AverwendeEe,nRSA undDd,p,qRSA sowohl zum Verschlüsseln als auch zum Unterschreiben.
A:e,d,n B:e,n C:e,n
c=memodn
c Unterschreibe bittec
cdmodn
m
So wird dieses System unsicher,
selbst wennAalle gesendeten Nachrichten speichert.
Ein Angreifer, der eine verschlüsselte Nachrichtc=Dd,p,qRSA(m)kennt, geht dann wie folgt vor:
C wähltr∈Z∗n zufällig.
Bestimmtx :=c·re.
FragtAnach der Unterschrift zux. Dann kenntC:xd ≡Dd,p,qRSA(x) (modn).
C bestimmt:xd·r−1≡(c·re)d·r−1≡cd≡m (mod n).
Mit einem OAEP Verfahren (optimal asymmetric encription padding) können diese Angriffe verhindert werden.
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:3 Einfache Angriffe 2/19 Walter Unger 12.12.2015 15:32 WS2015/16 Z
Angriff drei gegen RSA
AverwendeEe,nRSA undDd,p,qRSA sowohl zum Verschlüsseln als auch zum Unterschreiben.
A:e,d,n B:e,n C:e,n
c=memodn
c Unterschreibe bittec
cdmodn
m
So wird dieses System unsicher,
selbst wennAalle gesendeten Nachrichten speichert.
Ein Angreifer, der eine verschlüsselte Nachrichtc=Dd,p,qRSA(m)kennt, geht dann wie folgt vor:
C wähltr∈Z∗n zufällig.
Bestimmtx :=c·re.
FragtAnach der Unterschrift zux. Dann kenntC:xd ≡Dd,p,qRSA(x) (modn).
C bestimmt:xd·r−1≡(c·re)d·r−1≡cd≡m (mod n).
Mit einem OAEP Verfahren (optimal asymmetric encription padding) können diese Angriffe verhindert werden.
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:3 Einfache Angriffe 3/19 Walter Unger 12.12.2015 15:32 WS2015/16 Z
Angriff drei gegen RSA
AverwendeEe,nRSA undDd,p,qRSA sowohl zum Verschlüsseln als auch zum Unterschreiben.
A:e,d,n B:e,n C:e,n
c=memodn
c Unterschreibe bittec
cdmodn
m
So wird dieses System unsicher,
selbst wennAalle gesendeten Nachrichten speichert.
Ein Angreifer, der eine verschlüsselte Nachrichtc=Dd,p,qRSA(m)kennt, geht dann wie folgt vor:
C wähltr∈Z∗n zufällig.
Bestimmtx :=c·re.
FragtAnach der Unterschrift zux. Dann kenntC:xd ≡Dd,p,qRSA(x) (modn).
C bestimmt:xd·r−1≡(c·re)d·r−1≡cd≡m (mod n).
Mit einem OAEP Verfahren (optimal asymmetric encription padding) können diese Angriffe verhindert werden.
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:3 Einfache Angriffe 4/19 Walter Unger 12.12.2015 15:32 WS2015/16 Z
Angriff drei gegen RSA
AverwendeEe,nRSA undDd,p,qRSA sowohl zum Verschlüsseln als auch zum Unterschreiben.
A:e,d,n B:e,n C:e,n
c=memodn
c Unterschreibe bittec
cdmodn
m
So wird dieses System unsicher,
selbst wennAalle gesendeten Nachrichten speichert.
Ein Angreifer, der eine verschlüsselte Nachrichtc=Dd,p,qRSA(m)kennt, geht dann wie folgt vor:
C wähltr∈Z∗n zufällig.
Bestimmtx :=c·re.
FragtAnach der Unterschrift zux. Dann kenntC:xd ≡Dd,p,qRSA(x) (modn).
C bestimmt:xd·r−1≡(c·re)d·r−1≡cd≡m (mod n).
Mit einem OAEP Verfahren (optimal asymmetric encription padding) können diese Angriffe verhindert werden.
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:3 Einfache Angriffe 5/19 Walter Unger 12.12.2015 15:32 WS2015/16 Z
Angriff drei gegen RSA
AverwendeEe,nRSA undDd,p,qRSA sowohl zum Verschlüsseln als auch zum Unterschreiben.
A:e,d,n B:e,n C:e,n
c=memodn
c Unterschreibe bittec
cdmodn
m
So wird dieses System unsicher,
selbst wennAalle gesendeten Nachrichten speichert.
Ein Angreifer, der eine verschlüsselte Nachrichtc=Dd,p,qRSA(m)kennt, geht dann wie folgt vor:
C wähltr∈Z∗n zufällig.
Bestimmtx :=c·re.
FragtAnach der Unterschrift zux. Dann kenntC:xd ≡Dd,p,qRSA(x) (modn).
C bestimmt:xd·r−1≡(c·re)d·r−1≡cd≡m (mod n).
Mit einem OAEP Verfahren (optimal asymmetric encription padding) können diese Angriffe verhindert werden.
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:3 Einfache Angriffe 6/19 Walter Unger 12.12.2015 15:32 WS2015/16 Z
Angriff drei gegen RSA
AverwendeEe,nRSA undDd,p,qRSA sowohl zum Verschlüsseln als auch zum Unterschreiben.
A:e,d,n B:e,n C:e,n
c=memodn
c Unterschreibe bittec
cdmodn
m
So wird dieses System unsicher,
selbst wennAalle gesendeten Nachrichten speichert.
Ein Angreifer, der eine verschlüsselte Nachrichtc=Dd,p,qRSA(m)kennt, geht dann wie folgt vor:
C wähltr∈Z∗n zufällig.
Bestimmtx :=c·re.
FragtAnach der Unterschrift zux. Dann kenntC:xd ≡Dd,p,qRSA(x) (modn).
C bestimmt:xd·r−1≡(c·re)d·r−1≡cd≡m (mod n).
Mit einem OAEP Verfahren (optimal asymmetric encription padding) können diese Angriffe verhindert werden.
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:3 Einfache Angriffe 7/19 Walter Unger 12.12.2015 15:32 WS2015/16 Z
Angriff drei gegen RSA
AverwendeEe,nRSA undDd,p,qRSA sowohl zum Verschlüsseln als auch zum Unterschreiben.
A:e,d,n B:e,n C:e,n
c=memodn
c Unterschreibe bittec
cdmodn
m
So wird dieses System unsicher,
selbst wennAalle gesendeten Nachrichten speichert.
Ein Angreifer, der eine verschlüsselte Nachrichtc=Dd,p,qRSA(m)kennt, geht dann wie folgt vor:
C wähltr∈Z∗n zufällig.
Bestimmtx :=c·re.
FragtAnach der Unterschrift zux. Dann kenntC:xd ≡Dd,p,qRSA(x) (modn).
C bestimmt:xd·r−1≡(c·re)d·r−1≡cd≡m (mod n).
Mit einem OAEP Verfahren (optimal asymmetric encription padding) können diese Angriffe verhindert werden.
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:3 Einfache Angriffe 8/19 Walter Unger 12.12.2015 15:32 WS2015/16 Z
Angriff drei gegen RSA
AverwendeEe,nRSA undDd,p,qRSA sowohl zum Verschlüsseln als auch zum Unterschreiben.
A:e,d,n B:e,n C:e,n
c=memodn
c Unterschreibe bittec
cdmodn
m
So wird dieses System unsicher,
selbst wennAalle gesendeten Nachrichten speichert.
Ein Angreifer, der eine verschlüsselte Nachrichtc=Dd,p,qRSA(m)kennt, geht dann wie folgt vor:
C wähltr∈Z∗n zufällig.
Bestimmtx :=c·re.
FragtAnach der Unterschrift zux. Dann kenntC:xd ≡Dd,p,qRSA(x) (modn).
C bestimmt:xd·r−1≡(c·re)d·r−1≡cd≡m (mod n).
Mit einem OAEP Verfahren (optimal asymmetric encription padding) können diese Angriffe verhindert werden.
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:3 Einfache Angriffe 9/19 Walter Unger 12.12.2015 15:32 WS2015/16 Z
Angriff drei gegen RSA
AverwendeEe,nRSA undDd,p,qRSA sowohl zum Verschlüsseln als auch zum Unterschreiben.
A:e,d,n B:e,n C:e,n
c=memodn
c Unterschreibe bittec
cdmodn
m
So wird dieses System unsicher,
selbst wennAalle gesendeten Nachrichten speichert.
Ein Angreifer, der eine verschlüsselte Nachrichtc=Dd,p,qRSA(m)kennt, geht dann wie folgt vor:
C wähltr∈Z∗n zufällig.
Bestimmtx :=c·re.
FragtAnach der Unterschrift zux. Dann kenntC:xd ≡Dd,p,qRSA(x) (modn).
C bestimmt:xd·r−1≡(c·re)d·r−1≡cd≡m (mod n).
Mit einem OAEP Verfahren (optimal asymmetric encription padding) können diese Angriffe verhindert werden.
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:3 Einfache Angriffe 10/19 Walter Unger 12.12.2015 15:32 WS2015/16 Z
Angriff drei gegen RSA
AverwendeEe,nRSA undDd,p,qRSA sowohl zum Verschlüsseln als auch zum Unterschreiben.
A:e,d,n B:e,n C:e,n
c=memodn
c Unterschreibe bittec
cdmodn
m
So wird dieses System unsicher,
selbst wennAalle gesendeten Nachrichten speichert.
Ein Angreifer, der eine verschlüsselte Nachrichtc=Dd,p,qRSA(m)kennt, geht dann wie folgt vor:
C wähltr∈Z∗n zufällig.
Bestimmtx :=c·re.
FragtAnach der Unterschrift zux. Dann kenntC:xd ≡Dd,p,qRSA(x) (modn).
C bestimmt:xd·r−1≡(c·re)d·r−1≡cd≡m (mod n).
Mit einem OAEP Verfahren (optimal asymmetric encription padding) können diese Angriffe verhindert werden.
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:3 Einfache Angriffe 11/19 Walter Unger 12.12.2015 15:32 WS2015/16 Z
Angriff drei gegen RSA
AverwendeEe,nRSA undDd,p,qRSA sowohl zum Verschlüsseln als auch zum Unterschreiben.
A:e,d,n B:e,n C:e,n
c=memodn
c Unterschreibe bittec
cdmodn
m
So wird dieses System unsicher,
selbst wennAalle gesendeten Nachrichten speichert.
Ein Angreifer, der eine verschlüsselte Nachrichtc=Dd,p,qRSA(m)kennt, geht dann wie folgt vor:
C wähltr∈Z∗n zufällig.
Bestimmtx :=c·re.
FragtAnach der Unterschrift zux. Dann kenntC:xd ≡Dd,p,qRSA(x) (modn).
C bestimmt:xd·r−1≡(c·re)d·r−1≡cd≡m (mod n).
Mit einem OAEP Verfahren (optimal asymmetric encription padding) können diese Angriffe verhindert werden.
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:3 Einfache Angriffe 12/19 Walter Unger 12.12.2015 15:32 WS2015/16 Z
Angriff drei gegen RSA
AverwendeEe,nRSA undDd,p,qRSA sowohl zum Verschlüsseln als auch zum Unterschreiben.
A:e,d,n B:e,n C:e,n
c=memodn
c Unterschreibe bittec
cdmodn
m
So wird dieses System unsicher,
selbst wennAalle gesendeten Nachrichten speichert.
Ein Angreifer, der eine verschlüsselte Nachrichtc=Dd,p,qRSA(m)kennt, geht dann wie folgt vor:
C wähltr∈Z∗n zufällig.
Bestimmtx :=c·re.
FragtAnach der Unterschrift zux. Dann kenntC:xd ≡Dd,p,qRSA(x) (modn).
C bestimmt:xd·r−1≡(c·re)d·r−1≡cd≡m (mod n).
Mit einem OAEP Verfahren (optimal asymmetric encription padding) können diese Angriffe verhindert werden.
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:3 Einfache Angriffe 13/19 Walter Unger 12.12.2015 15:32 WS2015/16 Z
Angriff drei gegen RSA
AverwendeEe,nRSA undDd,p,qRSA sowohl zum Verschlüsseln als auch zum Unterschreiben.
A:e,d,n B:e,n C:e,n
c=memodn
c Unterschreibe bittec
cdmodn
m
So wird dieses System unsicher,
selbst wennAalle gesendeten Nachrichten speichert.
Ein Angreifer, der eine verschlüsselte Nachrichtc=Dd,p,qRSA(m)kennt, geht dann wie folgt vor:
C wähltr∈Z∗n zufällig.
Bestimmtx :=c·re.
FragtAnach der Unterschrift zux. Dann kenntC:xd ≡Dd,p,qRSA(x) (modn).
C bestimmt:xd·r−1≡(c·re)d·r−1≡cd≡m (mod n).
Mit einem OAEP Verfahren (optimal asymmetric encription padding) können diese Angriffe verhindert werden.
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:3 Einfache Angriffe 14/19 Walter Unger 12.12.2015 15:32 WS2015/16 Z
Angriff drei gegen RSA
AverwendeEe,nRSA undDd,p,qRSA sowohl zum Verschlüsseln als auch zum Unterschreiben.
A:e,d,n B:e,n C:e,n
c=memodn
c Unterschreibe bittec
cdmodn
m
So wird dieses System unsicher,
selbst wennAalle gesendeten Nachrichten speichert.
Ein Angreifer, der eine verschlüsselte Nachrichtc=Dd,p,qRSA(m)kennt, geht dann wie folgt vor:
C wähltr∈Z∗n zufällig.
Bestimmtx :=c·re.
FragtAnach der Unterschrift zux. Dann kenntC:xd ≡Dd,p,qRSA(x) (modn).
C bestimmt:xd·r−1≡(c·re)d·r−1≡cd≡m (mod n).
Mit einem OAEP Verfahren (optimal asymmetric encription padding) können diese Angriffe verhindert werden.
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:3 Einfache Angriffe 15/19 Walter Unger 12.12.2015 15:32 WS2015/16 Z
Angriff drei gegen RSA
AverwendeEe,nRSA undDd,p,qRSA sowohl zum Verschlüsseln als auch zum Unterschreiben.
A:e,d,n B:e,n C:e,n
c=memodn
c Unterschreibe bittec
cdmodn
m
So wird dieses System unsicher,
selbst wennAalle gesendeten Nachrichten speichert.
Ein Angreifer, der eine verschlüsselte Nachrichtc=Dd,p,qRSA(m)kennt, geht dann wie folgt vor:
C wähltr∈Z∗n zufällig.
Bestimmtx :=c·re.
FragtAnach der Unterschrift zux. Dann kenntC:xd ≡Dd,p,qRSA(x) (modn).
C bestimmt:xd·r−1≡(c·re)d·r−1≡cd≡m (mod n).
Mit einem OAEP Verfahren (optimal asymmetric encription padding) können diese Angriffe verhindert werden.
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:3 Einfache Angriffe 16/19 Walter Unger 12.12.2015 15:32 WS2015/16 Z
Angriff drei gegen RSA
AverwendeEe,nRSA undDd,p,qRSA sowohl zum Verschlüsseln als auch zum Unterschreiben.
A:e,d,n B:e,n C:e,n
c=memodn
c Unterschreibe bittec
cdmodn
m
So wird dieses System unsicher,
selbst wennAalle gesendeten Nachrichten speichert.
Ein Angreifer, der eine verschlüsselte Nachrichtc=Dd,p,qRSA(m)kennt, geht dann wie folgt vor:
C wähltr∈Z∗n zufällig.
Bestimmtx :=c·re.
FragtAnach der Unterschrift zux. Dann kenntC:xd ≡Dd,p,qRSA(x) (modn).
C bestimmt:xd·r−1≡(c·re)d·r−1≡cd≡m (mod n).
Mit einem OAEP Verfahren (optimal asymmetric encription padding) können diese Angriffe verhindert werden.
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:3 Einfache Angriffe 17/19 Walter Unger 12.12.2015 15:32 WS2015/16 Z
Angriff drei gegen RSA
AverwendeEe,nRSA undDd,p,qRSA sowohl zum Verschlüsseln als auch zum Unterschreiben.
A:e,d,n B:e,n C:e,n
c=memodn
c Unterschreibe bittec
cdmodn
m
So wird dieses System unsicher,
selbst wennAalle gesendeten Nachrichten speichert.
Ein Angreifer, der eine verschlüsselte Nachrichtc=Dd,p,qRSA(m)kennt, geht dann wie folgt vor:
C wähltr∈Z∗n zufällig.
Bestimmtx :=c·re.
FragtAnach der Unterschrift zux. Dann kenntC:xd ≡Dd,p,qRSA(x) (modn).
C bestimmt:xd·r−1≡(c·re)d·r−1≡cd≡m (mod n).
Mit einem OAEP Verfahren (optimal asymmetric encription padding) können diese Angriffe verhindert werden.
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:3 Einfache Angriffe 18/19 Walter Unger 12.12.2015 15:32 WS2015/16 Z
Angriff drei gegen RSA
AverwendeEe,nRSA undDd,p,qRSA sowohl zum Verschlüsseln als auch zum Unterschreiben.
A:e,d,n B:e,n C:e,n
c=memodn
c Unterschreibe bittec
cdmodn
m
So wird dieses System unsicher,
selbst wennAalle gesendeten Nachrichten speichert.
Ein Angreifer, der eine verschlüsselte Nachrichtc=Dd,p,qRSA(m)kennt, geht dann wie folgt vor:
C wähltr∈Z∗n zufällig.
Bestimmtx :=c·re.
FragtAnach der Unterschrift zux. Dann kenntC:xd ≡Dd,p,qRSA(x) (modn).
C bestimmt:xd·r−1≡(c·re)d·r−1≡cd≡m (mod n).
Mit einem OAEP Verfahren (optimal asymmetric encription padding) können diese Angriffe verhindert werden.
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:3 Einfache Angriffe 19/19 Walter Unger 12.12.2015 15:32 WS2015/16 Z
Angriff drei gegen RSA
AverwendeEe,nRSA undDd,p,qRSA sowohl zum Verschlüsseln als auch zum Unterschreiben.
A:e,d,n B:e,n C:e,n
c=memodn
c Unterschreibe bittec
cdmodn
m
So wird dieses System unsicher,
selbst wennAalle gesendeten Nachrichten speichert.
Ein Angreifer, der eine verschlüsselte Nachrichtc=Dd,p,qRSA(m)kennt, geht dann wie folgt vor:
C wähltr∈Z∗n zufällig.
Bestimmtx :=c·re.
FragtAnach der Unterschrift zux. Dann kenntC:xd ≡Dd,p,qRSA(x) (modn).
C bestimmt:xd·r−1≡(c·re)d·r−1≡cd≡m (mod n).
Mit einem OAEP Verfahren (optimal asymmetric encription padding) können diese Angriffe verhindert werden.
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:4 OAEP-Verfahren 1/14 Walter Unger 12.12.2015 15:32 WS2015/16 Z
OAEP (optimal asymmetric encryption padding)
Ziel: verhindere Angriffe, die die Gruppenstruktur eines Verschlüsselungsverfahren nutzen.
Dieses Verfahren ist schnell, beinhaltet einen Zufallsanteil und es muss nicht viel zusätzliche Information übertragen werden.
Dazu werden die folgenden Funktionen mitn=k+l benutzt:
Verschlüsselungsfunktion f :D→DmitD⊂ {0,1}n Pseudo-Zufallsgenerator G:{0,1}k→ {0,1}l Hashfunktion h:{0,1}l → {0,1}k Seimdie zu verschlüsselnde Nachricht.
1 Wähle Zufallszahlr∈ {0,1}k.
2 Setze nunx=
(m⊕G(r))◦(r⊕h(m⊕G(r))).
3 Fallsx6∈D wiederhole.
4 Verschlüssele mitc :=f(x).
Seic die zu entschlüsselnde Nachricht.
1 Setzex0:=f−1(c).
2 Bestimmea,bmitx0=a◦bund
|a|=l sowie|b|=k.
3 Bestimmer=h(a)⊕b.
4 Bestimmem=a⊕G(r).
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:4 OAEP-Verfahren 2/14 Walter Unger 12.12.2015 15:32 WS2015/16 Z
OAEP (optimal asymmetric encryption padding)
Ziel: verhindere Angriffe, die die Gruppenstruktur eines Verschlüsselungsverfahren nutzen.
Dieses Verfahren ist schnell, beinhaltet einen Zufallsanteil und es muss nicht viel zusätzliche Information übertragen werden.
Dazu werden die folgenden Funktionen mitn=k+l benutzt:
Verschlüsselungsfunktion f :D→DmitD⊂ {0,1}n Pseudo-Zufallsgenerator G:{0,1}k→ {0,1}l Hashfunktion h:{0,1}l → {0,1}k Seimdie zu verschlüsselnde Nachricht.
1 Wähle Zufallszahlr∈ {0,1}k.
2 Setze nunx=
(m⊕G(r))◦(r⊕h(m⊕G(r))).
3 Fallsx6∈D wiederhole.
4 Verschlüssele mitc :=f(x).
Seic die zu entschlüsselnde Nachricht.
1 Setzex0:=f−1(c).
2 Bestimmea,bmitx0=a◦bund
|a|=l sowie|b|=k.
3 Bestimmer=h(a)⊕b.
4 Bestimmem=a⊕G(r).
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:4 OAEP-Verfahren 3/14 Walter Unger 12.12.2015 15:32 WS2015/16 Z
OAEP (optimal asymmetric encryption padding)
Ziel: verhindere Angriffe, die die Gruppenstruktur eines Verschlüsselungsverfahren nutzen.
Dieses Verfahren ist schnell, beinhaltet einen Zufallsanteil und es muss nicht viel zusätzliche Information übertragen werden.
Dazu werden die folgenden Funktionen mitn=k+l benutzt:
Verschlüsselungsfunktion f :D→DmitD⊂ {0,1}n Pseudo-Zufallsgenerator G:{0,1}k→ {0,1}l Hashfunktion h:{0,1}l → {0,1}k Seimdie zu verschlüsselnde Nachricht.
1 Wähle Zufallszahlr∈ {0,1}k.
2 Setze nunx=
(m⊕G(r))◦(r⊕h(m⊕G(r))).
3 Fallsx6∈D wiederhole.
4 Verschlüssele mitc :=f(x).
Seic die zu entschlüsselnde Nachricht.
1 Setzex0:=f−1(c).
2 Bestimmea,bmitx0=a◦bund
|a|=l sowie|b|=k.
3 Bestimmer=h(a)⊕b.
4 Bestimmem=a⊕G(r).
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:4 OAEP-Verfahren 4/14 Walter Unger 12.12.2015 15:32 WS2015/16 Z
OAEP (optimal asymmetric encryption padding)
Ziel: verhindere Angriffe, die die Gruppenstruktur eines Verschlüsselungsverfahren nutzen.
Dieses Verfahren ist schnell, beinhaltet einen Zufallsanteil und es muss nicht viel zusätzliche Information übertragen werden.
Dazu werden die folgenden Funktionen mitn=k+l benutzt:
Verschlüsselungsfunktion f :D→DmitD⊂ {0,1}n Pseudo-Zufallsgenerator G:{0,1}k→ {0,1}l Hashfunktion h:{0,1}l → {0,1}k Seimdie zu verschlüsselnde Nachricht.
1 Wähle Zufallszahlr∈ {0,1}k.
2 Setze nunx=
(m⊕G(r))◦(r⊕h(m⊕G(r))).
3 Fallsx6∈D wiederhole.
4 Verschlüssele mitc :=f(x).
Seic die zu entschlüsselnde Nachricht.
1 Setzex0:=f−1(c).
2 Bestimmea,bmitx0=a◦bund
|a|=l sowie|b|=k.
3 Bestimmer=h(a)⊕b.
4 Bestimmem=a⊕G(r).
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:4 OAEP-Verfahren 5/14 Walter Unger 12.12.2015 15:32 WS2015/16 Z
OAEP (optimal asymmetric encryption padding)
Ziel: verhindere Angriffe, die die Gruppenstruktur eines Verschlüsselungsverfahren nutzen.
Dieses Verfahren ist schnell, beinhaltet einen Zufallsanteil und es muss nicht viel zusätzliche Information übertragen werden.
Dazu werden die folgenden Funktionen mitn=k+l benutzt:
Verschlüsselungsfunktion f :D→DmitD⊂ {0,1}n Pseudo-Zufallsgenerator G:{0,1}k→ {0,1}l Hashfunktion h:{0,1}l → {0,1}k Seimdie zu verschlüsselnde Nachricht.
1 Wähle Zufallszahlr∈ {0,1}k.
2 Setze nunx=
(m⊕G(r))◦(r⊕h(m⊕G(r))).
3 Fallsx6∈D wiederhole.
4 Verschlüssele mitc :=f(x).
Seic die zu entschlüsselnde Nachricht.
1 Setzex0:=f−1(c).
2 Bestimmea,bmitx0=a◦bund
|a|=l sowie|b|=k.
3 Bestimmer=h(a)⊕b.
4 Bestimmem=a⊕G(r).
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:4 OAEP-Verfahren 6/14 Walter Unger 12.12.2015 15:32 WS2015/16 Z
OAEP (optimal asymmetric encryption padding)
Ziel: verhindere Angriffe, die die Gruppenstruktur eines Verschlüsselungsverfahren nutzen.
Dieses Verfahren ist schnell, beinhaltet einen Zufallsanteil und es muss nicht viel zusätzliche Information übertragen werden.
Dazu werden die folgenden Funktionen mitn=k+l benutzt:
Verschlüsselungsfunktion f :D→DmitD⊂ {0,1}n Pseudo-Zufallsgenerator G:{0,1}k→ {0,1}l Hashfunktion h:{0,1}l → {0,1}k Seimdie zu verschlüsselnde Nachricht.
1 Wähle Zufallszahlr∈ {0,1}k.
2 Setze nunx=
(m⊕G(r))◦(r⊕h(m⊕G(r))).
3 Fallsx6∈D wiederhole.
4 Verschlüssele mitc :=f(x).
Seic die zu entschlüsselnde Nachricht.
1 Setzex0:=f−1(c).
2 Bestimmea,bmitx0=a◦bund
|a|=l sowie|b|=k.
3 Bestimmer=h(a)⊕b.
4 Bestimmem=a⊕G(r).
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:4 OAEP-Verfahren 7/14 Walter Unger 12.12.2015 15:32 WS2015/16 Z
OAEP (optimal asymmetric encryption padding)
Ziel: verhindere Angriffe, die die Gruppenstruktur eines Verschlüsselungsverfahren nutzen.
Dieses Verfahren ist schnell, beinhaltet einen Zufallsanteil und es muss nicht viel zusätzliche Information übertragen werden.
Dazu werden die folgenden Funktionen mitn=k+l benutzt:
Verschlüsselungsfunktion f :D→DmitD⊂ {0,1}n Pseudo-Zufallsgenerator G:{0,1}k→ {0,1}l Hashfunktion h:{0,1}l → {0,1}k Seimdie zu verschlüsselnde Nachricht.
1 Wähle Zufallszahlr∈ {0,1}k.
2 Setze nunx=
(m⊕G(r))◦(r⊕h(m⊕G(r))).
3 Fallsx6∈D wiederhole.
4 Verschlüssele mitc :=f(x).
Seic die zu entschlüsselnde Nachricht.
1 Setzex0:=f−1(c).
2 Bestimmea,bmitx0=a◦bund
|a|=l sowie|b|=k.
3 Bestimmer=h(a)⊕b.
4 Bestimmem=a⊕G(r).
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:4 OAEP-Verfahren 8/14 Walter Unger 12.12.2015 15:32 WS2015/16 Z
OAEP (optimal asymmetric encryption padding)
Ziel: verhindere Angriffe, die die Gruppenstruktur eines Verschlüsselungsverfahren nutzen.
Dieses Verfahren ist schnell, beinhaltet einen Zufallsanteil und es muss nicht viel zusätzliche Information übertragen werden.
Dazu werden die folgenden Funktionen mitn=k+l benutzt:
Verschlüsselungsfunktion f :D→DmitD⊂ {0,1}n Pseudo-Zufallsgenerator G:{0,1}k→ {0,1}l Hashfunktion h:{0,1}l → {0,1}k Seimdie zu verschlüsselnde Nachricht.
1 Wähle Zufallszahlr∈ {0,1}k.
2 Setze nunx=
(m⊕G(r))◦(r⊕h(m⊕G(r))).
3 Fallsx6∈D wiederhole.
4 Verschlüssele mitc :=f(x).
Seic die zu entschlüsselnde Nachricht.
1 Setzex0:=f−1(c).
2 Bestimmea,bmitx0=a◦bund
|a|=l sowie|b|=k.
3 Bestimmer=h(a)⊕b.
4 Bestimmem=a⊕G(r).
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:4 OAEP-Verfahren 9/14 Walter Unger 12.12.2015 15:32 WS2015/16 Z
OAEP (optimal asymmetric encryption padding)
Ziel: verhindere Angriffe, die die Gruppenstruktur eines Verschlüsselungsverfahren nutzen.
Dieses Verfahren ist schnell, beinhaltet einen Zufallsanteil und es muss nicht viel zusätzliche Information übertragen werden.
Dazu werden die folgenden Funktionen mitn=k+l benutzt:
Verschlüsselungsfunktion f :D→DmitD⊂ {0,1}n Pseudo-Zufallsgenerator G:{0,1}k→ {0,1}l Hashfunktion h:{0,1}l → {0,1}k Seimdie zu verschlüsselnde Nachricht.
1 Wähle Zufallszahlr∈ {0,1}k.
2 Setze nunx=
(m⊕G(r))◦(r⊕h(m⊕G(r))).
3 Fallsx6∈D wiederhole.
4 Verschlüssele mitc :=f(x).
Seic die zu entschlüsselnde Nachricht.
1 Setzex0:=f−1(c).
2 Bestimmea,bmitx0=a◦bund
|a|=l sowie|b|=k.
3 Bestimmer=h(a)⊕b.
4 Bestimmem=a⊕G(r).
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:4 OAEP-Verfahren 10/14 Walter Unger 12.12.2015 15:32 WS2015/16 Z
OAEP (optimal asymmetric encryption padding)
Ziel: verhindere Angriffe, die die Gruppenstruktur eines Verschlüsselungsverfahren nutzen.
Dieses Verfahren ist schnell, beinhaltet einen Zufallsanteil und es muss nicht viel zusätzliche Information übertragen werden.
Dazu werden die folgenden Funktionen mitn=k+l benutzt:
Verschlüsselungsfunktion f :D→DmitD⊂ {0,1}n Pseudo-Zufallsgenerator G:{0,1}k→ {0,1}l Hashfunktion h:{0,1}l → {0,1}k Seimdie zu verschlüsselnde Nachricht.
1 Wähle Zufallszahlr∈ {0,1}k.
2 Setze nunx=
(m⊕G(r))◦(r⊕h(m⊕G(r))).
3 Fallsx6∈D wiederhole.
4 Verschlüssele mitc :=f(x).
Seic die zu entschlüsselnde Nachricht.
1 Setzex0:=f−1(c).
2 Bestimmea,bmitx0=a◦bund
|a|=l sowie|b|=k.
3 Bestimmer=h(a)⊕b.
4 Bestimmem=a⊕G(r).
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:4 OAEP-Verfahren 11/14 Walter Unger 12.12.2015 15:32 WS2015/16 Z
OAEP (optimal asymmetric encryption padding)
Ziel: verhindere Angriffe, die die Gruppenstruktur eines Verschlüsselungsverfahren nutzen.
Dieses Verfahren ist schnell, beinhaltet einen Zufallsanteil und es muss nicht viel zusätzliche Information übertragen werden.
Dazu werden die folgenden Funktionen mitn=k+l benutzt:
Verschlüsselungsfunktion f :D→DmitD⊂ {0,1}n Pseudo-Zufallsgenerator G:{0,1}k→ {0,1}l Hashfunktion h:{0,1}l → {0,1}k Seimdie zu verschlüsselnde Nachricht.
1 Wähle Zufallszahlr∈ {0,1}k.
2 Setze nunx=
(m⊕G(r))◦(r⊕h(m⊕G(r))).
3 Fallsx6∈D wiederhole.
4 Verschlüssele mitc :=f(x).
Seic die zu entschlüsselnde Nachricht.
1 Setzex0:=f−1(c).
2 Bestimmea,bmitx0=a◦bund
|a|=l sowie|b|=k.
3 Bestimmer=h(a)⊕b.
4 Bestimmem=a⊕G(r).
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:4 OAEP-Verfahren 12/14 Walter Unger 12.12.2015 15:32 WS2015/16 Z
OAEP (optimal asymmetric encryption padding)
Ziel: verhindere Angriffe, die die Gruppenstruktur eines Verschlüsselungsverfahren nutzen.
Dieses Verfahren ist schnell, beinhaltet einen Zufallsanteil und es muss nicht viel zusätzliche Information übertragen werden.
Dazu werden die folgenden Funktionen mitn=k+l benutzt:
Verschlüsselungsfunktion f :D→DmitD⊂ {0,1}n Pseudo-Zufallsgenerator G:{0,1}k→ {0,1}l Hashfunktion h:{0,1}l → {0,1}k Seimdie zu verschlüsselnde Nachricht.
1 Wähle Zufallszahlr∈ {0,1}k.
2 Setze nunx=
(m⊕G(r))◦(r⊕h(m⊕G(r))).
3 Fallsx6∈D wiederhole.
4 Verschlüssele mitc :=f(x).
Seic die zu entschlüsselnde Nachricht.
1 Setzex0:=f−1(c).
2 Bestimmea,bmitx0=a◦bund
|a|=l sowie|b|=k.
3 Bestimmer=h(a)⊕b.
4 Bestimmem=a⊕G(r).
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:4 OAEP-Verfahren 13/14 Walter Unger 12.12.2015 15:32 WS2015/16 Z
OAEP (optimal asymmetric encryption padding)
Ziel: verhindere Angriffe, die die Gruppenstruktur eines Verschlüsselungsverfahren nutzen.
Dieses Verfahren ist schnell, beinhaltet einen Zufallsanteil und es muss nicht viel zusätzliche Information übertragen werden.
Dazu werden die folgenden Funktionen mitn=k+l benutzt:
Verschlüsselungsfunktion f :D→DmitD⊂ {0,1}n Pseudo-Zufallsgenerator G:{0,1}k→ {0,1}l Hashfunktion h:{0,1}l → {0,1}k Seimdie zu verschlüsselnde Nachricht.
1 Wähle Zufallszahlr∈ {0,1}k.
2 Setze nunx=
(m⊕G(r))◦(r⊕h(m⊕G(r))).
3 Fallsx6∈D wiederhole.
4 Verschlüssele mitc :=f(x).
Seic die zu entschlüsselnde Nachricht.
1 Setzex0:=f−1(c).
2 Bestimmea,bmitx0=a◦bund
|a|=l sowie|b|=k.
3 Bestimmer=h(a)⊕b.
4 Bestimmem=a⊕G(r).
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:4 OAEP-Verfahren 14/14 Walter Unger 12.12.2015 15:32 WS2015/16 Z
OAEP (optimal asymmetric encryption padding)
Ziel: verhindere Angriffe, die die Gruppenstruktur eines Verschlüsselungsverfahren nutzen.
Dieses Verfahren ist schnell, beinhaltet einen Zufallsanteil und es muss nicht viel zusätzliche Information übertragen werden.
Dazu werden die folgenden Funktionen mitn=k+l benutzt:
Verschlüsselungsfunktion f :D→DmitD⊂ {0,1}n Pseudo-Zufallsgenerator G:{0,1}k→ {0,1}l Hashfunktion h:{0,1}l → {0,1}k Seimdie zu verschlüsselnde Nachricht.
1 Wähle Zufallszahlr∈ {0,1}k.
2 Setze nunx=
(m⊕G(r))◦(r⊕h(m⊕G(r))).
3 Fallsx6∈D wiederhole.
4 Verschlüssele mitc :=f(x).
Seic die zu entschlüsselnde Nachricht.
1 Setzex0:=f−1(c).
2 Bestimmea,bmitx0=a◦bund
|a|=l sowie|b|=k.
3 Bestimmer=h(a)⊕b.
4 Bestimmem=a⊕G(r).
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:5 Hashfunktionen 1/7 Walter Unger 12.12.2015 15:32 WS2015/16 Z
Hashfunktionen
Eine Hashfunktion ist eine Funktionh:{0,1}∗→ {0,1}k mit:m7→h(m).
Diese Funktionen werden z.B. beim Unterschreiben von Texten, zur Fehlererkennung oder Datenverwaltung verwendet.
Bei den Unterschriften wird statt einer Nachrichtmdessen Hashwert h(m)unterschrieben.
Eine Kollision bei einer Hashfunktionhtritt auf bei einem Paar(m,m0) fallsh(m) =h(m0).
Daher sollten Angreifer nicht in der Lage sein:
1 Zu einer Nachrichtmeine zweite Nachrichtm0effizient erzeugen zu können, mith(m) =h(m0).
2 Zwei Nachrichtenmundm0 effizient erzeugen zu können, mit h(m) =h(m0).
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:5 Hashfunktionen 2/7 Walter Unger 12.12.2015 15:32 WS2015/16 Z
Hashfunktionen
Eine Hashfunktion ist eine Funktionh:{0,1}∗→ {0,1}k mit:m7→h(m).
Diese Funktionen werden z.B. beim Unterschreiben von Texten, zur Fehlererkennung oder Datenverwaltung verwendet.
Bei den Unterschriften wird statt einer Nachrichtmdessen Hashwert h(m)unterschrieben.
Eine Kollision bei einer Hashfunktionhtritt auf bei einem Paar(m,m0) fallsh(m) =h(m0).
Daher sollten Angreifer nicht in der Lage sein:
1 Zu einer Nachrichtmeine zweite Nachrichtm0effizient erzeugen zu können, mith(m) =h(m0).
2 Zwei Nachrichtenmundm0 effizient erzeugen zu können, mit h(m) =h(m0).
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:5 Hashfunktionen 3/7 Walter Unger 12.12.2015 15:32 WS2015/16 Z
Hashfunktionen
Eine Hashfunktion ist eine Funktionh:{0,1}∗→ {0,1}k mit:m7→h(m).
Diese Funktionen werden z.B. beim Unterschreiben von Texten, zur Fehlererkennung oder Datenverwaltung verwendet.
Bei den Unterschriften wird statt einer Nachrichtmdessen Hashwert h(m)unterschrieben.
Eine Kollision bei einer Hashfunktionhtritt auf bei einem Paar(m,m0) fallsh(m) =h(m0).
Daher sollten Angreifer nicht in der Lage sein:
1 Zu einer Nachrichtmeine zweite Nachrichtm0effizient erzeugen zu können, mith(m) =h(m0).
2 Zwei Nachrichtenmundm0 effizient erzeugen zu können, mit h(m) =h(m0).
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:5 Hashfunktionen 4/7 Walter Unger 12.12.2015 15:32 WS2015/16 Z
Hashfunktionen
Eine Hashfunktion ist eine Funktionh:{0,1}∗→ {0,1}k mit:m7→h(m).
Diese Funktionen werden z.B. beim Unterschreiben von Texten, zur Fehlererkennung oder Datenverwaltung verwendet.
Bei den Unterschriften wird statt einer Nachrichtmdessen Hashwert h(m)unterschrieben.
Eine Kollision bei einer Hashfunktionhtritt auf bei einem Paar(m,m0) fallsh(m) =h(m0).
Daher sollten Angreifer nicht in der Lage sein:
1 Zu einer Nachrichtmeine zweite Nachrichtm0effizient erzeugen zu können, mith(m) =h(m0).
2 Zwei Nachrichtenmundm0 effizient erzeugen zu können, mit h(m) =h(m0).
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:5 Hashfunktionen 5/7 Walter Unger 12.12.2015 15:32 WS2015/16 Z
Hashfunktionen
Eine Hashfunktion ist eine Funktionh:{0,1}∗→ {0,1}k mit:m7→h(m).
Diese Funktionen werden z.B. beim Unterschreiben von Texten, zur Fehlererkennung oder Datenverwaltung verwendet.
Bei den Unterschriften wird statt einer Nachrichtmdessen Hashwert h(m)unterschrieben.
Eine Kollision bei einer Hashfunktionhtritt auf bei einem Paar(m,m0) fallsh(m) =h(m0).
Daher sollten Angreifer nicht in der Lage sein:
1 Zu einer Nachrichtmeine zweite Nachrichtm0effizient erzeugen zu können, mith(m) =h(m0).
2 Zwei Nachrichtenmundm0 effizient erzeugen zu können, mit h(m) =h(m0).
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:5 Hashfunktionen 6/7 Walter Unger 12.12.2015 15:32 WS2015/16 Z
Hashfunktionen
Eine Hashfunktion ist eine Funktionh:{0,1}∗→ {0,1}k mit:m7→h(m).
Diese Funktionen werden z.B. beim Unterschreiben von Texten, zur
Diese Funktionen werden z.B. beim Unterschreiben von Texten, zur