Stromchiffre. Algorithmus Stromchiffre

Ähnliche Dokumente
Sicherheit von hybrider Verschlüsselung

Effizienten MAC-Konstruktion aus der Praxis: NMAC Idee von NMAC:

Sicherer MAC für Nachrichten beliebiger Länge

ElGamal Verschlüsselungsverfahren (1984)

Voll homomorpe Verschlüsselung

Kryptographie I Symmetrische Kryptographie

RSA Full Domain Hash (RSA-FDH) Signaturen

Vorlesung Sicherheit

RSA Full Domain Hash (RSA-FDH) Signaturen

Stefan Lucks Krypto und Mediensicherheit (2009) 4: Stromchiffren

In beiden Fällen auf Datenauthentizität und -integrität extra achten.

Homomorphe Verschlüsselung

Kryptologie und Kodierungstheorie

Grundlagen der Kryptographie

Kryptographische Zufallszahlen. Schieberegister, Output-Feedback

6.2 Perfekte Sicherheit

Übungen zu. Grundlagen der Kryptologie SS Hochschule Konstanz. Dr.-Ing. Harald Vater. Giesecke & Devrient GmbH Prinzregentenstraße 159

Mitschrift Vorlesung Einführung in die Kryptographie vom 18. Januar 2011

Name:... Vorname:... Matrikel-Nr.:... Studienfach:...

Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester 2013.

Ein RSA verwandtes, randomisiertes Public Key Kryptosystem

Betriebsarten für Blockchiffren

Kapitel 3: Etwas Informationstheorie

8. Von den Grundbausteinen zu sicheren Systemen

12 Kryptologie. ... immer wichtiger. Militär (Geheimhaltung) Telebanking, Elektronisches Geld E-Commerce

RSA Verfahren. Kapitel 7 p. 103

Netzwerktechnologien 3 VO

Urbild Angriff auf Inkrementelle Hashfunktionen

Lösung zur Klausur zu Krypographie Sommersemester 2005

Kryptographische Systeme (M, C, K, e, d) Symmetrische Verfahren (gleicher Schlüssel zum Verschlüsseln und Entschlüsseln):

Symmetrische Kryptoverfahren

Ein Scan basierter Seitenangriff auf DES

Kapitel 4: Flusschiffren

Zur Sicherheit von RSA

monoalphabetisch: Verschiebechiffren (Caesar), multiplikative Chiffren polyalphabetisch: Vigenère-Chiffre

10. Public-Key Kryptographie

Algorithmische Kryptographie

Informationssicherheit - Lösung Blatt 2

Kryptographie und Komplexität

IT-Sicherheit: Kryptographie

Krypto-Begriffe U23 Krypto-Mission

Wiederholung Symmetrische Verschlüsselung klassische Verfahren: Substitutionschiffren Transpositionschiffren Vigenère-Chiffre One-Time-Pad moderne

Entscheidungsbäume. Definition Entscheidungsbaum. Frage: Gibt es einen Sortieralgorithmus mit o(n log n) Vergleichen?

Zufallszahlen in AntBrain

Beweisbar sichere Verschlüsselung

Kryptographie oder Verschlüsselungstechniken

(Man sagt dafür auch, dass die Teilmenge U bezüglich der Gruppenoperationen abgeschlossen sein muss.)

Das RSA-Verfahren. Armin Litzel. Proseminar Kryptographische Protokolle SS 2009

Betriebsarten von Blockchiffren. ECB Electronic Code Book Mode. Padding. ECB Electronic Code Book Mode

Kryptographie und Komplexität

Kryptographie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik

Kryptographische Verfahren auf Basis des Diskreten Logarithmus

1 Kryptosysteme 1 KRYPTOSYSTEME. Definition 1.1 Eine Kryptosystem (P(A), C(B), K, E, D) besteht aus

Projekt u23 Symmetrische Kryptografie, Betriebsmodi von Blockchiffren

Verschlüsselung. Chiffrat. Eve

Wiederholung: Informationssicherheit Ziele

Sicherheit in Wireless LANs

Kap. 2: Fail-Stop Unterschriften

Netzsicherheit I, WS 2008/2009 Übung 6. Prof. Dr. Jörg Schwenk

4. Woche Decodierung; Maximale, Perfekte und Optimale Codes. 4. Woche: Decodierung; Maximale, Perfekte und Optimale Codes 69/ 140

Algorithmentheorie Randomisierung. Robert Elsässer

Zufallszahlen in der Kryptographie

Streaming Data: Das Modell

IT-Sicherheitsmanagement Teil 11: Symmetrische Verschlüsselung

IT-Sicherheit: Kryptographie. Asymmetrische Kryptographie

8: Zufallsorakel. Wir suchen: Einfache mathematische Abstraktion für Hashfunktionen

Praktikum IT-Sicherheit

Stream cipher. Merima Halkic Maria Davidouskaya Mostafa Masud

Wireless Security. IT Security Workshop Moritz Grauel Matthias Naber

Asymmetrische. Verschlüsselungsverfahren. erarbeitet von: Emilia Winkler Christian-Weise-Gymnasium Zittau

Einführung in Computer Microsystems

Stefan Lucks Krypto und Mediensicherheit (2009) 5: Blockchiffren. 5: Blockchiffren. (n bit) (n bit) VERschlüsseln ENTschlüsseln

Verfügbarkeit (Schutz vor Verlust) Vertraulichkeit (Schutz vor unbefugtem Lesen) Authentizität (Schutz vor Veränderung, Fälschung)

Die Komplexitätsklassen P und NP

RSA-Verschlüsselung. von Johannes Becker Gießen 2006/2008

Benutzer- und Datensicherheit. Ralf Abramowitsch Vector Informatik GmbH

Ich bedanke mich bei Florian Böhl, Benny Fuhry, Gunnar Hartung, Jan Holz, Björn Kaidel, Eike Kiltz, Evgheni Kirzner, Jessica Koch, Julia Rohlfing,

Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Klausur

Einführung. Vorlesungen zur Komplexitätstheorie: Reduktion und Vollständigkeit (3) Vorlesungen zur Komplexitätstheorie. K-Vollständigkeit (1/5)

Lösungsblatt zur Vorlesung. Kryptanalyse WS 2009/2010. Blatt 6 / 23. Dezember 2009 / Abgabe bis spätestens 20. Januar 2010, 10 Uhr (vor der Übung)

3 Vom Zählen zur Induktion

Exkurs Kryptographie

Vorlesung IT-Sicherheit FH Frankfurt Sommersemester 2007

Konzepte von Betriebssystem-Komponenten: Schwerpunkt Sicherheit Grundlagen: Asymmetrische Verschlüsslung, Digitale Signatur

Randomisierte Algorithmen

Kryptographie II. Introduction to Modern Cryptography. Jonathan Katz & Yehuda Lindell

Übungen zur Vorlesung Systemsicherheit

IT-Sicherheit - Sicherheit vernetzter Systeme -


Diffie-Hellman, ElGamal und DSS. Vortrag von David Gümbel am

Vorlesung Sicherheit

Hilbert-Kalkül (Einführung)

Aussagenlogik zu wenig ausdrucksstark für die meisten Anwendungen. notwendig: Existenz- und Allaussagen

Kryptologische Grundlagen

Public-Key Verschlüsselung

3 Sicherheit von Kryptosystemen

Transkript:

Stromchiffre Algorithmus Stromchiffre Sei G ein Pseudozufallsgenerator mit Expansionsfaktor l(n). Wir definieren Π s = (Gen, Enc, Dec) mit Sicherheitsparameter n für Nachrichten der Länge l(n). 1 Gen: Wähle k R {0, 1} n. 2 Enc: Bei Eingabe k {0, 1} n und m {0, 1} l(n), berechne c := G(k) m. 3 Dec: Bei Eingabe k {0, 1} n und c {0, 1} l(n), berechne m := G(k) c. Anmerkung: Π s verwendet G(k) anstatt r {0, 1} l(n) wie im One-Time Pad. D.h. wir benötigen nur n statt l(n) echte Zufallsbits. (Bsp: n 128 Bit, l(n) mehrere Megabyte) Krypto I - Vorlesung 05-09.11.2009 Stromchiffre, mehrfache Verschlüsselung, deterministische Verschlüsselung 40 / 52

Sicherheit unserer Stromchiffre Satz Sicherheit von Π s Sei G ein Pseudozufallsgenerator. Dann ist Π s KPA-sicher. Beweis: Idee: Erfolgreicher Angreifer A liefert Unterscheider für G. Sei A ein KPA-Angreifer auf Π s mit Vorteil ɛ(n). Wir konstruieren mittels A folgenden Unterscheider U für G. Algorithmus Unterscheider U EINGABE: w {0, 1} l(n) 1 Erhalte (m 0, m 1 ) A(1 n ) 2 Wähle b R {0, 1} und berechne c := w m b. 3 Erhalte b A(c). { 1 falls b = b, Interpretation: w = G(k), k R {0, 1} n AUSGABE: = 0 sonst, Interpretation: w R {0, 1} l(n). Krypto I - Vorlesung 05-09.11.2009 Stromchiffre, mehrfache Verschlüsselung, deterministische Verschlüsselung 41 / 52

Sicherheit von Π s Fall 1: w = r R {0, 1} l(n), d.h. w ist ein echter Zufallsstring. Dann ist die Verteilung von c identisch zur Verteilung beim One-Time Pad Π otp. Damit folgt aus der perfekten Sicherheit des One-Time Pads Ws[D(w) = 1] = Ws[PrivK eav A,Π otp (n) = 1] = 1 2. Fall 2: w = G(k) für k R {0, 1} n, d.h. w wurde mittels G generiert. Damit ist die Verteilung von c identisch zur Verteilung in Π s. Es folgt Ws[D(w) = 1] = Ws[PrivK eav A,Π s (n) = 1] = 1 2 + ɛ(n). Aus der Pseudozufälligkeit von G folgt insgesamt negl(n) Ws[D(r) = 1] Ws[D(G(k)) = 1] = ɛ(n). }{{}}{{} 1 1 2 2 +ɛ(n) Damit ist der Vorteil jedes Angreifers A vernachlässigbar. Krypto I - Vorlesung 05-09.11.2009 Stromchiffre, mehrfache Verschlüsselung, deterministische Verschlüsselung 42 / 52

Generator mit variabler Ausgabelänge Ziel: Um Nachricht beliebiger Länge l(n) mit Algorithmus Π s zu verschlüsseln, benötigen wir ein G mit variabler Ausgabelänge l(n). Definition Pseudozufallsgenerator mit variabler Ausgabelänge Ein pt Algorithmus G heißt Pseudozufallsgenerator mit variabler Ausgabelänge falls 1 Für eine Saat s {0, 1} n und eine Länge l N berechnet G(s, 1 l ) einen String der Länge l. 2 Für jedes Polynom l( ) ist G l (s) := G(s, 1 l(n) ), s {0, 1} n ein Pseudozufallsgenerator mit Expansionsfaktor l(n). 3 Für alle s, l, l mit l l ist G(s, 1 l ) ein Präfix von G(s, 1 l ). Anmerkungen: Für Nachricht m erzeugen wir Chiffretext c := G(k, 1 m ) m. Bedingung 3 ist technischer Natur, um im KPA-Spiel Verschlüsselungen von m 0, m 1 beliebiger Länge zuzulassen. Krypto I - Vorlesung 05-09.11.2009 Stromchiffre, mehrfache Verschlüsselung, deterministische Verschlüsselung 43 / 52

Existenz Zufallsgenerator mit/ohne variable Länge Fakt Existenz von Zufallsgeneratoren 1 Die Existenz von Pseudozufallsgeneratoren folgt unter der Annahme der Existenz von sogenannten Einwegfunktionen. 2 Pseudozufallsgeneratoren variabler Ausgabelänge können aus jedem Pseudozufallsgenerator fixer Länge konstruiert werden. Vereinfacht: Einwegfunktion Pseudozufallsgenerator fixer Länge Pseudozufallsgenerator variabler Länge (mehr dazu im Verlauf der Vorlesung) Krypto I - Vorlesung 05-09.11.2009 Stromchiffre, mehrfache Verschlüsselung, deterministische Verschlüsselung 44 / 52

Diskussion Stromchiffren Stromchiffre: Pseudozufallsgeneratoren mit variabler Ausgabelänge liefern Strom von Zufallsbits. Wir nennen diese Stromgeneratoren auch Stromchiffren. Stromchiffren in der Praxis: Beispiele: LFSRs, RC4, SEAL, A5/1 und Bluetooth. Viele Stromchiffren in der Praxis sind sehr schnell, allerdings sind die meisten leider ad hoc Lösungen ohne Sicherheitsbeweis. Schwächen in RC4 führten zum Brechen des WEP Protokolls. LFSRs sind kryptographisch vollständig gebrochen worden. Seit 2004: Ecrypt-Projekt estream zur Etablierung sicherer Standard-Stromchiffren. Derzeitige Kandidaten: HC-128, Rabbit, Salsa20/12, SOSEMANUK, Grain v1, MICKEY v2 und Trivium. Krypto I - Vorlesung 05-09.11.2009 Stromchiffre, mehrfache Verschlüsselung, deterministische Verschlüsselung 45 / 52

Sicherheit mehrfacher Verschlüsselung Bisher: Angreifer A erhält nur eine Verschlüsselung. Nachrichten müssen aber sicher bleiben, falls A mehrere Chiffretexte erhält. Spiel Mehrfache Verschlüsselung PrivK mult A,Π (n) Sei Π ein Verschlüsselungsverfahren und A ein Angreifer. 1 (M 0, M 1 ) A(1 n ) mit M 0 = (m0 1,..., mt 0 ), M 1 = (m1 1,..., mt 1 ) und m0 i = mi 1 für alle i [t]. 2 k Gen(1 n ). 3 Wähle b R {0, 1}. b A((Enc k (mb 1),..., Enc k(mb t { )). 4 PrivKA,Π mult(n) = 1 für b = b. 0 sonst Krypto I - Vorlesung 05-09.11.2009 Stromchiffre, mehrfache Verschlüsselung, deterministische Verschlüsselung 46 / 52

Mult-KPA Sicherheit Definition Mult-KPA Sicherheit Ein Verschlüsselungsschema Π = (Gen, Enc, Dec) besitzt ununterscheidbare mehrfache Chiffretexte gegenüber KPA falls für alle ppt A: Ws[PrivK mult A,Π (n) = 1] 1 2 + negl(n). Der Wsraum ist definiert über die Münzwürfe von A und PrivK mult A,Π. Notation: Wir bezeichnen Π als mult-kpa sicher. Krypto I - Vorlesung 05-09.11.2009 Stromchiffre, mehrfache Verschlüsselung, deterministische Verschlüsselung 47 / 52

KPA Sicherheit vs. mult-kpa Sicherheit Satz KPA Sicherheit vs. mult-kpa Sicherhei KPA Sicherheit impliziert nicht mult-kpa Sicherheit. Beweis: Π s ist KPA-sicher. Wir betrachten folgendes mult-kpa Spiel. Algorithmus Angreifer A für Π s EINGABE: Sicherheitsparameter n 1 (M 0, M 1 ) A(1 n ) mit M 0 = (0 n, 0 n ), M 1 = (0 n, 1 n ). 2 Erhalte C = (c 1, c 2 ). { AUSGABE: b 1 falls c 1 = c 2 =. 0 sonst Da Enc von Π s deterministisch ist, gilt Ws[PrivK mult A,Π s (n) = 1] = 1. Krypto I - Vorlesung 05-09.11.2009 Stromchiffre, mehrfache Verschlüsselung, deterministische Verschlüsselung 48 / 52

Unsicherheit deterministischer Verschlüsselung Korollar Unsicherheit deterministischer Verschlüsselung Sei Π = (Gen, Enc, Dec) mit deterministischer Verschlüsselung Enc. Dann ist Π unsicher gegenüber mult-kpa Angriffen. Voriger Angreifer A nutzt lediglich, dass für zwei identische Nachrichten m 0 = m 1 auch die Chiffretexte identisch sind. Notwendig: Wir benötigen randomisiertes Enc, dass identische Nachrichten auf unterschiedliche Chiffretexte abbildet. Krypto I - Vorlesung 05-09.11.2009 Stromchiffre, mehrfache Verschlüsselung, deterministische Verschlüsselung 49 / 52

Synchronisierte sichere mehrfache Verschlüsselung Synchronisierter Modus für Stromchiffren: Nutze für Nachrichten m 1, m 2,..., m n sukzessive Teil des Bitstroms G(s) = s 1 s 2... s n mit s i = m i. D.h. es werden nie Teile des Bitstroms wiederverwendet. Ermöglicht einfaches Protokoll zur Kommunikation von A und B: A verschlüsselt mit s 1, B entschlüsselt mit s 1. Danach verschlüsselt B mit s 2, mit dem auch A entschlüsselt, usw. Erfordert, dass A und B die Position im Bitstrom synchronisieren. Verfahren ist sicher, da die Gesamtheit der Nachrichten als einzelne Nachricht m = m 1... m n aufgefasst werden kann. Krypto I - Vorlesung 05-09.11.2009 Stromchiffre, mehrfache Verschlüsselung, deterministische Verschlüsselung 50 / 52

Nicht-synchronisierte mehrfache Verschlüsselung Nicht-synchronisierter Modus für Stromchiffren: Erweitern Funktionalität von Pseudozufallsgeneratoren G: 1 G erhält zwei Eingaben: Schlüssel k und Initialisierungsvektor IV. 2 G(k, IV ) ist pseudozufällig selbst für bekanntes IV. Verschlüsselung von m mit erweiterten Pseudozufallsgeneratoren: Enc k (m) := (IV, G(k, IV ) m) für IV R {0, 1} n. Entschlüsselung möglich, da IV im Klartext mitgesendet wird. D.h. eine Nachricht m besitzt 2 n mögliche Verschlüsselungen. Warnung: Konstruktion solch erweiterter G ist nicht-trivial. Krypto I - Vorlesung 05-09.11.2009 Stromchiffre, mehrfache Verschlüsselung, deterministische Verschlüsselung 51 / 52

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback