Vorlesung Sicherheit



Ähnliche Dokumente
Vorlesung Sicherheit

Vorlesung Sicherheit

Vorlesung Sicherheit

Authentikation und digitale Signatur

Voll homomorpe Verschlüsselung

Vorlesung Sicherheit

Digitale Unterschriften Grundlagen der digitalen Unterschriften Hash-Then-Sign Unterschriften Public-Key Infrastrukturen (PKI) Digitale Signaturen

10.6 Authentizität. Geheimhaltung: nur der Empfänger kann die Nachricht lesen

Verschlüsselung. Chiffrat. Eve

8: Zufallsorakel. Wir suchen: Einfache mathematische Abstraktion für Hashfunktionen

Homomorphe Verschlüsselung

Diffie-Hellman, ElGamal und DSS. Vortrag von David Gümbel am

Digitale Signaturen. Sven Tabbert

Effizienten MAC-Konstruktion aus der Praxis: NMAC Idee von NMAC:

Vorlesung Sicherheit

ElGamal Verschlüsselungsverfahren (1984)

Grundlagen der Verschlüsselung und Authentifizierung (2)

Vorlesung Sicherheit

RSA Full Domain Hash (RSA-FDH) Signaturen

Asymmetrische. Verschlüsselungsverfahren. erarbeitet von: Emilia Winkler Christian-Weise-Gymnasium Zittau

Kap. 8: Speziell gewählte Kurven

Elliptische Kurven in der Kryptographie

Konzepte von Betriebssystemkomponenten: Schwerpunkt Sicherheit. Asymmetrische Verschlüsselung, Digitale Signatur

9 Schlüsseleinigung, Schlüsselaustausch

Informatik für Ökonomen II HS 09

Vorlesung Sicherheit

Vorlesung Sicherheit

Vorlesung Sicherheit

Mitschrift Vorlesung Einführung in die Kryptographie vom 18. Januar 2011

Primzahlen und RSA-Verschlüsselung

Sicherheit von hybrider Verschlüsselung

10. Public-Key Kryptographie

Kap. 2: Fail-Stop Unterschriften

6.2 Perfekte Sicherheit

Erste Vorlesung Kryptographie

IT-Sicherheit Kapitel 3 Public Key Kryptographie

RSA Full Domain Hash (RSA-FDH) Signaturen

Vorlesung Sicherheit

-Verschlüsselung

Algorithmische Kryptographie

Netzsicherheit Architekturen und Protokolle Instant Messaging

Vorlesung Sicherheit

Grundbegriffe der Informatik

Das RSA-Verschlüsselungsverfahren 1 Christian Vollmer

11. Rent-Seeking 117

Grundbegriffe der Informatik

11. Das RSA Verfahren und andere Verfahren

Einführung in die verschlüsselte Kommunikation

Wiederholung: Informationssicherheit Ziele

Kryptographie und Fehlertoleranz für Digitale Magazine

Lenstras Algorithmus für Faktorisierung

Der Zwei-Quadrate-Satz von Fermat

Programmiertechnik II

Institut für Theoretische Informatik Prof. Dr. Dennis Hofheinz Übungsleiter: Thomas Agrikola. Stammvorlesung Sicherheit im Sommersemester 2017

Eine Praxis-orientierte Einführung in die Kryptographie

Datensicherheit und Datenschutz. Datenschutz. Datensicherheit. Schutz von Personen. Schutz von Daten. (setzt Datensicherheit voraus)

Beweisbar sichere Verschlüsselung

Digitale Magazine ohne eigenen Speicher

Kapitel 3: Etwas Informationstheorie

Kryptographie mit elliptischen Kurven

Digitale Signaturen. RSA-FDH & das Random Oracle Model Jiaxin Pan (Slides from Björn Kaidel and Gunnar Hartung)

-Zertifikatsverwaltung

Linux User Group Tübingen

GnuPG für Mail Mac OS X 10.4 und 10.5

Data Mining: Einige Grundlagen aus der Stochastik

Nachrichten- Verschlüsselung Mit S/MIME

Sicherer Datenaustausch mit Sticky Password 8

PKI-Outsourcing: Vertrauen ist gut, Kryptografie ist besser

IT-Sicherheit: Kryptographie. Asymmetrische Kryptographie

Kryptographie oder Verschlüsselungstechniken

Kryptographische Verfahren auf Basis des Diskreten Logarithmus

Computeralgebra in der Lehre am Beispiel Kryptografie

12 Kryptologie. ... immer wichtiger. Militär (Geheimhaltung) Telebanking, Elektronisches Geld E-Commerce

Merkblatt: Sichere -Kommunikation zur datenschutz cert GmbH

Erstellen einer digitalen Signatur für Adobe-Formulare

Würfelt man dabei je genau 10 - mal eine 1, 2, 3, 4, 5 und 6, so beträgt die Anzahl. der verschiedenen Reihenfolgen, in denen man dies tun kann, 60!.

1. Woche Einführung in die Codierungstheorie, Definition Codes, Präfixcode, kompakte Codes

Beweisbar sichere Verschlüsselung

Unterhalten Sie sich leise mit Ihrem Nachbarn über ein aktuelles Thema. Dauer ca. 2 Minuten

Grundlagen der Kryptographie

Objektorientierte Programmierung für Anfänger am Beispiel PHP

U3L Ffm Verfahren zur Datenverschlüsselung

Sichere Anleitung Zertifikate / Schlüssel für Kunden der Sparkasse Germersheim-Kandel. Sichere . der

Netzsicherheit I, WS 2008/2009 Übung 12. Prof. Dr. Jörg Schwenk

Vorlesung Sicherheit

Kryptographie eine erste Ubersicht

Was können Schüler anhand von Primzahltests über Mathematik lernen?

Umstellung des Schlüsselpaares der Elektronischen Unterschrift von A003 (768 Bit) auf A004 (1024 Bit)

Sicherheitslösung SMS-Code

Digital signierte Rechnungen mit ProSaldo.net

Verschlüsselung. Kirchstraße 18 Steinfelderstraße Birkweiler Bad Bergzabern Fabian Simon Bfit09

Einrichtung eines Zugangs mit einer HBCI-Chipkarte bei der Commerzbank

Multicast Security Group Key Management Architecture (MSEC GKMArch)

HANDBUCH ZUR AKTIVIERUNG UND NUTZUNG DER HANDY-SIGNATUR APP

Digital Rights Management (DRM) Verfahren, die helfen Rechte an virtuellen Waren durchzusetzen. Public-Key-Kryptographie (2 Termine)

Fälschungssichere RFID-Chips

SEPA Lastschriften. Ergänzung zur Dokumentation vom Workshop Software GmbH Siemensstr Kleve / /

Analysis I für Studierende der Ingenieurwissenschaften

Das RSA-Verfahren. Armin Litzel. Proseminar Kryptographische Protokolle SS 2009

Transkript:

Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 13.05.2013 1 / 16

Überblick 1 Asymmetrische Verschlüsselung Erinnerung Andere Verfahren Demonstration Zusammenfassung 2 Symmetrische Authentifikation von Nachrichten Ziel Sicherheit Konstruktionen 2 / 16

Erinnerung Asymmetrische (Public-Key-)Verschlüsselung: Alice sk C:=Enc(pk,M) Bob pk RSA: Enc(pk, M) = M e mod N Dec(sk, C) = C d mod N Homomorphie von RSA, Notwendigkeit Padding Unsicherheit naives Padding RSA-OAEP 3 / 16

ElGamal (1985) Szenario: zyklische Gruppe G = g pk = (G, g, g x ), sk = (G, g, x) (mit x zufällig) Enc(pk, M) = (g y, g xy M) (mit y zufällig) Dec(sk, (Y, Z)) = Z/Y x (= (g xy M)/(g y ) x = M) Beobachtung: Verschlüsselung probabilistisch Aber: ElGamal wie RSA homomorph Enc(pk, M) Enc(pk, M ) = (g y, g xy M) (g y, g xy M ) = (g y+y, g x(y+y ) M M ) = Enc(pk, M M ) 4 / 16

Mehr über ElGamal ElGamal unter naheliegender Annahme semantisch sicher Nicht-homomorphe Varianten von ElGamal existieren Kandidaten für geeignete Gruppen G: (Echte) Untergruppen von Z P (mit P prim) Allgemeiner: Untergruppen von F q (mit q Primpotenz) Effizienter: (Untergruppen von) elliptischer Kurve E(F q ) Realistische Gruppengröße: G 2 2048 (für G Z P, F q) G 2 200 (für G E(F q )) 5 / 16

Demonstration Demonstration: Geschwindigkeitsvergleich RSA/elliptische Kurven 6 / 16

Zusammenfassung asymmetrische Verschlüsselung Public-Key-Verschlüsselung löst Schlüsselverteilungsproblem RSA wichtig, aber ohne Padding problematisch RSA-OAEP ElGamal in kleineren Gruppen möglich (Effizienz) Beide Verfahren (ungepadded) homomorph (Vorteil/Nachteil) 7 / 16

Aktuelle Forschung Mehr/andere Funktionalität Identitätsbasierte Verschlüsselung (löst Zertifizierungsproblem) Vollhomomorphe Verschlüsselung (Berechnungen delegieren 1 ) Broadcast-Verschlüsselung (Beispielanwendung: Pay-TV) Andere Probleme, alternative mathematische Strukturen Public-Key-Verschlüsselung so sicher wie Faktorisierung Gitterbasierte Verschlüsselung 1 momentan noch um Größenordnungen zu ineffizient 8 / 16

Überblick 1 Asymmetrische Verschlüsselung Erinnerung Andere Verfahren Demonstration Zusammenfassung 2 Symmetrische Authentifikation von Nachrichten Ziel Sicherheit Konstruktionen 9 / 16

Ziel Authentifizierte Übermittlung auf unauthentifiziertem Kanal: Alice (M,σ) Bob Nachricht M soll vor Veränderungen geschützt werden Idee: Sende Unterschrift σ mit Nachricht Anforderungen: Bob muss σ (aus/für Nachricht M) berechnen können Alice muss σ (zusammen mit M) verifizieren können Außenseiter soll kein gültiges σ für neues M erzeugen können 10 / 16

Grundidee MACs Annahme: Alice und Bob besitzen gemeinsames Geheimnis K Alice K (M,σ) Bob K Signieren: σ Sig(K, M) Verifizieren: Ver(K, M, σ) {0, 1} Korrektheit: Ver(K, σ) = 1 für alle K, M und σ Sig(K, M) Wird MAC (Message Authentication Code) genannt 11 / 16

Sicherheitsmodell Diskussion: Wünschenswerte Sicherheitseigenschaften? 12 / 16

Sicherheitsdefinition Schema EUF-CMA-sicher kein PPT-Angreifer A gewinnt folgendes Spiel nicht-vernachlässigbar oft: 1 A erhält Zugriff auf ein Sig(K, )-Orakel 2 A gibt Ausgabe (M, σ ) 3 A gewinnt, wenn Ver(K, M, σ ) = 1 und M frisch Modelliert passive Angriffe (A erhält keinen Ver-Zugriff) Für viele Verfahren (z.b. bei eindeutigem σ) äquivalent zu Definition mit Ver-Orakel für A Intuition: wenn A Ver-Anfrage mit Ver(K, M, σ) = 1 und frischem (also nicht schon von Sig erzeugtem) σ generiert, ist das schon eine gefälschte Signatur 13 / 16

Hash-Then-Sign-Paradigma Problem: viele Verfahren signieren nur kurze Bitstrings Lösung: signiere H(M) {0, 1} k anstelle von M {0, 1} Theorem (Sicherheit des Hash-Then-Sign-Paradigmas) Sei (Sig, Ver) EUF-CMA-sicher und H eine kollisionsresistente Hashfunktion. Dann ist der durch Sig (K, M) = Sig(K, H(M)), Ver (K, M, σ) = Ver(K, H(M), σ) erklärte MAC EUF-CMA-sicher. Beweis. Beweisstrategie: ein EUF-CMA-Angreifer A muss entweder eine H-Kollision oder eine Signatur σ für einen frischen Hashwert H(M) finden, um das EUF-CMA-Spiel zu gewinnen. 14 / 16

Pseudorandom Functions Nützlicher theoretischer Baustein: Pseudorandom Functions Definition (Pseudorandom Function, PRF) Sei PRF : {0, 1} k {0, 1} k {0, 1} k eine über k N parametrisierte Funktion. PRF heißt Pseudorandom Function (PRF), falls für jeden PPT-Algorithmus A die Funktion ] Adv prf PRF,A [A (k) := Pr PRF(K, ) (1 k ) = 1 Pr [ ] A R( ) (1 k ) = 1 vernachlässigbar ist, wobei R : {0, 1} k {0, 1} k eine echt zufällige Funktion ist. 15 / 16

Kandidat für eine Pseudorandom Function PRF-Kandidat, ausgehend von Hashfunktion H: PRF(K, X ) := H(K, X ) Vorsicht: diese Konstruktion hat ihre Tücken Manchmal (Merkle-Damgård) lässt sich Hashwert erweitern : H(K, X ) kann zu H(K, X, X ) erweitert werden Bricht PRF-Eigenschaft für Eingaben unterschiedlicher Länge 16 / 16

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback