Vorlesung Sicherheit

Ähnliche Dokumente
Vorlesung Sicherheit

Vorlesung Sicherheit

Vorlesung Sicherheit

Vorlesung Sicherheit

Vorlesung Sicherheit

Vorlesung Sicherheit

CPA-Sicherheit ist ungenügend

Hybride Verschlüsselungsverfahren

Asymmetrische Verschlüsselungsverfahren

Übung zur Vorlesung. Sicherheit Übungsblatt 5 Björn Kaidel

Homomorphe Verschlüsselung

Vorlesung Sicherheit

Asymmetrische Verschlüsselungsverfahren

ElGamal Verschlüsselungsverfahren (1984)

Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Klausur Hinweise

Vorlesung Sicherheit

Vorlesung Sicherheit

Digitale Signaturen. RSA-FDH & das Random Oracle Model Björn Kaidel (mit Folien von Gunnar Hartung)

Vorlesung Sicherheit

Rabin Verschlüsselung 1979

Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Nachklausur Hinweise

Sicherheit von Merkle Signaturen

Sicherheit von ElGamal

Übungen zur Vorlesung Systemsicherheit

Aufgabe der Kryptografie

Sicherheit von hybrider Verschlüsselung

Übung zur Vorlesung Sicherheit Übungsblatt 3. Björn Kaidel 1 / 52

Kryptographie und Komplexität

Vorlesung Sicherheit

Kryptographie mit elliptischen Kurven

Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Klausur Hinweise

Verschlüsselung. Chiffrat. Eve

Existenz von Einwegfunktionen

Kryptographie und Komplexität

Betriebssysteme und Sicherheit

RSA-Verfahren Schnelle Ver- / Entschlüsselung Zusammenhang mit dem Faktorisierungsproblem. RSA-Verfahren. Herwig Stütz

Public Key Kryptographie

Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Nachklausur

Kryptographie und Komplexität

Vorlesung Sicherheit

6.2 Asymmetrische Verschlüsselung

4 Der diskrete Logarithmus mit Anwendungen

Vorlesung Sicherheit

Public-Key-Verschlüsselung und Diskrete Logarithmen

Vorlesung Sicherheit

Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Klausur Hinweise

Kryptograhie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik

Einführung in die Kryptographie

Asymmetrische Verschlüsselungsverfahren

Kryptographie und Komplexität

RSA Äquivalenz der Parameter

Bemerkungen. Orientierung. Digitale Unterschriften. Angriffe und Sicherheitsmodelle

Digitale Unterschriften. Angriffe und Sicherheitsmodelle. Bemerkungen. Angriffe und Sicherheitsmodelle

Einführung in die Kryptographie

Hardcore-Prädikat. Definition Hardcore-Prädikat. Ziel: Destilliere Komplexität des Invertierens auf ein Bit.

IT-Sicherheit Kapitel 4 Public Key Algorithmen

Diskreter Logarithmus und Primkörper

Übungsblatt 3. Stammvorlesung Sicherheit im Sommersemester Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade

Vorlesung Sicherheit

Digitale Signaturen. Kapitel 8

3: Zahlentheorie / Primzahlen

Übung GSS Blatt 6. SVS Sicherheit in Verteilten Systemen

3 Public-Key-Kryptosysteme

Vorlesung Sicherheit

Elliptic Curve Cryptography

Gruppenbasierte Kryptographie. ElGamal Sicherheit. Drei Probleme. ElGamal Verschlüsselung. Benutzt zyklische Gruppen von (fast) Primzahlordnung:

Einführung in die Kryptographie ,

Vorlesung Sicherheit

Digitale Unterschriften mit ElGamal

Institut für Theoretische Informatik Prof. Dr. Dennis Hofheinz Übungsleiter: Thomas Agrikola. Stammvorlesung Sicherheit im Sommersemester 2017

Kryptographische Protokolle

Vortrag zum Proseminar: Kryptographie

Kryptographie II Asymmetrische Kryptographie

RSA (Rivest, Shamir, Adleman)

Ein RSA verwandtes, randomisiertes Public Key Kryptosystem

Public-Key Kryptographie mit dem RSA Schema. Torsten Büchner

Ideen und Konzepte der Informatik Kryptographie

Björn Kaidel Alexander Koch

Asymmetrische Kryptographie u

Literatur. ISM SS 2017 Teil 8/Asymmetrische Verschlüsselung

4 Kryptologie. Übersicht

Großer Beleg. Arithmetische Optimierung eines kryptographischen Algorithmus für moderne FPGA-Architekturen. Peter Heinzig. 17.

Kryptographie - eine mathematische Einführung

4: Algebraische Strukturen / Gruppen

Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Übungsblatt 5

Kryptographie. Nachricht

Das RSA-Verfahren. Proseminar Kryptographische Protokolle SS Armin Litzel

Einführung in die Kryptographie

Regine Schreier

Vorlesung Datensicherheit. Sommersemester 2010

Blinde Signaturen, geheime Abstimmungen und digitale Münzen

WS 2009/10. Diskrete Strukturen

Kryptosystem von Paillier: Analyse und Verbesserungen

Kryptographie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik

Mitschrift Vorlesung Einführung in die Kryptographie vom 18. Januar 2011

Das Quadratische Reste Problem

Anwendungen der Linearen Algebra: Kryptologie

Einführung in die asymmetrische Kryptographie

Kryptographische Verfahren auf Basis des Diskreten Logarithmus

Überblick Kryptographie

Transkript:

Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 04.05.2015 1 / 20

Kummerkasten Vorlesungsfolien bitte einen Tag vorher hochladen : Sollte jetzt so sein (Folien können aber potentiell nach der VL aktualisiert werden, falls nötig) 2 / 20

Überblick 1 Asymmetrische Verschlüsselung Erinnerung Sicheres RSA Andere Verfahren Demonstration Zusammenfassung 3 / 20

Überblick 1 Asymmetrische Verschlüsselung Erinnerung Sicheres RSA Andere Verfahren Demonstration Zusammenfassung 4 / 20

IND-CPA für asymm. Verschlüsselung Herausforderer C erzeugt Schlüsselpaar (pk, sk). Kein Enc-Orakel, stattdessen erhält der Angreifer pk. C pk A M 0, M 1 b {0, 1} C = Enc(pk, M b ) b b = b? 5 / 20

Erinnerung Asymmetrische (Public-Key-)Verschlüsselung: Alice sk C:=Enc(pk,M) Bob pk RSA: Enc(pk, M) = M e mod N Dec(sk, C) = C d mod N Homomorphie von RSA Enc(pk, M) Enc(pk, M ) = Enc(pk, M M ) Homomorphie kann problematisch sein Auktionen 6 / 20

Überblick 1 Asymmetrische Verschlüsselung Erinnerung Sicheres RSA Andere Verfahren Demonstration Zusammenfassung 7 / 20

Lösungsvorschläge? Diskussion: Wie könnte man RSA reparieren? 8 / 20

RSA-Padding Erster Ansatz (PKCS#1 1.5, 1993): (Randomized) Padding Enc(pk, M) = (pad(m, R)) e mod N (mit Zufall R) Dec erhält und überprüft pad(m, R), und extrahiert M Beispiel: pad(m, R) = M 0 l R (mit M, R N) PKCS#1 1.5 problematisch Kein Sicherheitsbeweis, 1998 sogar Problem gefunden Homomorphe Eigenschaft der RSA-Funktion erlaubt subtile Änderungen an Nachricht PKCS#1 2.0 nutzt RSA-OAEP : besseres Padding 9 / 20

RSA-OAEP pad-funktion von RSA-OAEP (G, H Hashfunktionen): Quelle: Wikipedia 10 / 20

Sicherheit von RSA-OAEP Heuristisch so sicher wie RSA-Funktion invertieren Sicher heißt hier: semantisch sicher selbst gegen aktive Angriffe (im idealisierten Random Oracle Modell) Bester bekannter Angriff: N faktorisieren P, Q ϕ(n) = (P 1)(Q 1) d = e 1 mod ϕ(n) Bester bekannter Faktorisierungsalgorithmus: Zahlkörpersieb Nach heutigem Stand 2048 als Bitlänge von N sicher Offene Forschungsfrage: N faktorisieren notwendig, um RSA(-OAEP) zu brechen? 11 / 20

Relevanz von RSA(-OAEP) Nachteil von RSA(-OAEP): rechenaufwändig Naiver Algorithmus für Exponentiation modulo l-bit-zahl benötigt Θ(l 3 ) Bitoperationen, schlecht parallelisierbar Es existieren (asymptotisch) bessere Algorithmen Aber: Für realistische l ist naiver Algorithmus am schnellsten Gründe, warum RSA(-OAEP) trotzdem benutzt wird: Einfach zu implementieren Einfache Arithmetik Ver- und Entschlüsselung sehr ähnlich Mit Optimierungen (e = 3 bei Verschlüsselung, CRS nutzen bei Entschlüsselung) teilweise konkurrenzfähig RSA als Trapdoor One-Way Permutation interessant 12 / 20

Überblick 1 Asymmetrische Verschlüsselung Erinnerung Sicheres RSA Andere Verfahren Demonstration Zusammenfassung 13 / 20

ElGamal (1985) Szenario: zyklische Gruppe G = g pk = (G, g, g x ), sk = (G, g, x) (mit x zufällig) Enc(pk, M) = (g y, g xy M) (mit y zufällig) Dec(sk, (Y, Z)) = Z/Y x (= (g xy M)/(g y ) x = M) Beobachtung: Verschlüsselung probabilistisch Aber: ElGamal wie RSA homomorph Enc(pk, M) Enc(pk, M ) = (g y, g xy M) (g y, g xy M ) = (g y+y, g x(y+y ) M M ) = Enc(pk, M M ) 14 / 20

Mehr über ElGamal ElGamal unter naheliegender Annahme semantisch sicher (allerdings nicht gegen aktive Angriffe) Nicht-homomorphe Varianten von ElGamal existieren Kandidaten für geeignete Gruppen G: (Echte) Untergruppen von Z P (mit P prim) Allgemeiner: Untergruppen von F q (mit q Primpotenz) Effizienter: (Untergruppen von) elliptischer Kurve E(F q ) Realistische Gruppengröße: G 2 2048 (für G Z P, F q) G 2 200 (für G E(F q )) 15 / 20

Überblick 1 Asymmetrische Verschlüsselung Erinnerung Sicheres RSA Andere Verfahren Demonstration Zusammenfassung 16 / 20

Demonstration Demonstration: Geschwindigkeitsvergleich RSA/elliptische Kurven 17 / 20

Überblick 1 Asymmetrische Verschlüsselung Erinnerung Sicheres RSA Andere Verfahren Demonstration Zusammenfassung 18 / 20

Zusammenfassung asymmetrische Verschlüsselung Public-Key-Verschlüsselung löst Schlüsselverteilungsproblem RSA wichtig, aber ohne Padding problematisch RSA-OAEP ElGamal in kleineren Gruppen möglich (Effizienz) Beide Verfahren (ungepadded) homomorph (Vorteil/Nachteil) 19 / 20

Aktuelle Forschung Mehr/andere Funktionalität, zum Beispiel: Identitätsbasierte Verschlüsselung (löst Zertifizierungsproblem) Vollhomomorphe Verschlüsselung (Berechnungen delegieren 1 ) Funktionale Verschlüsselung (viele sk f, Dec(sk f, C) = f (M)) Broadcast-Verschlüsselung (Beispielanwendung: Pay-TV) Andere Probleme, alternative mathematische Strukturen Public-Key-Verschlüsselung so sicher wie Faktorisierung Gitterbasierte Verschlüsselung 1 momentan noch um Größenordnungen zu ineffizient 20 / 20

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback