Homomorphe Verschlüsselung



Ähnliche Dokumente
Voll homomorpe Verschlüsselung

Homomorphe Verschlüsselung

RSA Full Domain Hash (RSA-FDH) Signaturen

RSA Full Domain Hash (RSA-FDH) Signaturen

ElGamal Verschlüsselungsverfahren (1984)

Sicherheit von hybrider Verschlüsselung

Effizienten MAC-Konstruktion aus der Praxis: NMAC Idee von NMAC:

Urbild Angriff auf Inkrementelle Hashfunktionen

Digitale Unterschriften Grundlagen der digitalen Unterschriften Hash-Then-Sign Unterschriften Public-Key Infrastrukturen (PKI) Digitale Signaturen

Kryptographische Verfahren auf Basis des Diskreten Logarithmus

Vorlesung Sicherheit

Vorlesung Sicherheit

In beiden Fällen auf Datenauthentizität und -integrität extra achten.

8: Zufallsorakel. Wir suchen: Einfache mathematische Abstraktion für Hashfunktionen

10. Public-Key Kryptographie

Sicherheit von Merkle Signaturen

CPA-Sicherheit ist ungenügend

Digitale Signaturen. Sven Tabbert

Sicherer MAC für Nachrichten beliebiger Länge

Homomorphe Verschlüsselung

Kap. 2: Fail-Stop Unterschriften

Grundlagen der Verschlüsselung und Authentifizierung (2)

Hardcore-Prädikat. Definition Hardcore-Prädikat. Ziel: Destilliere Komplexität des Invertierens auf ein Bit.

Definition Message Authentication Code (MAC) Ein Message Authentication Code (MAC) bzgl. des Nachrichtenraumen M besteht aus den ppt Alg.

Authentikation und digitale Signatur

Kryptographie I Symmetrische Kryptographie

Lösungsvorschlag für die Probeklausuren und Klausuren zu Algebra für Informations- und Kommunikationstechniker bei Prof. Dr.

Inhalt. Seminar: Codes und Kryptographie

Netzsicherheit I, WS 2008/2009 Übung 12. Prof. Dr. Jörg Schwenk

Vorlesung Sicherheit

Hybride Verschlüsselungsverfahren

Diffie-Hellman, ElGamal und DSS. Vortrag von David Gümbel am

Einführung in die Algebra

9 Schlüsseleinigung, Schlüsselaustausch

Primzahlen und RSA-Verschlüsselung

8. Quadratische Reste. Reziprozitätsgesetz

Beweisbar sichere Verschlüsselung

Satz. Für jede Herbrand-Struktur A für F und alle t D(F ) gilt offensichtlich

Das RSA-Verfahren. Armin Litzel. Proseminar Kryptographische Protokolle SS 2009

Kap. 8: Speziell gewählte Kurven

Sicherheit von ElGamal

7 Rechnen mit Polynomen

Statistik I für Betriebswirte Vorlesung 11

Nachrichten- Verschlüsselung Mit S/MIME

Konzepte von Betriebssystemkomponenten: Schwerpunkt Sicherheit. Asymmetrische Verschlüsselung, Digitale Signatur

Erstellen von x-y-diagrammen in OpenOffice.calc

Netzsicherheit Architekturen und Protokolle Instant Messaging

Musterlösungen zur Linearen Algebra II Blatt 5

Suchmaschinen. Universität Augsburg, Institut für Informatik SS 2014 Prof. Dr. W. Kießling 23. Mai 2014 Dr. M. Endres, F. Wenzel Lösungsblatt 6

Digital Rights Management (DRM) Verfahren, die helfen Rechte an virtuellen Waren durchzusetzen. Public-Key-Kryptographie (2 Termine)

Lineare Gleichungssysteme

Der Zwei-Quadrate-Satz von Fermat

Verschlüsselung. Chiffrat. Eve

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

11. Das RSA Verfahren und andere Verfahren

RSA-Verschlüsselung. Verfahren zur Erzeugung der beiden Schlüssel:

Umrüsten von Leuchtstofflampen auf LED-Röhren

W-Rechnung und Statistik für Ingenieure Übung 11

1. Motivation / Grundlagen 2. Sortierverfahren 3. Elementare Datenstrukturen / Anwendungen 4. Bäume / Graphen 5. Hashing 6. Algorithmische Geometrie

E-Government in der Praxis Jan Tobias Mühlberg. OpenPGP. Brandenburg an der Havel, den 23.

-Zertifikatsverwaltung

Algorithmen II Vorlesung am

Existenz von Einwegfunktionen

U3L Ffm Verfahren zur Datenverschlüsselung

Übung Theoretische Grundlagen

1. Wie viel Zinsen bekommt man, wenn man 7000,00 1 Jahr lang mit 6 % anlegt?

Enigmail Konfiguration

Eigenwerte und Eigenvektoren von Matrizen

Hashfunktionen und Kollisionen

Grundlagen der Theoretischen Informatik, SoSe 2008

Algorithmische Kryptographie

Kapitel 3: Etwas Informationstheorie

Korrelation (II) Korrelation und Kausalität

Würfelt man dabei je genau 10 - mal eine 1, 2, 3, 4, 5 und 6, so beträgt die Anzahl. der verschiedenen Reihenfolgen, in denen man dies tun kann, 60!.

Künstliche Intelligenz Maschinelles Lernen

Vorbereitung auf die SEPA-Umstellung

Statistische Untersuchungen zu endlichen Funktionsgraphen

Asymmetrische Verschlüsselungsverfahren

Electronic Systems GmbH & Co. KG

Division Für diesen Abschnitt setzen wir voraus, dass der Koeffizientenring ein Körper ist. Betrachte das Schema

1. Man schreibe die folgenden Aussagen jeweils in einen normalen Satz um. Zum Beispiel kann man die Aussage:

Public-Key-Algorithmen WS2015/2016

Anleitung zur Installation von PGP auf MacOSx

10.6 Authentizität. Geheimhaltung: nur der Empfänger kann die Nachricht lesen

Erste Vorlesung Kryptographie

Achim Rosch, Institut für Theoretische Physik, Köln. Belegt das Gutachten wesentliche fachliche Fehler im KPK?

Kompetitive Analysen von Online-Algorithmen

Lineare Gleichungssysteme

Transkript:

Homomorphe Verschlüsselung Definition Homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : G G für Gruppen G, G. Π heißt homomorph, falls Enc(m 1 ) G Enc(m 2 ) eine gültige Verschlüsselung von m 1 G m 2 für alle m 1, m 2 G ist. Bsp: Textbook-RSA mit Enc : (Z N, ) (Z N, ) und m1 e me 2 = (m 1 m 2 ) e mod N. ElGamal mit Enc : (Z p, ) (Z p, ) (Z p, ) und (g y 1, h y 1m 1 ) (g y 2, h y 2m 2 ) = (g y 1+y 2, h y 1+y 2 m 1 m 2 ). Hier ist G die komponentenweise Multiplikation in Z p Z p. Goldwasser-Micali mit Enc : (Z 2,+) (Z N, ) und z m 1x1 2 zm 2x2 2 = zm 1+m 2 mod 2 (x 1 x 2 ) 2 mod N. Krypto II - Vorlesung 10-08.06.2011 Homomorphe Verschlüsselung, Signatur, CMA-Sicherheit, Textbook RSA 118 / 159

E-voting mit Paillier Paillier mit Enc : (Z N,+) (Z N 2, ) und (1+N) m 1r N 1 (1+N)m 2r N 2 = (1+N)m 1+m 2 mod N (r 1 r 2 ) N mod N 2. Vorteil: G = (Z N,+) ist additiv und groß. Algorithmus E-voting mit Paillier Wahlleiter generiert öffentlichen RSA-Modul N = pq. Wähler i [n] mit n < N wählt v i = 0 für NEIN, v i = 1 für JA und sendet an alle anderen Wähler c i = (1+N) v i r N i mod N 2. Wähler aggregieren c := n i=1 c i mod N 2. Wahlleiter erhält c und veröffentlicht Dec(c) = n i=1 v i. Eigenschaften: (falls alle Parteien sich an das Protokoll halten) Wahlleiter erhält c, ohne die einzelnen c i kennenzulernen. Kein Wähler erhält Informationen über die v i anderer Wähler. Berechnung von c ist öffentlich verifizierbar. Krypto II - Vorlesung 10-08.06.2011 Homomorphe Verschlüsselung, Signatur, CMA-Sicherheit, Textbook RSA 119 / 159

Voll homomorphe Verschlüsselung Definition Voll homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : R R für Ringe R, R. Π heißt voll homomorph, falls 1 Enc(m 1 )+Enc(m 2 ) eine gültige Verschlüsselung von m 1 + m 2 2 Enc(m 1 ) Enc(m 2 ) eine gültige Verschlüsselung von m 1 m 2 für alle m 1, m 2 R ist. Anwendung: Cloud Computing Sende verschlüsselt Algorithmus A, Eingabe x an einen Server S. S berechnet daraus die verschlüsselte Ausgabe Enc(A(x)). Erlaubt Auslagern von Berechnungen an S. S lernt nichts über das Programm A oder die Eingabe x. Erste voll homomorphe Verschlüsselung: Gentry Verfahren (2009), basierend auf Problemen der Gittertheorie. Krypto II - Vorlesung 10-08.06.2011 Homomorphe Verschlüsselung, Signatur, CMA-Sicherheit, Textbook RSA 120 / 159

Digitale Signaturen Funktionsweise von digitalen Signaturen: Schlüsselgenerierung erzeugt pk, sk. Signieren ist Funktion von sk. Verifikation ist Funktion von pk. Idee: Es soll unmöglich sein, ein gültiges Paar von Nachricht m mit zugehöriger Signatur σ zu erzeugen, ohne sk zu kennen. Eigenschaften digitaler Signaturen. Integrität: m kann nicht verändert werden, da man keine gültige Signatur zu einem m m erstellen kann. Authentizität: Falls σ ein gültige Signatur zu m ist, so kommt die Signatur vom Besitzer des sk. Transferierbarkeit: Jeder kann die Gültigkeit von (m, σ) überprüfen. Insbesondere kann (m, σ) weitergereicht werden. Nicht-Abstreitbarkeit: Signierer kann nicht behaupten, dass eine andere Person eine gültige Signatur erzeugt hat. Krypto II - Vorlesung 10-08.06.2011 Homomorphe Verschlüsselung, Signatur, CMA-Sicherheit, Textbook RSA 121 / 159

Definition Signaturverfahren Definition Signaturverfahren Ein Signaturverfahren ist ein 3-Tupel (Gen, Sign, Vrfy) von ppt Alg mit 1 Gen: (pk, sk) Gen(1 n ). 2 Sign: Für eine Nachricht m 0, 1} berechne σ := Sign sk (m). 3 Vrfy: Für ein Tupel (m, σ) berechne 1 falls σ gültig ist für m. Vrfy pk (m,σ) =. 0 sonst Für alle m 0, 1} gilt Vrfy pk (m,σ) = 1 gdw σ = Sign sk (m). Krypto II - Vorlesung 10-08.06.2011 Homomorphe Verschlüsselung, Signatur, CMA-Sicherheit, Textbook RSA 122 / 159

Unfälschbarkeit von Signaturen Spiel CMA-Spiel Forge A,Π (n) Sei Π ein Signaturverfahren mit Angreifer A. 1 (pk, sk) Gen(1 n ) 2 (m,σ) A Signsk( ) (pk), wobei Sign sk ( ) ein Signierorakel für beliebige Nachrichten m m ist. 1 falls Vrfy 3 pk (m,σ) = 1, Sign sk (m) nicht angefragt Forge A,Π (n) =. 0 sonst Definition CMA-Sicherheit Sei Π ein Signaturverfahren. Π heißt existentiell unfälschbar unter Chosen Message Angriffen (oder kurz CMA-sicher), falls für alle ppt Angreifer A gilt Ws[Forge A,Π (n) = 1] negl(n). Krypto II - Vorlesung 10-08.06.2011 Homomorphe Verschlüsselung, Signatur, CMA-Sicherheit, Textbook RSA 123 / 159

CMA Spiel Forge Forge A,Π (n) (pk,sk) Gen(1 n ) σ i = Sign sk (m i ) Ausgabe: 1 if Vrfy pk (m,σ) = 1 0 else (1 n,pk) m i σ i (m,σ) A Wähle m i, i = 1,...,q. Berechne: (m, σ) m / m 1,...,m q } Krypto II - Vorlesung 10-08.06.2011 Homomorphe Verschlüsselung, Signatur, CMA-Sicherheit, Textbook RSA 124 / 159

Unsicherheit von Textbook RSA Signaturen Algorithmus Textbook RSA Signaturen 1 Gen: (N, e, d) GenRSA(1 n ). Setze pk = (N, e), sk = (N, d). 2 Sign: Für m Z N berechne σ = m d mod N. 1 falls σ 3 Vrfy: Für (m,σ) Z N Z N Ausgabe e =? m mod N. 0 sonst Unsicherheit: gegenüber CMA-Angriffen Wähle beliebigesσ Z N. Berechne m := σ e mod N. Offenbar ist σ eine gültige Signatur für m. Angreifer besitzt keine Kontrolle über m (existentielle Fälschung). Fälschen einer Signatur für ein gewähltes m Z N : Wähle m 1 R Z N \1, m}. Berechne m 2 = m m 1 mod N. Lasse m 1, m 2 vom Orakel Sign sk ( ) unterschreiben. Seien σ 1,σ 2 die Signaturen. Dann ist σ = σ 1 σ 2 = m d 1 md 2 = (m 1m 2 ) d = m d mod N gültig für m. Krypto II - Vorlesung 10-08.06.2011 Homomorphe Verschlüsselung, Signatur, CMA-Sicherheit, Textbook RSA 125 / 159

Hashfunktionen und Kollisionen Definition Hashfunktion Eine Hashfunktion ist ein Paar (Gen, H) von pt Algorithmen mit 1 Gen: s Gen(1 n ). Gen ist probabilistisch. 2 H: Für einen Index s und ein Argument x 0, 1} berechne H s (x), wobei H s : 0, 1} 0, 1} n, x H s (x). Spiel HashColl A,Π (n) 1 s Gen(1 n ) 2 (x, x ) A(s) 3 HashColl A,Π = 1 falls H s (x) = H s (x ) und x x 0 sonst. Krypto II - Vorlesung 10-08.06.2011 Homomorphe Verschlüsselung, Signatur, CMA-Sicherheit, Textbook RSA 126 / 159

Kollisionsresistente Hashfunktionen s Gen(1 n ) HashColl A,Π (n) Ausgabe: 1 falls H s (x) = H s (x ) 0 sonst (1 n,s) (x,x ) A Berechne: x x 0,1} Definition Kollisionsresistenz Eine Hashfunktion Π heißt kollisionsresistent, falls für alle ppt A gilt Ws[HashColl A,Π (n) = 1] negl(n). Krypto II - Vorlesung 10-08.06.2011 Homomorphe Verschlüsselung, Signatur, CMA-Sicherheit, Textbook RSA 127 / 159

Hashed RSA Algorithmus Hashed RSA 1 Gen: (N, e, d, H) GenHashRSA(1 n ) mit H : 0, 1} Z N. Ausgabe pk = (N, e, H), sk = (N, d, H). 2 Sign: Für m 0, 1} berechne σ = H(m) d mod N. 3 Vrfy: Für (m,σ) Z 2 N Ausgabe 1 gdw σe? = H(m) mod N. Einfacher Angriff: Sei m 1 m 2 eine Kollision für H ist, d.h. H(m 1 ) = H(m 2 ). Frage (m 1,σ) an. Dann ist (m 2,σ) eine gültige Fälschung. D.h. wir benötigen für H Kollisionsresistenz. Anmerkung: Sicherheit gegen unsere Angriffe für Textbook RSA 1 Wähle σ Z N, berechne σ e. Müssen m H 1 (σ e ) bestimmen. Übung: Urbildbestimmung ist schwer für kollisionsresistentes H. 2 Für ein m Z N benötigen wir m 1, m 2 mit H(m) = H(m 1 ) H(m 2 ) in Z N. Scheint Invertierbarkeit von H zu erfordern. Krypto II - Vorlesung 10-08.06.2011 Homomorphe Verschlüsselung, Signatur, CMA-Sicherheit, Textbook RSA 128 / 159

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback