Öffentlich bekannt sind große Primzahlp und Generatorg inZ∗p.
Damit könnenAundB einen gemeinsamen Schlüssel bestimmen.
A:p,g B:p,g Wählta(06a6p−2)
c:=gamodp c Wähltb(06b6p−2) d:=gbmodp k:=cb= (ga)b k:=da= (gb)a d
Einl. Schl.aust. Gem. Inf. Zufallszahlen Verg. Übertr. Ident. Unterschriften Broadcasting IBE
Diffie-Hellman (6:6.2) <> Walter Unger 12.12.2012 17:54 WS2012/13 Z
Diffie-Hellman Schlüsselaustausch
Öffentlich bekannt sind große Primzahlp und Generatorg inZ∗p.
Damit könnenAundB einen gemeinsamen Schlüssel bestimmen.
A:p,g B:p,g Wählta(06a6p−2)
c:=gamodp c Wähltb(06b6p−2) d:=gbmodp k:=cb= (ga)b k:=da= (gb)a d
Einl. Schl.aust. Gem. Inf. Zufallszahlen Verg. Übertr. Ident. Unterschriften Broadcasting IBE
Diffie-Hellman (6:6.3) <> Walter Unger 12.12.2012 17:54 WS2012/13 Z
Diffie-Hellman Schlüsselaustausch
Öffentlich bekannt sind große Primzahlp und Generatorg inZ∗p.
Damit könnenAundB einen gemeinsamen Schlüssel bestimmen.
A:p,g B:p,g Wählta(06a6p−2)
c:=gamodp c Wähltb(06b6p−2) d:=gbmodp k:=cb= (ga)b k:=da= (gb)a d
Einl. Schl.aust. Gem. Inf. Zufallszahlen Verg. Übertr. Ident. Unterschriften Broadcasting IBE
Diffie-Hellman (6:6.4) <> Walter Unger 12.12.2012 17:54 WS2012/13 Z
Diffie-Hellman Schlüsselaustausch
Öffentlich bekannt sind große Primzahlp und Generatorg inZ∗p.
Damit könnenAundB einen gemeinsamen Schlüssel bestimmen.
A:p,g B:p,g
Wählta(06a6p−2)
c:=gamodp c Wähltb(06b6p−2) d:=gbmodp k:=cb= (ga)b k:=da= (gb)a d
Einl. Schl.aust. Gem. Inf. Zufallszahlen Verg. Übertr. Ident. Unterschriften Broadcasting IBE
Diffie-Hellman (6:6.5) <> Walter Unger 12.12.2012 17:54 WS2012/13 Z
Diffie-Hellman Schlüsselaustausch
Öffentlich bekannt sind große Primzahlp und Generatorg inZ∗p.
Damit könnenAundB einen gemeinsamen Schlüssel bestimmen.
A:p,g B:p,g Wählta(06a6p−2)
c:=gamodp c Wähltb(06b6p−2) d:=gbmodp k:=cb= (ga)b k:=da= (gb)a d
Einl. Schl.aust. Gem. Inf. Zufallszahlen Verg. Übertr. Ident. Unterschriften Broadcasting IBE
Diffie-Hellman (6:6.6) <> Walter Unger 12.12.2012 17:54 WS2012/13 Z
Diffie-Hellman Schlüsselaustausch
Öffentlich bekannt sind große Primzahlp und Generatorg inZ∗p.
Damit könnenAundB einen gemeinsamen Schlüssel bestimmen.
A:p,g B:p,g Wählta(06a6p−2)
c:=gamodp c Wähltb(06b6p−2) d:=gbmodp k:=cb= (ga)b k:=da= (gb)a d
Einl. Schl.aust. Gem. Inf. Zufallszahlen Verg. Übertr. Ident. Unterschriften Broadcasting IBE
Diffie-Hellman (6:6.7) <> Walter Unger 12.12.2012 17:54 WS2012/13 Z
Diffie-Hellman Schlüsselaustausch
Öffentlich bekannt sind große Primzahlp und Generatorg inZ∗p.
Damit könnenAundB einen gemeinsamen Schlüssel bestimmen.
A:p,g B:p,g Wählta(06a6p−2)
c:=gamodp c Wähltb(06b6p−2) d:=gbmodp k:=cb= (ga)b k:=da= (gb)a d
Einl. Schl.aust. Gem. Inf. Zufallszahlen Verg. Übertr. Ident. Unterschriften Broadcasting IBE
Diffie-Hellman (6:6.8) <> Walter Unger 12.12.2012 17:54 WS2012/13 Z
Diffie-Hellman Schlüsselaustausch
Öffentlich bekannt sind große Primzahlp und Generatorg inZ∗p.
Damit könnenAundB einen gemeinsamen Schlüssel bestimmen.
A:p,g B:p,g Wählta(06a6p−2)
c:=gamodp c Wähltb(06b6p−2) d:=gbmodp k:=cb= (ga)b k:=da= (gb)a d
Einl. Schl.aust. Gem. Inf. Zufallszahlen Verg. Übertr. Ident. Unterschriften Broadcasting IBE
Diffie-Hellman (6:6.9) <> Walter Unger 12.12.2012 17:54 WS2012/13 Z
Diffie-Hellman Schlüsselaustausch
Öffentlich bekannt sind große Primzahlp und Generatorg inZ∗p.
Damit könnenAundB einen gemeinsamen Schlüssel bestimmen.
A:p,g B:p,g Wählta(06a6p−2)
c:=gamodp c Wähltb(06b6p−2) d:=gbmodp k:=cb= (ga)b k:=da= (gb)a d
Einl. Schl.aust. Gem. Inf. Zufallszahlen Verg. Übertr. Ident. Unterschriften Broadcasting IBE
Diffie-Hellman (6:6.10) <> Walter Unger 12.12.2012 17:54 WS2012/13 Z
Diffie-Hellman Schlüsselaustausch
Öffentlich bekannt sind große Primzahlp und Generatorg inZ∗p.
Damit könnenAundB einen gemeinsamen Schlüssel bestimmen.
A:p,g B:p,g Wählta(06a6p−2)
c:=gamodp c Wähltb(06b6p−2) d:=gbmodp k:=cb= (ga)b k:=da= (gb)a d
Einl. Schl.aust. Gem. Inf. Zufallszahlen Verg. Übertr. Ident. Unterschriften Broadcasting IBE
Diffie-Hellman (6:6.11) <> Walter Unger 12.12.2012 17:54 WS2012/13 Z
Diffie-Hellman Schlüsselaustausch
Öffentlich bekannt sind große Primzahlp und Generatorg inZ∗p.
Damit könnenAundB einen gemeinsamen Schlüssel bestimmen.
A:p,g B:p,g Wählta(06a6p−2)
c:=gamodp c Wähltb(06b6p−2) d:=gbmodp k:=cb= (ga)b k:=da= (gb)a d
Einl. Schl.aust. Gem. Inf. Zufallszahlen Verg. Übertr. Ident. Unterschriften Broadcasting IBE
Diffie-Hellman (6:6.12) <> Walter Unger 12.12.2012 17:54 WS2012/13 Z
Diffie-Hellman Schlüsselaustausch
Öffentlich bekannt sind große Primzahlp und Generatorg inZ∗p.
Damit könnenAundB einen gemeinsamen Schlüssel bestimmen.
A:p,g B:p,g Wählta(06a6p−2)
c:=gamodp c Wähltb(06b6p−2) d:=gbmodp k:=cb= (ga)b k:=da= (gb)a d
Einl. Schl.aust. Gem. Inf. Zufallszahlen Verg. Übertr. Ident. Unterschriften Broadcasting IBE
Diffie-Hellman (6:6.13) <> Walter Unger 12.12.2012 17:54 WS2012/13 Z
Diffie-Hellman Schlüsselaustausch
Öffentlich bekannt sind große Primzahlp und Generatorg inZ∗p.
Damit könnenAundB einen gemeinsamen Schlüssel bestimmen.
A:p,g B:p,g Wählta(06a6p−2)
c:=gamodp c Wähltb(06b6p−2) d:=gbmodp k:=cb= (ga)b k:=da= (gb)a d
Einl. Schl.aust. Gem. Inf. Zufallszahlen Verg. Übertr. Ident. Unterschriften Broadcasting IBE
Diffie-Hellman (6:7.1) <> Walter Unger 12.12.2012 17:54 WS2012/13 Z
Bemerkungen
ga,gb,gab
A:p,g B:p,g
Wählta(06a6p−2) c:=gamodp c
Wähltb(06b6p−2) d:=gbmodp k:=cb= (ga)b k:=da= (gb)a d
1 Falls jemand den diskreten Logarithmus berechnen kann, so kann erk aus d undc bestimmen. D.h. ausc bestimmt eraund setztk:=da.
2 Ansonsten istgab ausgaundgb zu bestimmen. Dies ist das Diffie-Hellman Problem, welches auch als schwer betrachtet wird.
3 Nicht alle Bits vonksind beweisbar sicher. Fürp werden 1024 Bits empfohlen. Da aber typischerweise dannkfür ein symmetrisches Verfahren verwendet wird, hatk 128 Bits. Davon sind dann nur√
p d.h.
32 Bits sicher. Daher wird die Verwendung einer zusätzlichen Hashfunktion empfohlen.
4 Das Verfahren ist sicher bei einem passiven Lauscher, aber nicht bei einem aktiven Lauscher.
Einl. Schl.aust. Gem. Inf. Zufallszahlen Verg. Übertr. Ident. Unterschriften Broadcasting IBE
Diffie-Hellman (6:7.2) <> Walter Unger 12.12.2012 17:54 WS2012/13 Z
Bemerkungen
ga,gb,gab
A:p,g B:p,g
Wählta(06a6p−2) c:=gamodp c
Wähltb(06b6p−2) d:=gbmodp k:=cb= (ga)b k:=da= (gb)a d
1 Falls jemand den diskreten Logarithmus berechnen kann, so kann erk aus d undc bestimmen. D.h. ausc bestimmt eraund setztk:=da.
2 Ansonsten istgab ausgaundgb zu bestimmen. Dies ist das Diffie-Hellman Problem, welches auch als schwer betrachtet wird.
3 Nicht alle Bits vonksind beweisbar sicher. Fürp werden 1024 Bits empfohlen. Da aber typischerweise dannkfür ein symmetrisches Verfahren verwendet wird, hatk 128 Bits. Davon sind dann nur√
p d.h.
32 Bits sicher. Daher wird die Verwendung einer zusätzlichen Hashfunktion empfohlen.
4 Das Verfahren ist sicher bei einem passiven Lauscher, aber nicht bei einem aktiven Lauscher.
Einl. Schl.aust. Gem. Inf. Zufallszahlen Verg. Übertr. Ident. Unterschriften Broadcasting IBE
Diffie-Hellman (6:7.3) <> Walter Unger 12.12.2012 17:54 WS2012/13 Z
Bemerkungen
ga,gb,gab
A:p,g B:p,g
Wählta(06a6p−2) c:=gamodp c
Wähltb(06b6p−2) d:=gbmodp k:=cb= (ga)b k:=da= (gb)a d
1 Falls jemand den diskreten Logarithmus berechnen kann, so kann erk aus d undc bestimmen. D.h. ausc bestimmt eraund setztk:=da.
2 Ansonsten istgab ausgaundgb zu bestimmen. Dies ist das Diffie-Hellman Problem, welches auch als schwer betrachtet wird.
3 Nicht alle Bits vonksind beweisbar sicher. Fürp werden 1024 Bits empfohlen. Da aber typischerweise dannkfür ein symmetrisches Verfahren verwendet wird, hatk 128 Bits. Davon sind dann nur√
p d.h.
32 Bits sicher. Daher wird die Verwendung einer zusätzlichen Hashfunktion empfohlen.
4 Das Verfahren ist sicher bei einem passiven Lauscher, aber nicht bei einem aktiven Lauscher.
Einl. Schl.aust. Gem. Inf. Zufallszahlen Verg. Übertr. Ident. Unterschriften Broadcasting IBE
Diffie-Hellman (6:7.4) <> Walter Unger 12.12.2012 17:54 WS2012/13 Z
Bemerkungen
ga,gb,gab
A:p,g B:p,g
Wählta(06a6p−2) c:=gamodp c
Wähltb(06b6p−2) d:=gbmodp k:=cb= (ga)b k:=da= (gb)a d
1 Falls jemand den diskreten Logarithmus berechnen kann, so kann erk aus d undc bestimmen. D.h. ausc bestimmt eraund setztk:=da.
2 Ansonsten istgab ausgaundgb zu bestimmen. Dies ist das Diffie-Hellman Problem, welches auch als schwer betrachtet wird.
3 Nicht alle Bits vonksind beweisbar sicher. Fürp werden 1024 Bits empfohlen. Da aber typischerweise dannkfür ein symmetrisches Verfahren verwendet wird, hatk 128 Bits. Davon sind dann nur√
p d.h.
32 Bits sicher. Daher wird die Verwendung einer zusätzlichen Hashfunktion empfohlen.
4 Das Verfahren ist sicher bei einem passiven Lauscher, aber nicht bei einem aktiven Lauscher.
Einl. Schl.aust. Gem. Inf. Zufallszahlen Verg. Übertr. Ident. Unterschriften Broadcasting IBE
Diffie-Hellman (6:7.5) <> Walter Unger 12.12.2012 17:54 WS2012/13 Z
Bemerkungen
ga,gb,gab
A:p,g B:p,g
Wählta(06a6p−2) c:=gamodp c
Wähltb(06b6p−2) d:=gbmodp k:=cb= (ga)b k:=da= (gb)a d
1 Falls jemand den diskreten Logarithmus berechnen kann, so kann erk aus d undc bestimmen. D.h. ausc bestimmt eraund setztk:=da.
2 Ansonsten istgab ausgaundgb zu bestimmen. Dies ist das Diffie-Hellman Problem, welches auch als schwer betrachtet wird.
3 Nicht alle Bits vonksind beweisbar sicher. Fürp werden 1024 Bits empfohlen. Da aber typischerweise dannkfür ein symmetrisches Verfahren verwendet wird, hatk 128 Bits. Davon sind dann nur√
p d.h.
32 Bits sicher. Daher wird die Verwendung einer zusätzlichen Hashfunktion empfohlen.
4 Das Verfahren ist sicher bei einem passiven Lauscher, aber nicht bei einem aktiven Lauscher.
Einl. Schl.aust. Gem. Inf. Zufallszahlen Verg. Übertr. Ident. Unterschriften Broadcasting IBE
mit Authentifizierung (6:8.1) <> Walter Unger 12.12.2012 17:54 WS2012/13 Z