Multivariate Kryptosysteme

Slides:



Advertisements
Ähnliche Präsentationen
Mündliche Fachprüfung
Advertisements

Beispiel zum RSA-Algorithmus
1 ecash : das Geld auf der Festplatte Oliver Vornberger Fachbereich Mathematik/Informatik Universität Osnabrück Osnabrück
Schwierigkeit von Aufgabenstellungen
Schnelle Matrizenoperationen von Christian Büttner
Asymmetrische Kryptographie
Fehlerkorrektur-Codes Lange Nacht der Wissenschaften 14. Juni 2003 Humboldt-Universität zu Berlin Institut für Mathematik Prof. Dr. R.-P. Holzapfel M.
13. Transformationen mit Matrizen
GIN1b – Exkurs: Primzahlen
vollständig im Web unter
Verifizieren versus Berechnen
Zahlentheorie Algebra und Kryptografie
Proseminar : Allgegenwärtiges Rechnen
Proseminar Kryptographie – Kolja Engelmann Sichere Signatursysteme Proseminar Kryptographie Kolja Engelmann,
Public Key Kryptographie mit dem RSA Schema
Elliptische Kurven in der Kryptographie
Ein Public Key Kryptosystem mit perfekten Codes in Graphen.
(Ron Rivest, Adi Shamit, Leonard Adleman , 1977)
Hashverfahren und digitale Signaturen
Kryptologie Entwicklung und Bewertung von Verschlüsselungsverfahren
Sicherheitsbeweise für zertifikatlose
Effiziente Faktorisierung
The Rectilinear Steiner Tree Problem is NP-complete
Überblick über die Kryptographie
Beweissysteme Hartmut Klauck Universität Frankfurt WS 06/
Einwegfunktionen mit und ohne „Falltür“
Ausgleichung ohne Linearisierung
TU GRAZ RSA-Public-Key-Kryptograhie Shor `94
Kryptograhie Wie funktioniert Electronic Banking?
Quantum Computing Hartmut Klauck Universität Frankfurt WS 04/
Quantum Computing Hartmut Klauck Universität Frankfurt WS 05/ /23.1.
Beweissysteme Hartmut Klauck Universität Frankfurt WS 06/
Hartmut Klauck Universität Frankfurt WS 06/
§3 Allgemeine lineare Gleichungssysteme
Die Weihnachtszeit kommt näher
Symmetrische Kryptografie
(C) 2003, Hermann Knoll, HTW Chur, Fachhochschule Ostschweiz 1 RSA-Algorithmus 1978 von Ronald Rivest, Adi Shamir und Leonard Adleman erfunden.
ENDLICHE KÖRPER RSA – VERFAHREN.
Das Traveling Salesman Problem (TSP)
IT-Sicherheit Kapitel 3 - Public Key Kryptographie
Theorie, Anwendungen, Verallgemeinerungen
AK der praktischen Informatik 2 – eVoting
Michal Olejniczak Pawel Kiedrowski
Deterministische Verfahren
Projekt Crypt Einfache kryptografische Verfahren
Asymmetrische Kryptographie
RSA ist nach seinen Erfindern Rivest, Shamir und Adleman benannt.
Folie Nr. Stand Jänner 2008 RSA ist nach seinen Erfindern Rivest, Shamir und Adleman benannt RSA ist ein asymmetrisches Kryptosystem 
„Inside CAS“ Teil I: Polynome faktorisieren Teil II: Automatisches Beweisen Heinz Klemenz, KZO Wetzikon,
© 2013 TravelTainment Kryptographie in der IT Kryptographische Verfahren und ihre Anwendung in der IT.
Parallele Lösung von Differential-Algebraischen Gleichungssystemen und Sensitivitätssystemen Seminarvortrag Daniel Abele
verschlüsselung Praxisanleitung verschlüsselung mit GnuPG, Mozilla Thunderbird & Enigmail.
Systems Architecture RSA & DSA Signaturen Elliptische-Kurven-Kryptographie Mechmet Chiousemoglou Christian Krause 29.Mai.
Andra Cara WS `09/10 Seminar: Aufgaben im Mathematikunterricht.
Kryptographie ● Motivation ● Theoretisches ● Symmetrische Verschlüsselung: RC4 ● Asymmetrische Verschlüsselung: RSA.
Verschlüsselung nach dem RSA-Verfahren
Unmöglichkeitsbeweise
Angriffe gegen kryptografische Hash-Funktionen (SHA1, MD5)
Materialien zum Informatikunterricht (Pohlig-Häberle)
Kryptographie.
Aufgabenteil (mit Hilfsmittel)
Symmetrische Verschlüsselung
Klausurtermin Klausur Diskrete Mathematik I Do stündig
Wiederholung Chinesischer Restsatz RSA TexPoint fonts used in EMF.
Substitution bei Nullstellen
Einführung in die Programmierung
Web-Mining Agents Planning
Kryptographie - Abbildungen -.
 Präsentation transkript:

Multivariate Kryptosysteme Magnus Daum Patrick Felke

Multivariate Kryptosysteme Überblick Warum multivariate Kryptosysteme Allgemeiner Aufbau multivariater Kryptosysteme Das Imai-Matsumoto-Kryptosystem C* Hidden Field Equations (HFE) Multivariate Kryptosysteme Magnus Daum Patrick Felke 30.11.2018 Multivariate Kryptosysteme, M.Daum/ P.Felke

Warum multivariate Kryptographie? Motivation: Suche nach Systemen mit geringer Berechnungskomplexität D.h. Nur einfache Rechnungen Über kleinen Zahlbereichen Sicherheit trotzdem erreichbar durch Erhöhung der Zahl der Variablen (! multivariate Kryptographie) 30.11.2018 Multivariate Kryptosysteme, M.Daum/ P.Felke

Aufbau multivariater Kryptosysteme Prinzip: Einwegfunktion mit Hintertür Endlicher Körper K=Fq Nachrichten-/Geheimtextraum: Kn Einwegfunktion: P:Kn ! Kn Multivariate Kryptosysteme können durch Systeme von Polynomen über endlichen Körpern beschrieben werden: 30.11.2018 Multivariate Kryptosysteme, M.Daum/ P.Felke

Aufbau multivariater Kryptosysteme Verschlüsseln 30.11.2018 Multivariate Kryptosysteme, M.Daum/ P.Felke

Aufbau multivariater Kryptosysteme Entschlüsseln Hintertür 30.11.2018 Multivariate Kryptosysteme, M.Daum/ P.Felke

Aufbau multivariater Kryptosysteme Signieren / Verifizieren Hintertür 30.11.2018 Multivariate Kryptosysteme, M.Daum/ P.Felke

Aufbau multivariater Kryptosysteme Brechen bedeutet das Lösen von polynomialen Gleichungssystemen. Aber: Der Designer muss Gleichungssyteme „mit Hintertür“ erzeugen. 30.11.2018 Multivariate Kryptosysteme, M.Daum/ P.Felke

Das Imai-Matsumoto- Kryptosystem C* 30.11.2018 Multivariate Kryptosysteme, M.Daum/ P.Felke

Das Imai-Matsumoto- Kryptosystem C* 1988 von Imai und Matsumoto vorgestellt Konzipiert als multivar.Variante von RSA Insbesondere zur Implementierung auf Smartcards geeignet 30.11.2018 Multivariate Kryptosysteme, M.Daum/ P.Felke

Das Imai-Matsumoto- Kryptosystem C* Öffentlicher Schlüssel Geheimer Schlüssel Hintertür 30.11.2018 Multivariate Kryptosysteme, M.Daum/ P.Felke

Das Imai-Matsumoto- Kryptosystem C* C* ist gebrochen !!! ( Dobbertin, 1993, damals BSI, bzw. Patarin, Eurocrypt 1995) 30.11.2018 Multivariate Kryptosysteme, M.Daum/ P.Felke

Hidden Field Equations - HFE - 30.11.2018 Multivariate Kryptosysteme, M.Daum/ P.Felke

Multivariate Kryptosysteme, M.Daum/ P.Felke HFE: Idee C* kann repariert werden (Patarin Eurocrypt 1996) Ziele: P soll von der Form her erhalten bleiben (als multivariates quadratisches System)  sollte möglichst allgemein gewählt werden Dazu: Wähle  als „HFE-Polynom“: 30.11.2018 Multivariate Kryptosysteme, M.Daum/ P.Felke

Multivariate Kryptosysteme, M.Daum/ P.Felke HFE: Hintertür Wie kann dieses  umgekehrt werden? Finde a mit (a)=b d.h. Bestimme Nullstellen von (x)-b d.h. Faktorisiere (x)-b ! Berlekamp-Algorithmus Hintertür bei HFE: Beschränkung des Grades von (x) 30.11.2018 Multivariate Kryptosysteme, M.Daum/ P.Felke

Multivariate Kryptosysteme, M.Daum/ P.Felke HFE: Hintertür Öffentlicher Schlüssel Geheimer Schlüssel Hintertür 30.11.2018 Multivariate Kryptosysteme, M.Daum/ P.Felke

Multivariate Kryptosysteme, M.Daum/ P.Felke HFE: Probleme  ist im Allgemeinen nicht bijektiv Problem beim Entschlüsseln: Falls P nicht injektiv ist, können zu einem Geheimtext mehrere Klartexte gehören ! Keine eindeutige Entschüsselung möglich! Lösung: Baue redundante Informationen in Geheimtext ein, um Nachricht eindeutig zu identifizieren Beispiel: 30.11.2018 Multivariate Kryptosysteme, M.Daum/ P.Felke

Multivariate Kryptosysteme, M.Daum/ P.Felke HFE: Probleme  ist im Allgemeinen nicht bijektiv Problem beim Signieren: Falls P nicht surjektiv ist, existieren zu manchen Nachrichten m keine Signaturen x mit P(x)=m Lösung: Erlaube variable Anteile „auf rechter Seite“ Beispiel: 30.11.2018 Multivariate Kryptosysteme, M.Daum/ P.Felke

Multivariate Kryptosysteme, M.Daum/ P.Felke HFE: Parameterwahl Wesentliche Parameter eines HFE-Systems: Attacken Problemstellung: Gegeben y2 Kn, finde x 2 Kn mit P(x)=y Vollständige Suche: Aufwand |K|n=qn ! Wähle qn¸280 Löse polynomielle Gleichungssystem direkt (z.B. Buchbergeralgorithmus) Aufwand etwa O(22,7n) ! Wähle n¸ 30 30.11.2018 Multivariate Kryptosysteme, M.Daum/ P.Felke

Multivariate Kryptosysteme, M.Daum/ P.Felke HFE: Parameterwahl Wesentliche Parameter eines HFE-Systems: Attacken Angriffe ähnlich der C*-Attacke Suche ähnliche Relationen zwischen Klartexten und Geheimtexten Experimentell: je größer d, desto weniger solche Relationen gibt es bzw. desto kompliziertere Form haben diese (! d ¸ 128) 30.11.2018 Multivariate Kryptosysteme, M.Daum/ P.Felke

Multivariate Kryptosysteme, M.Daum/ P.Felke HFE: Parameterwahl Wesentliche Parameter eines HFE-Systems: Attacken Schlüsselrekonstruktion Suche Transformationen S‘ und T‘, die ähnlich gut zur Umkehrung von P geeignet sind wie S und T Für obige Parameter ebenfalls praktisch nicht durchführbar 30.11.2018 Multivariate Kryptosysteme, M.Daum/ P.Felke

Multivariate Kryptosysteme, M.Daum/ P.Felke HFE: Parameterwahl Wesentliche Parameter eines HFE-Systems: Wahl von : als HFE-Polynom vom Grad d mit zufällig gewählten Koeffizienten Schlüssellänge (am Beispiel q=2, n=80): geheimer Schlüssel (S und T): öffentlicher Schlüssel (P): 30.11.2018 Multivariate Kryptosysteme, M.Daum/ P.Felke

Multivariate Kryptosysteme, M.Daum/ P.Felke Vielen Dank ! Fragen ??? 30.11.2018 Multivariate Kryptosysteme, M.Daum/ P.Felke