicherheitsdefinitionen Aktuelle Forschung: Leakage-Resilience Andere Signaturtypen andere Sicherheitsbegriffe B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen
38 Perfekte Sicherheit (Kap ) Informationstheoretische Sicherheit: Keine Einschränkung auf PPT-Angreifer. Symmetrische Kryptographie: Es existieren informationstheoretisch sichere symm. Verfahren. Beispiel: One-Time-Pad (Verschlüsselung) Frage: Gibt es das auch bei Signaturen? B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen
39 Perfekte Sicherheit: Leider nicht! (1) Theorem 10: Sei Σ = (Gen, Sign, Vfy) ein Signaturverfahren. Es gibt einen UUF-NMA-Angreifer A auf Σ mit: Laufzeit O(2 L ), Erfolgswahrscheinlichkeit 1. Dabei ist L die kleinste natürliche Zahl, sodass für alle Nachrichten m eine Signatur σ existiert mit σ L. Beweis: Ideen? B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen
40 Perfekte Sicherheit: Leider nicht! (1) Theorem 10: Sei Σ = (Gen, Sign, Vfy) ein Signaturverfahren. Es gibt einen UUF-NMA-Angreifer A auf Σ mit: Laufzeit O(2 L ), Erfolgswahrscheinlichkeit 1. Dabei ist L die kleinste natürliche Zahl, sodass für alle Nachrichten m eine Signatur σ existiert mit σ L. Beweis: Brute-Force B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen
41 Perfekte Sicherheit: Leider nicht! (2) Theorem 12: Sei Σ = (Gen, Sign, Vfy) ein Signaturverfahren. Es gibt einen UUF-NMA-Angreifer A auf Σ mit: Laufzeit O(L), Erfolgswahrscheinlichkeit ist 2 L. Dabei ist L die kleinste natürliche Zahl, sodass für alle Nachrichten m eine Signatur σ existiert mit σ L. Beweis: Ideen? B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen
42 Perfekte Sicherheit: Leider nicht! (2) Theorem 12: Sei Σ = (Gen, Sign, Vfy) ein Signaturverfahren. Es gibt einen UUF-NMA-Angreifer A auf Σ mit: Laufzeit O(L), Erfolgswahrscheinlichkeit ist 2 L. Dabei ist L die kleinste natürliche Zahl, sodass für alle Nachrichten m eine Signatur σ existiert mit σ L. Beweis: Signatur raten B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen
43 Perfekte Sicherheit: Anmerkungen Es gibt informationstheoretisch sichere symmetrische Signaturen (MACs)! Aktuelle Forschung: Perfekte Sicherheit in anderen Modellen?! Existenz einer Trusted Authority, eingeschränkte Benutzeranzahl, verschiedene Algorithmen für jeden Benutzer,... z.b. Unconditionally Secure Digital Signature Schemes..., Hanaoka et. al. (2000) B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen
44 Erweiterung des Nachrichtenraumes (Kap. 1.3) Wir konstruieren fast immer Signaturen mit endlichem/kleinem Nachrichtenraum, z.b.: Z p = {0,..., p 1}, p prim {0, 1} q(k), q Polynom, k Sicherheitsparameter Ziel: Signaturen mit größerem Nachrichtenraum, z.b. {0, 1} p(k), p Polynom mit p(k) / O(q(k)), {0, 1} B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen
45 Hashfunktionen Def. 14: (Hashfunktionen) Eine Hashfunktion H = (Gen H, EVAL H ) ist ein Tupel aus zwei PPT-Algorithmen: B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen
46 Hashfunktionen Def. 14: (Hashfunktionen) Eine Hashfunktion H = (Gen H, EVAL H ) ist ein Tupel aus zwei PPT-Algorithmen: Gen H (1 k ) berechnet t, sodass t eine Fkt. spezifiziert. H t : {0, 1} M t B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen
47 Hashfunktionen Def. 14: (Hashfunktionen) Eine Hashfunktion H = (Gen H, EVAL H ) ist ein Tupel aus zwei PPT-Algorithmen: Gen H (1 k ) berechnet t, sodass t eine Fkt. spezifiziert. EVAL H (1 k, t, x) berechnet H t (x). H t : {0, 1} M t Kurzschreibweisen: H statt t, H(x) für Eval(1 k, t, x) etc B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen
48 Kollisionsresistenz Def. 15: (Kollisionsresistenz) Eine Hashfunktion H = (Gen H, EVAL H ) ist kollisionsresistent, falls für alle t Gen H (1 k ) und alle PPT A gilt, dass B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen
49 Kollisionsresistenz Def. 15: (Kollisionsresistenz) Eine Hashfunktion H = (Gen H, EVAL H ) ist kollisionsresistent, falls für alle t Gen H (1 k ) und alle PPT A gilt, dass Pr[A(1 k, t) = (x, x ) : H t (x) = H t (x ) x = x ] negl(k) für eine im Sicherheitsparameter k vernachlässigbare Funktion negl B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen
50 Konstruktion: Signatur mit unendlichem Nachrichtenraum Geg.: Σ = (Gen, Sign, Vfy ) mit Nachrichtenraum M kollres. Hashfkt. H : {0, 1} M Konstruiere Σ = (Gen, Sign, Vfy): Ideen? B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen
51 Konstruktion: Signatur mit unendlichem Nachrichtenraum Geg.: Σ = (Gen, Sign, Vfy ) mit Nachrichtenraum M kollres. Hashfkt. H : {0, 1} M Konstruiere Σ = (Gen, Sign, Vfy): Gen(1 k ) berechnet (pk, sk) Gen (1 k ) Sign(sk, m) berechnet σ Sign (sk, H(m)) Vfy(pk, m, σ) gibt Vfy (pk, H(m), σ) aus B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen
52 Sicherheit der Konstruktion Theorem 17: Für jeden Angreifer A, der mit Laufzeit t A und Erfolgswkt. ɛ A die EUF-CMA-Sicherheit von Σ bricht, existiert ein Angreifer B mit Laufzeit t B t A, der entweder die Kollisionsresistenz von H mit Wkt. ɛ A /2, oder die EUF-CMA-Sicherheit von Σ mit Wkt. ɛ A /2 bricht. Hinweis: Gilt auch für EUF-naCMA-Sicherheit B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen
53 Hash-then-Sign Eben gezeigte Konstruktion wird Hash-then-Sign genannt. Sehr praxisrelevant! Auch in der Theorie wichtig. z.b. als Übersetzer zwischen verschiedenen algebraischen Settings B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen
54 Hashfunktionen: Forschung Hashfunktionen mit spezielleren Eigenschaften Wir werden im Laufe der VL ein paar davon betrachten! SHA-3 Wettbewerb , Standardisierung B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen
55 Socrative Room: SIGNATUREN Teacher s Question: Anmerkungen zur VL, Wünsche, Kritik, B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen
Digitale Signaturen. Sicherheitsdefinitionen Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Sicherheitsdefinitionen Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-10-27 B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen KIT Die Forschungsuniversität
MehrDigitale Signaturen. Einmalsignaturen Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Einmalsignaturen Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-11-04 B. Kaidel Digitale Signaturen: Einmalsignaturen KIT Die Forschungsuniversität
MehrDigitale Signaturen. GHR-und Chamäleon-Signaturen Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen GHR-und Chamäleon-Signaturen Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-01-12 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen KIT
MehrDigitale Signaturen. Anwendung von Einmalsignaturen Gunnar Hartung, Björn Kaidel.
Digitale Signaturen Anwendung von Einmalsignaturen Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-11-18 G. Hartung Digitale Signaturen: Anwendung von
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Einmalsignaturen Björn Kaidel (Vertretung für Prof. Müller-Quade) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2018-02-01 B. Kaidel Asymmetrische
MehrDigitale Signaturen. RSA-FDH & das Random Oracle Model Björn Kaidel (mit Folien von Gunnar Hartung)
Digitale Signaturen RSA-FDH & das Random Oracle Model Björn Kaidel (mit Folien von Gunnar Hartung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-12-01 B. Kaidel Digitale Signaturen:
MehrDigitale Signaturen. GHR-und Chamäleon-Signaturen Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen GHR-und Chamäleon-Signaturen Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen KIT
MehrDigitale Signaturen. RSA-FDH & das Random Oracle Model Jiaxin Pan (Slides from Björn Kaidel and Gunnar Hartung)
Digitale Signaturen RSA-FDH & das Random Oracle Model Jiaxin Pan (Slides from Björn Kaidel and Gunnar Hartung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2018-10-26 B. Kaidel Digitale
MehrDigitale Signaturen. seuf-cma & Pairings Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen seuf-cma & Pairings Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2018-01-19 B. Kaidel Digitale Signaturen: seuf-cma & Pairings KIT Die Forschungsuniversität
MehrDigitale Signaturen. seuf-cma & Pairings Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen seuf-cma & Pairings Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-01-20 B. Kaidel Digitale Signaturen: seuf-cma & Pairings KIT Die
MehrDigitale Signaturen. Einführung Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Einführung Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-10-21 G. Hartung, B. Kaidel Digitale Signaturen: Einführung KIT Die Forschungsuniversität
MehrDigitale Signaturen. Einführung Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Einführung Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-10-20 B. Kaidel Digitale Signaturen: Einführung KIT Die Forschungsuniversität in der Helmholtz-Gemeinschaft
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Digitale Signaturen Prof. Jörn Müller-Quade mit Folien von G. Hartung und B. Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2018-01-25 J.
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Digitale Signaturen Björn Kaidel - Vertretung für Prof. Müller-Quade FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-01-19 B. Kaidel Asymmetrische
MehrDigitale Signaturen. Wiederholung Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale Signaturen Wiederholung Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung KIT Die Forschungsuniversität
MehrDigitale Signaturen. Anwendung von Einmalsignaturen Björn Kaidel (mit Folien von Gunnar Hartung)
Digitale Signaturen Anwendung von Einmalsignaturen Björn Kaidel (mit Folien von Gunnar Hartung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-11-24 B. Kaidel Digitale Signaturen:
MehrDigitale Signaturen. Anwendung von Einmalsignaturen Gunnar Hartung, Björn Kaidel.
Digitale Signaturen Anwendung von Einmalsignaturen Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-11-15 G. Hartung Digitale Signaturen: Anwendung von
MehrVorlesung Digitale Signaturen im Wintersemester 2017/-18. Socrative-Fragen aus der Vorlesung vom
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Dozenten: Björn Kaidel Vorlesung Digitale Signaturen im Wintersemester 2017/-18 Socrative-Fragen aus der Vorlesung vom 17.11.2017 1 Quiz 1:
MehrVorlesung Digitale Signaturen im Wintersemester 2016/-17. Socrative-Fragen aus der Vorlesung vom
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Dozenten: Gunnar Hartung, Björn Kaidel Vorlesung Digitale Signaturen im Wintersemester 2016/-17 Socrative-Fragen aus der Vorlesung vom 25.11.2016
MehrDigitale Signaturen. Parameterwahl & RSA-PSS Björn Kaidel (mit Folien von Gunnar Hartung)
Digitale Signaturen Parameterwahl & RSA-PSS Björn Kaidel (mit Folien von Gunnar Hartung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-11-15 B. Kaidel Digitale Signaturen: RSA-PSS
MehrÜbung zur Vorlesung Sicherheit Übungsblatt 3. Björn Kaidel 1 / 52
Übung zur Vorlesung Sicherheit 21.05.2014 Übungsblatt 3 Björn Kaidel bjoern.kaidel@kit.edu 1 / 52 Kummerkasten Bitte helleren Laserpointer verwenden. Sind die Skriptlinks vertauscht? Nein! Wegen allgemeiner
MehrÜbung zur Vorlesung. Sicherheit Übungsblatt 5 Björn Kaidel
Übung zur Vorlesung Sicherheit 30.06.2016 Übungsblatt 5 Björn Kaidel bjoern.kaidel@kit.edu https://b.socrative.com/login/student/ Room: SICHERHEIT Bitte gleich einloggen! 1 / 55 Evaluation (siehe Evaluations-PDF)
MehrVorlesung Sicherheit
Vorlesung Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 23.05.2016 1 / 32 Überblick 1 Symmetrische Authentifikation von Nachrichten Ziel Konstruktionen MACs
MehrVorlesung Sicherheit
Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 18.05.2015 1 / 30 Überblick 1 Asymmetrische Authentifikation von Nachrichten Erinnerung
MehrInstitut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Nachklausur. Lösung Hinweise
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2016 Nachklausur Lösung 12.10.2016 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Vorlesung 4 Alexander Koch (Vertretung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-11-10 Alexander Koch Asymmetrische Verschlüsselungsverfahren
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Vorlesung 4 Alexander Koch (Vertretung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 KIT 2015-11-12 Universität desalexander Landes Baden-Württemberg
MehrInstitut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Nachklausur Hinweise
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2016 Nachklausur 12.10.2016 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung
MehrInstitut für Theoretische Informatik Prof. Dr. Dennis Hofheinz Übungsleiter: Thomas Agrikola. Stammvorlesung Sicherheit im Sommersemester 2017
Institut für Theoretische Informatik Prof. Dr. Dennis Hofheinz Übungsleiter: Thomas Agrikola Stammvorlesung Sicherheit im Sommersemester 2017 Übungsblatt 4 Aufgabe 1. Wir instanziieren das ElGamal-Verschlüsselungsverfahren
MehrHomomorphe Verschlüsselung
Homomorphe Verschlüsselung Definition Homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : G G für Gruppen G, G. Π heißt homomorph, falls Enc(m 1 ) G Enc(m 2 ) eine gültige Verschlüsselung
MehrPrinzipien der modernen Kryptographie Sicherheit
Prinzipien der modernen Kryptographie Sicherheit Prinzip 1 Sicherheitsziel Die Sicherheitsziele müssen präzise definiert werden. Beispiele für ungenügende Definitionen von Sicherheit: Kein Angreifer kann
MehrInstitut für Theoretische Informatik Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Klausur. Lösung
Institut für Theoretische Informatik Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2017 Klausur Lösung 02.08.2017 Vorname: Nachname: Matrikelnummer: Klausur-ID: Hinweise - Schreiben
MehrPrinzip 2 Präzisierung der Annahmen
Prinzip 2 Präzisierung der Annahmen Prinzip 2 Komplexitätsannahme Es muss spezifiziert werden, unter welchen Annahmen das System als sicher gilt. Eigenschaften: Angriffstyp COA, KPA, CPA oder CCA muss
MehrHomomorphe Verschlüsselung
Homomorphe Verschlüsselung Definition Homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : G G für Gruppen G, G. Π heißt homomorph, falls Enc(m 1 ) G Enc(m 2 ) eine gültige Verschlüsselung
MehrBeliebige Anzahl von Signaturen
Beliebige Anzahl von Signaturen Algorithmus Signaturketten Sei Π = (Gen, Sign, Vrfy) ein Einwegsignaturverfahren. 1 Gen : (pk 1, sk 1 ) Gen(1 n ) 2 Sign : Signieren der Nachricht m i. Verwende gemerkten
MehrInstitut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Klausur Hinweise
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Klausur 21.07.2015 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen
MehrZiel: Zertifiziere Pfad von Wurzel zu m mittels Signaturen. Signieren Public-Keys auf Pfad inklusive der Nachbarknoten.
Merkle-Baum Idee: Konstruktion von Merkle-Bäumen Ersetze Signaturkette durch Baum (sogenannter Merkle-Baum). Verwenden Baum der Tiefe n für Nachrichten der Länge n. Die Wurzel erhält Label ɛ. Die Kinder
MehrÜbung zur Vorlesung Sicherheit Übungsblatt 2. Alexander Koch Björn Kaidel
Übung zur Vorlesung Sicherheit 07.05.2014 Übungsblatt 2 Alexander Koch alexander.koch@kit.edu Björn Kaidel bjoern.kaidel@kit.edu 1 / 32 Kummerkasten In der Übung lauter und deutlicher sprechen: Wir geben
MehrSicherheit von Merkle Signaturen
Sicherheit von Merkle Signaturen Algorithmus Angreifer A für die Einwegsignatur EINGABE: pk, Zugriff auf eine Anfrage an Orakel Sign sk ( ) 1 Berechne (pk (i), sk (i) ) Gen(1 n ) für i = 1,...,l. Wähle
MehrVoll homomorpe Verschlüsselung
Voll homomorpe Verschlüsselung Definition Voll homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : R R für Ringe R, R. Π heißt voll homomorph, falls 1 Enc(m 1 ) + Enc(m 2 ) eine gültige
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 12.05.2014 1 / 26 Überblick 1 Hashfunktionen Erinnerung Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel:
MehrÜbung zur Vorlesung Sicherheit Übungsblatt 2. Alexander Koch Björn Kaidel
Übung zur Vorlesung Sicherheit 07.05.2014 Übungsblatt 2 Alexander Koch alexander.koch@kit.edu Björn Kaidel bjoern.kaidel@kit.edu 1 / 39 Werbung: KASTEL-Zertifikat Nachweis für Spezialisierung in IT-Sicherheit
Mehrhttps://b.socrative.com/login/student/
Übung zur Vorlesung Sicherheit 23.06.2016 Übungsblatt 4 Björn Kaidel bjoern.kaidel@kit.edu https://b.socrative.com/login/student/ Room: SICHERHEIT Bitte gleich einloggen! 1 / 62 Feedback: Kummerkasten/Feedback
MehrPrinzipien der modernen Kryptographie Sicherheit
Prinzipien der modernen Kryptographie Sicherheit Prinzip 1 Sicherheitsziel Die Sicherheitsziele müssen präzise definiert werden. Beispiele für ungenügende Definitionen von Sicherheit Kein Angreifer kann
MehrÜbung zur Vorlesung Sicherheit Übungsblatt 2. Alexander Koch Björn Kaidel
Übung zur Vorlesung Sicherheit 07.05.2014 Übungsblatt 2 Alexander Koch alexander.koch@kit.edu Björn Kaidel bjoern.kaidel@kit.edu 1 / 32 Kummerkasten In der Übung lauter und deutlicher sprechen: Wir geben
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 30.04.2018 1 / 35 Überblick 1 Hashfunktionen Motivation Formalisierung Die Merkle-Damgård-Konstruktion (Weitere) Angriffe auf Hashfunktionen Zusammenfassung
MehrHashfunktionen und Kollisionen
Hashfunktionen und Kollisionen Definition Hashfunktion Eine Hashfunktion ist ein Paar (Gen, H) von pt Algorithmen mit 1 Gen: s Gen(1 n ). Gen ist probabilistisch. 2 H: H s berechnet Funktion {0, 1} {0,
MehrIch bedanke mich bei Florian Böhl, Benny Fuhry, Gunnar Hartung, Jan Holz, Björn Kaidel, Eike Kiltz, Evgheni Kirzner, Jessica Koch, Julia Rohlfing,
Digitale Signaturen Tibor Jager tibor.jager@rub.de Horst Görtz Institut für IT-Sicherheit Lehrstuhl für Netz- und Datensicherheit Ruhr-Universität Bochum Letzte Aktualisierung: 6. Oktober 2015 Ich bedanke
MehrInstitut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Nachklausur. Lösungsvorschlag Hinweise
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Nachklausur Lösungsvorschlag 29.09.2015 Vorname: Nachname: Matrikelnummer: Hinweise - Für
MehrÜbung zur Vorlesung Sicherheit Übungsblatt 2. Alexander Koch Björn Kaidel
Übung zur Vorlesung Sicherheit 07.05.2014 Übungsblatt 2 Alexander Koch alexander.koch@kit.edu Björn Kaidel bjoern.kaidel@kit.edu 1 / 39 Werbung: KASTEL-Zertifikat Nachweis für Spezialisierung in IT-Sicherheit
Mehrhttps://b.socrative.com/login/student/
Übung zur Vorlesung Sicherheit 23.06.2016 Übungsblatt 4 Björn Kaidel bjoern.kaidel@kit.edu https://b.socrative.com/login/student/ Room: SICHERHEIT Bitte gleich einloggen! 1 / 62 Feedback: Kummerkasten/Feedback
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 29.04.2013 1 / 22 Überblick 1 Zusammenfassung und Korrektur Zusammenfassung Korrektur Definition semantische Sicherheit 2 Hashfunktionen Motivation Formalisierung
MehrPrinzipien der modernen Kryptographie Sicherheit
Prinzipien der modernen Kryptographie Sicherheit Prinzip 1 Sicherheitsmodell Das Sicherheitsmodell (Berechnungsmodell, Angriffstypen, Sicherheitsziele) muss präzise definiert werden. Berechnungsmodell:
MehrRSA Full Domain Hash (RSA-FDH) Signaturen
RSA Full Domain Hash (RSA-FDH) Signaturen Signatur RSA-FDH Sei H : {0, 1} Z N ein Random-Oracle. 1 Gen: (N, e, d) GenRSA(1 n ) mit pk = (N, e) und sk = (N, d). 2 Sign: Für eine Nachricht m {0, 1} berechne
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 15.05.2017 1 / 25 Überblick 1 Hashfunktionen Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel: RSA
MehrÜbung zur Vorlesung Sicherheit Übungsblatt 4. Björn Kaidel 1 / 70
Übung zur Vorlesung Sicherheit 18.06.2015 Übungsblatt 4 Björn Kaidel bjoern.kaidel@kit.edu 1 / 70 RSA: Warnung! Mehrere Nachfragen nach der letzten Übung: Wir wollen zu e ein d berechnen mit e d = 1 mod
MehrRSA Full Domain Hash (RSA-FDH) Signaturen
RSA Full Domain Hash (RSA-FDH) Signaturen Signatur RSA-FDH Sei H : {0, 1} Z N ein Random-Oracle. 1 Gen: (N, e, d) GenRSA(1 n ) mit pk = (N, e) und sk = (N, d). 2 Sign: Für eine Nachricht m {0, 1} berechne
MehrSocrative-Fragen aus der Übung vom
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Übungsleiter: Björn Kaidel, Alexander Koch Stammvorlesung Sicherheit im Sommersemester 2016 Socrative-Fragen aus der Übung vom 28.04.2016
MehrPrivacy-Preserving Authentication 2 Kryptografische Bausteine WS 2015/2016
Privacy-Preserving Authentication 2 Kryptografische Bausteine WS 2015/2016 Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum Übersicht 1 Vorteil und Sicherheit 2 Hash Funktionen 3 Digitale
MehrAsymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren Björn Kaidel - Vertretung für Prof. J. Müller-Quade (Folien von A. Koch) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 17.11.2016 Björn Kaidel
MehrVorlesung Sicherheit
Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 02.05.2016 1 / 22 Überblick 1 Hashfunktionen Erinnerung Formalisierung Die Merkle-Damgård-Konstruktion
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 23.06.2014 1 / 26 Überblick 1 Zero-Knowledge-Protokolle Erinnerung Beispiel für Zero-Knowledge-Protokoll Analyse des Beispiel-Zero-Knowledge-Protokolls Proof-of-Knowledge-Eigenschaft
MehrUnunterscheidbarkeit von Chiffretexten
Ununterscheidbarkeit von Chiffretexten Spiel Ununterscheidbarkeit von Chiffretexten PrivK eav A,Π (n) Sei Π ein Verschlüsselungsverfahren und A ein Angreifer. 1 (m 0, m 1 ) A. 2 k Gen(1 n ). 3 Wähle b
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 08.05.2017 1 / 32 Überblick 1 Blockchiffren Erinnerung Varianten von DES Beispiel: AES Angriffe auf Blockchiffren 2 Formalisierung von Sicherheit (symmetrischer
MehrUnunterscheidbarkeit von Chiffretexten
Ununterscheidbarkeit von Chiffretexten Spiel Ununterscheidbarkeit von Chiffretexten PrivK eav A,Π (n) Sei Π ein Verschlüsselungsverfahren und A ein Angreifer. (m 0, m ) A. 2 k Gen( n ). 3 Wähle b R {0,
MehrUnunterscheidbarkeit von Chiffretexten
Ununterscheidbarkeit von Chiffretexten Spiel Ununterscheidbarkeit von Chiffretexten PrivK eav A,Π (n) Sei Π ein Verschlüsselungsverfahren und A ein Angreifer. 1 (m 0, m 1 ) A. 2 k Gen(1 n ). 3 Wähle b
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 06.05.2013 1 / 25 Überblick 1 Hashfunktionen Erinnerung Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel:
MehrInstitut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Übungsblatt 5. pk = (g, y) und sk = (g, x). ? = y H(t m) t. g s
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Übungsblatt 5 Hinweis: Übungsblätter können freiwillig bei Jessica Koch, Raum 256, Geb.
MehrSicherer MAC für Nachrichten beliebiger Länge
Sicherer MAC für Nachrichten beliebiger Länge Korollar Sicherer MAC für Nachrichten beliebiger Länge Sei F eine Pseudozufallsfunktion. Dann ist Π MAC2 für Π = Π MAC sicher. Nachteile: Für m ({0, 1} n 4
MehrDigitale Signaturen. Kapitel 8
Digitale Signaturen Kapitel 8 Handschriftliche vs. digitale Unterschrift digitalisieren mp3 Unterschrift digitale Unterschrift von D.H. für mp3? (Scannen und als Bitmap anhängen z.b. zu leicht zu fälschen)
MehrHybride Verschlüsselungsverfahren
Hybride Verschlüsselungsverfahren Ziel: Flexibilität von asym. Verfahren und Effizienz von sym. Verfahren. Szenario: Sei Π = (Gen, Enc, Dec) ein PK-Verschlüsselungsverfahren und Π = (Gen, Enc, Dec ) ein
MehrVorlesung Sicherheit
Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 20.04.2014 1 / 28 Überblick 1 Blockchiffren Erinnerung Angriffe auf Blockchiffren 2 Formalisierung
MehrInstitut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Nachklausur
Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz IKS Institut für Kryptographie und Sicherheit Stammvorlesung Sicherheit im Sommersemester 2013 Nachklausur 07.10.2013 Vorname: Nachname:
MehrÜbungsblatt 4. Stammvorlesung Sicherheit im Sommersemester Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Übungsblatt 4 Aufgabe 1. Wir instanziieren das ElGamal-Verschlüsselungsverfahren aus der
MehrBlinde Signaturen, geheime Abstimmungen und digitale Münzen
Blinde Signaturen, geheime Abstimmungen und digitale Münzen Claus Diem Im Wintersemester 2017 / 18 Crypto 1982 Geheime Abstimmungen Eine geheime Abstimmung Problem. Eine Gruppe von Personen will per Brief
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 26.06.2017 1 / 41 Überblick 1 Identifikationsprotokolle Erinnerung Sicherheitsmodell Ein sicheres Protokoll Noch ein sicheres Protokoll 2 Zero-Knowledge-Protokolle
MehrMerkle-Damgard Transformation
Merkle-Damgard Transformation Ziel: Konstruiere H : {0, 1} {0, 1} l aus h : {0, 1} 2l {0, 1} l. Algorithmus Merkle-Damgard Konstruktion Sei (Gen, h) eine kollisionsresistente Hashfunktion mit h : {0, 1}
MehrDefinition Message Authentication Code (MAC) Ein Message Authentication Code (MAC) bzgl. des Nachrichtenraumen M besteht aus den ppt Alg.
Message Authentication Code (MAC) Szenario: Integrität und Authentizität mittels MACs. Alice und Bob besitzen gemeinsamen Schlüssel k. Alice berechnet für m einen MAC-Tag t als Funktion von m und k. Alice
MehrInstitut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Klausur Hinweise
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Klausur 22.07.2014 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen
MehrHardcore-Prädikat. Definition Hardcore-Prädikat. Ziel: Destilliere Komplexität des Invertierens auf ein Bit.
Hardcore-Prädikat Ziel: Destilliere Komplexität des Invertierens auf ein Bit. Definition Hardcore-Prädikat Sei Π f eine Einwegfunktion. Sei hc ein deterministischer pt Alg mit Ausgabe eines Bits hc(x)
MehrInstitut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Klausur Hinweise
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Klausur 22.07.2014 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen
MehrVorlesung Sicherheit
Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 08.06.2015 1 / 34 Überblick 1 Schlüsselaustauschprotokolle Erinnerung Weitere Schlüsselaustauschtypen
MehrEinführung in digitale Signaturen
Einführung in digitale Signaturen Hannes Thalheim Universität Leipzig 8. Januar 2018 Zusammenfassung Für eine sichere Kommunikation im Web ist die Geheimhaltung von Nachrichten so wichtig wie das Wissen,
MehrInstitut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Übungsblatt 5
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Übungsblatt 5 Aufgabe 1. (1.) In der Vorlesung wurde gezeigt, dass Lehrbuch-RSA-Signaturen
MehrHashfunktionen und MACs
3. Mai 2006 Message Authentication Code MAC: Message Authentication Code Was ist ein MAC? Der CBC-MAC Der XOR-MAC Kryptographische Hashfunktionen Iterierte Hashfunktionen Message Authentication Code Nachrichten
MehrKonstruktion CPA-sicherer Verschlüsselung
Konstrution CPA-sicherer Verschlüsselung Algorithmus Verschlüsselung Π B Sei F eine längenerhaltende, schlüsselabhängige Funtion auf n Bits. Wir definieren Π B = (Gen, Enc, Dec) für Nachrichtenraum M =
MehrExistenz von Einwegfunktionen
Existenz von Einwegfunktionen Satz Einweg-Eigenschaft von f FO Unter der Faktorisierungsannahme ist f FO eine Einwegfunktion. Beweis: f FO ist mittels FACTOR-ONEWAY effizient berechenbar. z.z.: Invertierer
MehrInstitut für Theoretische Informatik Prof. Dr. Dennis Hofheinz Übungsleiter: Thomas Agrikola. Stammvorlesung Sicherheit im Sommersemester 2017
Institut für Theoretische Informatik Prof. Dr. Dennis Hofheinz Übungsleiter: Thomas Agrikola Stammvorlesung Sicherheit im Sommersemester 2017 Übungsblatt 5 Aufgabe 1. (1.) In der Vorlesung wurde gezeigt,
MehrVII. Hashfunktionen und Authentifizierungscodes
VII. Hashfunktionen und Authentifizierungscodes Bob Eve Eve möchte - lauschen - ändern - personifizieren Alice 1 Aufgaben - Vertraulichkeit Lauschen - Authentizität Tauschen des Datenursprungs - Integrität
MehrBjörn Kaidel Alexander Koch
Übung zur Vorlesung Sicherheit Übung 1 Björn Kaidel Bjoern.Kaidel@kit.edu Alexander Koch Alexander.Koch@kit.edu 23.04.2015 1 / 31 Sicherheit Literatur zur Vorlesung Jonathan Katz, Yehuda Lindell. Introduction
MehrEffizienten MAC-Konstruktion aus der Praxis: NMAC Idee von NMAC:
Effizienten MAC-Konstruktion aus der Praxis: NMAC Idee von NMAC: Hashe m {0, 1} auf einen Hashwert in {0, 1} n. Verwende Π MAC3 für Nachrichten fixer Länge auf dem Hashwert. Wir konstruieren Π MAC3 mittels
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 26.05.2014 1 / 32 Überblick 1 Hinweis 2 Asymmetrische Authentifikation von Nachrichten Erinnerung RSA als Signaturschema ElGamal-Signaturen Hash-Then-Sign
MehrAlgorithmische Methoden für schwere Optimierungsprobleme
Algorithmische Methoden für schwere Optimierungsprobleme Prof. Dr. Henning Meyerhenke Institut für Theoretische Informatik 1 KIT Henning Universität desmeyerhenke, Landes Baden-Württemberg Institutund
MehrVIII. Digitale Signaturen
VIII. Digitale Signaturen Bob Eve Eve möchte - lauschen - ändern - personifizieren Alice 1 Aufgaben - Vertraulichkeit - Lauschen - Authentizität - Tauschen des Datenursprungs - Integrität - Änderung der
MehrÜbungsblatt 3. Stammvorlesung Sicherheit im Sommersemester Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Übungsblatt 3 Aufgabe 1. Beurteilen Sie für die folgenden Konstruktionen jeweils, ob es sich
MehrInstitut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Klausur
Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz IKS Institut für Kryptographie und Sicherheit Stammvorlesung Sicherheit im Sommersemester 2013 Klausur 26.07.2013 Vorname: Nachname:
MehrEinwegfunktionen Ziel: CPA-sichere Verschlüsselung aus Trapdoor-Einwegpermutation Später: CCA-sichere Verschlüsselung aus Trapdoor-Einwegperm.
Einwegfunktionen Ziel: CPA-sichere Verschlüsselung aus Trapdoor-Einwegpermutation Später: CCA-sichere Verschlüsselung aus Trapdoor-Einwegperm. Spiel Invertieren Invert A,f (n) Sei f : 0, 1} 0, 1} effizient
Mehr