Prinzipien der modernen Kryptographie Sicherheit

Ähnliche Dokumente
Kryptographie I Symmetrische Kryptographie

Sicherheit von hybrider Verschlüsselung

Sicherheit von ElGamal

Effizienten MAC-Konstruktion aus der Praxis: NMAC Idee von NMAC:

ElGamal Verschlüsselungsverfahren (1984)

Kapitel 3: Etwas Informationstheorie

Kryptologie. Bernd Borchert. Univ. Tübingen WS 15/16. Vorlesung. Teil 1a. Historische Verschlüsselungsverfahren

Vorlesung Sicherheit

5. Woche Perfekte und Optimale Codes, Schranken. 5. Woche: Perfekte und Optimale Codes, Schranken 88/ 142

4. Woche Decodierung; Maximale, Perfekte und Optimale Codes. 4. Woche: Decodierung; Maximale, Perfekte und Optimale Codes 69/ 140

Sicherer MAC für Nachrichten beliebiger Länge

Kryptologie und Kodierungstheorie

6.2 Perfekte Sicherheit

RSA Verfahren. Kapitel 7 p. 103

Kryptographie und Komplexität

10. Public-Key Kryptographie

Das Zweikinderproblem

Ein RSA verwandtes, randomisiertes Public Key Kryptosystem

Vorlesung Sicherheit

Modul Diskrete Mathematik WiSe 2011/12

Stefan Schmid TU Berlin & T-Labs, Berlin, Germany. Reduktionen in der Berechenbarkeitstheorie

Homomorphe Verschlüsselung

Voll homomorpe Verschlüsselung

RSA Full Domain Hash (RSA-FDH) Signaturen

Die (Un-)Sicherheit von DES

Public-Key-Verschlüsselung und Diskrete Logarithmen

Digitale Unterschriften mit ElGamal

Mitschrift Vorlesung Einführung in die Kryptographie vom 18. Januar 2011

RSA Full Domain Hash (RSA-FDH) Signaturen

Wiederholung. Symmetrische Verfahren: klassische Verfahren / grundlegende Prinzipien: Substitution, Transposition, One-Time-Pad DES AES

n ϕ n

11. Das RSA Verfahren und andere Verfahren

Literatur. Dominating Set (DS) Dominating Sets in Sensornetzen. Problem Minimum Dominating Set (MDS)

Verschlüsselung. Chiffrat. Eve

Name:... Vorname:... Matrikel-Nr.:... Studienfach:...

Kryptographie und Komplexität

Lenstras Algorithmus für Faktorisierung

3: Zahlentheorie / Primzahlen

Dank. Grundlagen der Theoretischen Informatik / Einführung in die Theoretische Informatik I. Probleme über Sprachen. Teil II.

Stefan Lucks Krypto und Mediensicherheit (2009) 4: Stromchiffren

Grundlagen der Kryptographie

Vorkurs für. Studierende in Mathematik und Physik. Einführung in Kryptographie Kurzskript 2015

Krypto-Begriffe U23 Krypto-Mission

Vortrag zum Proseminar: Kryptographie

Stackelberg Scheduling Strategien

Kryptograhie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik

Einführung in die Kryptographie ,

Lösung zur Klausur zu Krypographie Sommersemester 2005

Informationssicherheit - Lösung Blatt 2

8 Komplexitätstheorie und Kryptologie

Kryptographie II. Introduction to Modern Cryptography. Jonathan Katz & Yehuda Lindell

Algorithmentheorie Maximale Flüsse

Das RSA-Verfahren. Armin Litzel. Proseminar Kryptographische Protokolle SS 2009

IT-Sicherheit: Kryptographie. Asymmetrische Kryptographie

Entwicklung der Asymmetrischen Kryptographie und deren Einsatz

1 Kryptosysteme 1 KRYPTOSYSTEME. Definition 1.1 Eine Kryptosystem (P(A), C(B), K, E, D) besteht aus

Urbild Angriff auf Inkrementelle Hashfunktionen

Kongruenz ist Äquivalenzrelation

Angewandte Kryptographie

Kryptographische Systeme (M, C, K, e, d) Symmetrische Verfahren (gleicher Schlüssel zum Verschlüsseln und Entschlüsseln):

Übungen zu. Grundlagen der Kryptologie SS Hochschule Konstanz. Dr.-Ing. Harald Vater. Giesecke & Devrient GmbH Prinzregentenstraße 159

IT-Sicherheit - Sicherheit vernetzter Systeme -

Kryptografie & Kryptoanalyse. Eine Einführung in die klassische Kryptologie

Kapitel 4: Flusschiffren

Lineare Algebra 6. Übungsblatt

1 Random Access Maschine

1. Woche Einführung in die Codierungstheorie, Definition Codes, Präfixcode, kompakte Codes

Netzwerktechnologien 3 VO

Public-Key-Kryptographie

Grundbegriffe der Kryptographie II Technisches Seminar SS 2012 Deniz Bilen

2. Vorlesung. 1.3 Beste-Antwort Funktion. Vorlesung: Einführung in die Spieltheorie WS 2006/ Oktober 2006 Guido Schäfer

Verfügbarkeit (Schutz vor Verlust) Vertraulichkeit (Schutz vor unbefugtem Lesen) Authentizität (Schutz vor Veränderung, Fälschung)

Designziele in Blockchiffren

Vorlesung Diskrete Strukturen Gruppe und Ring

Björn Kaidel Alexander Koch

Kleiner Fermatscher Satz, Chinesischer Restsatz, Eulersche '-Funktion, RSA

Wiederholung Symmetrische Verschlüsselung klassische Verfahren: Substitutionschiffren Transpositionschiffren Vigenère-Chiffre One-Time-Pad moderne

Mathematik und Logik

Seminar Kryptographie

Ferienakademie 2001: Kryptographie und Sicherheit offener Systeme. Faktorisierung. Stefan Büttcher

Hast du auch wirklich versucht, die Aufgaben einmal selbständig zu lösen? Wenn nicht, tue es, bevor du dir die Lösungen anschaust!

Geheimnisvolle Codes

Analysis I für Studierende der Ingenieurwissenschaften

Betriebsarten für Blockchiffren

Asymmetrische. Verschlüsselungsverfahren. erarbeitet von: Emilia Winkler Christian-Weise-Gymnasium Zittau

Algorithmik WS 07/ Vorlesung, Andreas Jakoby Universität zu Lübeck

Ein Verfahren zur Lösung des Problems der kryptographischen Langzeitsicherheit medizinischer Daten, die in einer Infrastruktur gespeichert werden.

Vorlesung Datensicherheit. Sommersemester 2010

3. Diskrete Mathematik

Public-Key Verschlüsselung

$Id: ring.tex,v /05/03 15:13:26 hk Exp $

Binomische Formel mod p

4 Das Vollständigkeitsaxiom und irrationale Zahlen

(a)... ein Spieler eine Entscheidung treffen muss... (b)... der andere Spieler (Experte) über private...

Ersetzbarkeitstheorem

ε δ Definition der Stetigkeit.

Eigenwerte und Diagonalisierung

Vorkurs Mathematik und Informatik Mengen, natürliche Zahlen, Induktion

6. Bayes-Klassifikation. (Schukat-Talamazzini 2002)

Betriebsarten von Blockchiffren. ECB Electronic Code Book Mode. Padding. ECB Electronic Code Book Mode

Transkript:

Prinzipien der modernen Kryptographie Sicherheit Prinzip 1 Sicherheitsziel Die Sicherheitsziele müssen präzise definiert werden. Beispiele für ungenügende Definitionen von Sicherheit Kein Angreifer kann k finden. Betrachte Enc k ( ), das die Identität berechnet: k wird zum Entschlüsseln nicht benötigt. Kein Angreifer kann die zugrundeliegende Nachricht bestimmen. Möglicherweise können 90% der Nachricht bestimmt werden. Kein Angreifer kann einen Buchstaben des Klartexts bestimmen. Möglicherweise kann der Angreifer zwischen zwei Nachrichten z.b. JA und NEIN unterscheiden. Kein Angreifer erhält Information über den Klartext vom Chiffretext. Gut, erfordert aber Spezifikation des Begriffs Information. Alternative Definition: Kein Angreifer kann für einen Chiffretext eine Funktion auf dem zugrundeliegenden Klartext berechnen. Krypto I - Vorlesung 02-19.10.2009 Prinzipien, perfekte Sicherheit, One-Time Pad, Shannons Theorem 10 / 150

Prinzip 2 Präzisierung der Annahmen Prinzip 2 Komplexitätsannahme Es muss spezifiziert werden, unter welchen Annahmen das System als sicher gilt. Eigenschaften: Annahmen sollten unabhängig von der Kryptographie sein. Bsp: Das Faktorisierungsproblem ist nicht in polynomial-zeit lösbar. Angriffsszenario KO, KP, CPA oder CCA muss definiert werden. Wir müssen das Berechnungsmodell des Angreifers definieren, z.b. eine Beschränkung auf ppt Angreifer. Krypto I - Vorlesung 02-19.10.2009 Prinzipien, perfekte Sicherheit, One-Time Pad, Shannons Theorem 11 / 150

Prinzip 3 Reduktionsbeweis der Sicherheit Prinzip 3 Beweis der Sicherheit Wir beweisen, dass unter den gegebenen Annahmen kein Angreifer die Sicherheit brechen kann. Anmerkungen: D.h. wir beweisen, dass das System gegen alle Angreifer sicher ist, unabhängig von der Herangehensweise des Angreifers! Typische Beweisaussage: Unter Annahme X folgt die Sicherheit von Konstruktion Y bezüglich der Sicherheitsdefinition Z. Der Beweis erfolgt per Reduktion: Ein erfolgreicher Angreifer A für Y bezüglich Z wird transformiert in einen Algorithmus B, der Annahme X verletzt. Bsp: Angreifer A auf die CCA-Sicherheit einer Verschlüsselung liefert einen Algorithmus B zum Faktorisieren. Krypto I - Vorlesung 02-19.10.2009 Prinzipien, perfekte Sicherheit, One-Time Pad, Shannons Theorem 12 / 150

Perfekte Sicherheit Szenario: Angreifer besitzt unbeschränkte Berechnungskraft. Seien M, K, C versehen mit Ws-Verteilungen. Sei M eine Zufallsvariable für die Ws-Verteilung auf M, d.h. wir ziehen ein m M mit Ws[M = m]. Analog definieren wir Zufallsvariablen K für K und C für C. Es gelte obda Ws[M = m] > 0 und Ws[C = c] > 0 für alle m M, c C. (anderenfalls entferne m aus M bzw. c aus C) Definition Perfekte Sicherheit Ein Verschlüsselungsverfahren Π = (Gen, Enc, Dec) heißt perfekt sicher, falls Ws[M = m C = c] = Ws[M = m] für alle m M, c C. Interpretation: c liefert dem Angreifer keine Informationen über m. Krypto I - Vorlesung 02-19.10.2009 Prinzipien, perfekte Sicherheit, One-Time Pad, Shannons Theorem 13 / 150

Verteilung auf Chiffretexten unabhängig vom Plaintext Satz Chiffretext-Verteilung Ein Verschlüsselungsverfahren Π ist perfekt sicher gdw Ws[C = c M = m] = Ws[C = c] für alle m M, c C. Beweis: " ": Sei Π perfekt sicher. Nach dem Satz von Bayes gilt Ws[C = c M = m] Ws[M = m] Ws[C = c] Daraus folgt Ws[C = c M = m] = Ws[C = c]. = Ws[M = m C = c] = Ws[M = m]. " ": Aus Ws[C = c M = m] = Ws[C = c] folgt mit dem Satz von Bayes Ws[M = m] = Ws[M = m C = c]. Damit ist Π perfekt sicher. Krypto I - Vorlesung 02-19.10.2009 Prinzipien, perfekte Sicherheit, One-Time Pad, Shannons Theorem 14 / 150

Ununterscheidbarkeit von Verschlüsselungen Satz Ununterscheidbarkeit von Verschlüsselungen Ein Verschlüsselungsverfahren Π ist perfekt sicher gdw für alle m 0, m 1 M, c C gilt Ws[C = c M = m 0 ] = Ws[C = c M = m 1 ]. Beweis: " ": Mit dem Satz auf voriger Folie gilt für perfekt sichere Π Ws[C = c M = m 0 ] = Ws[C = c] = Ws[C = c M = m 1 ]. " ": Sei m M beliebig. Es gilt Ws[C = c] = Ws[C = c M = m] Ws[M = m] m M = Ws[C = c M = m ] = Ws[C = c M = m ]. m M Ws[M = m] Die perfekte Sicherheit von Π folgt mit dem Satz auf voriger Folie. Krypto I - Vorlesung 02-19.10.2009 Prinzipien, perfekte Sicherheit, One-Time Pad, Shannons Theorem 15 / 150

Das One-Time Pad (Vernam Verschlüsselung) Definition One-Time Pad (1918) Sei M = C = K = {0, 1} l. 1 Gen: Ausgabe k R {0, 1} l 2 Enc: Für m {0, 1} l Ausgabe c = Enc k (m) := m k. 3 Dec: Für c {0, 1} l Ausgabe m = Dec k (c) := c k. Satz Sicherheit des One-Time Pads Das One-Time Pad ist perfekt sicher. Beweis: Wegen C = M K gilt für alle m 0, m 1 M und c C Ws[C = c M = m 0 ] = Ws[M K = c M = m 0 ] = Ws[K = m 0 c] = 1 2 l = Ws[C = c M = m 1]. Damit ist das One-Time Pad perfekt sicher. Krypto I - Vorlesung 02-19.10.2009 Prinzipien, perfekte Sicherheit, One-Time Pad, Shannons Theorem 16 / 150

Beschränkungen perfekter Sicherheit Satz Größe des Schlüsselraums Sei Π perfekt sicher. Dann gilt K M. Beweis: Angenommen K < M. Für c C definiere D(c) = {m m = Dec k (c) für ein k K}. Es gilt D(c) K, da jeder Schlüssel k genau ein m liefert. Wegen K < M folgt D(c) < M. D.h. es gibt ein m M mit Ws[M = m C = c] = 0 < Ws[M = m]. Damit ist Π nicht perfekt sicher. Krypto I - Vorlesung 02-19.10.2009 Prinzipien, perfekte Sicherheit, One-Time Pad, Shannons Theorem 17 / 150

Satz von Shannon (1949) Satz von Shannon Sei Π = (Gen, Enc, Dec) mit M = C = K. Π ist perfekt sicher gdw 1 Gen wählt alle k K gleichverteilt mit Ws 1 K. 2 Für alle m M, c C existiert genau ein k K: c = Enc k (m). Beweisidee: " ": Jedes c C korrespondiert zu genau einem m M via k. D.h. c wird zu m entschlüsselt, falls k verwendet wird. Dies geschieht gleichverteilt mit Ws 1 K. Damit gilt Ws[C = c M = m] = 1 K für alle m M. Es folgt Ws[C = c M = m 0 ] = 1 K = Ws[C = c M = m 1]. Krypto I - Vorlesung 02-19.10.2009 Prinzipien, perfekte Sicherheit, One-Time Pad, Shannons Theorem 18 / 150

Satz von Shannon (1949) Beweisidee (Fortsetzung): " ": Sei Π perfekt sicher mit M = C = K. Ann: (m, c) mit c Enc k (m) für alle k K. Dann gilt Ws[M = M C = c] = 0 < Ws[M = m]. (Widerspruch) Ann: (m, c) mit c = Enc k (m) für mehrere k K. Dann existiert ein (m, c ) mit c Enc k (m ) für alle k K. (Widerspruch) Damit gibt es für jedes feste c und jedes m genau einen Schlüssel k m mit c = Enc km (m). Daraus folgt für alle m, m Ws[K = k m ] = Ws[C = c M = m] = Ws[C = c M = m ] = Ws[K = k m ]. D.h. es gilt Ws[K = k] = 1 K für alle k K. Krypto I - Vorlesung 02-19.10.2009 Prinzipien, perfekte Sicherheit, One-Time Pad, Shannons Theorem 19 / 150

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback