Protokoªy komunikacyjne

Podobne dokumenty
BSK. Copyright by Katarzyna Trybicka-Fancik 1. Bezpieczeństwo systemów komputerowych. Podpis cyfrowy. Podpisy cyfrowe i inne protokoły pośrednie

Kryptografia. z elementami kryptografii kwantowej. Ryszard Tanaś Wykład 9

Opera Wykorzystanie certyfikatów niekwalifikowanych w oprogramowaniu Opera wersja 1.1 UNIZETO TECHNOLOGIES SA

Kodowanie i kompresja Streszczenie Studia Licencjackie Wykład 14, Kryptografia: algorytmy asymetryczne (RSA)

Strategia czy intuicja?

Informatyka na WPPT. prof. dr hab. Jacek Cichoń dr inż. Marek Klonowski

Kodowanie i kompresja Streszczenie Studia Licencjackie Wykład 15, Kryptografia: algorytmy asymetryczne (RSA)

Podstawy systemów kryptograficznych z kluczem jawnym RSA

Kryptografia. z elementami kryptografii kwantowej. Ryszard Tanaś Wykład 11

Zadanie 1: Protokół ślepych podpisów cyfrowych w oparciu o algorytm RSA

Zamiana porcji informacji w taki sposób, iż jest ona niemożliwa do odczytania dla osoby postronnej. Tak zmienione dane nazywamy zaszyfrowanymi.

Zastosowanie teorii liczb w kryptografii na przykładzie szyfru RSA

ARYTMETYKA MODULARNA. Grzegorz Szkibiel. Wiosna 2014/15

Systemy Mobilne i Bezprzewodowe laboratorium 12. Bezpieczeństwo i prywatność

Kryptografia. z elementami kryptografii kwantowej. Ryszard Tanaś Wykład 8

Twierdzenie Wainera. Marek Czarnecki. Warszawa, 3 lipca Wydziaª Filozoi i Socjologii Uniwersytet Warszawski

2.1. System kryptograficzny symetryczny (z kluczem tajnym) 2.2. System kryptograficzny asymetryczny (z kluczem publicznym)

ARYTMETYKA MODULARNA. Grzegorz Szkibiel. Wiosna 2014/15

Metody dowodzenia twierdze«

Kryptologia przykład metody RSA

Ataki na RSA. Andrzej Chmielowiec. Centrum Modelowania Matematycznego Sigma. Ataki na RSA p. 1

Kryptografia. z elementami kryptografii kwantowej. Ryszard Tanaś Wykład 7

Wykład 7. komputerowych Integralność i uwierzytelnianie danych - główne slajdy. 16 listopada 2011

Informatyka kwantowa. Zaproszenie do fizyki. Zakład Optyki Nieliniowej. wykład z cyklu. Ryszard Tanaś. mailto:tanas@kielich.amu.edu.

Szyfrowanie RSA (Podróż do krainy kryptografii)

Matematyka dyskretna. Wykład 11: Kryptografia z kluczem publicznym. Gniewomir Sarbicki

Wybrane zagadnienia teorii liczb

Copyright by K. Trybicka-Francik 1

Copyright by K. Trybicka-Francik 1

Wst p teoretyczny do wiczenia nr 3 - Elementy kombinatoryki

Algorytmy asymetryczne

Kryptografia na procesorach wielordzeniowych

Wykład VII. Kryptografia Kierunek Informatyka - semestr V. dr inż. Janusz Słupik. Gliwice, Wydział Matematyki Stosowanej Politechniki Śląskiej

Metodydowodzenia twierdzeń

Algorytmy i struktury danych. Wykład 6 Tablice rozproszone cz. 2

Ekstremalnie maªe zbiory

Generowanie liczb o zadanym rozkładzie. ln(1 F (y) λ

Szeregowanie zada« Wykªad nr 6. dr Hanna Furma«czyk. 11 kwietnia 2013

Parametry systemów klucza publicznego

WEP: przykład statystycznego ataku na źle zaprojektowany algorytm szyfrowania


Zastosowania informatyki w gospodarce Wykład 5

Wykład VIII. Systemy kryptograficzne Kierunek Matematyka - semestr IV. dr inż. Janusz Słupik. Wydział Matematyki Stosowanej Politechniki Śląskiej

Zastosowania arytmetyki modularnej. Zastosowania arytmetyki modularnej

Podstawy matematyki dla informatyków

Karty kryptograczne w ±rodowisku Linux

Wykorzystanie lokalnej geometrii danych w Maszynie Wektorów No±nych

Ataki na algorytm RSA

i, lub, nie Cegieªki buduj ce wspóªczesne procesory. Piotr Fulma«ski 5 kwietnia 2017

n = p q, (2.2) przy czym p i q losowe duże liczby pierwsze.

Wykład 4. Schematy Identyfikacji

Bezpieczeństwo systemów komputerowych

Ataki kryptograficzne.

Bezpieczeństwo danych, zabezpieczanie safety, security

Zadania. 4 grudnia k=1

Elementy Modelowania Matematycznego Wykªad 1 Prawdopodobie«stwo

3. (8 punktów) EGZAMIN MAGISTERSKI, Biomatematyka

ARYTMETYKA MODULARNA. Grzegorz Szkibiel. Wiosna 2014/15

Tablice z haszowaniem

Scenariusz nr 30 zajęć edukacji wczesnoszkolnej. Metryczka zajęć edukacyjnych. Cele operacyjne. Środki dydaktyczne

Algorytmy i struktury danych. Wykład 4 Tablice nieporządkowane i uporządkowane

5. (8 punktów) EGZAMIN MAGISTERSKI, r Matematyka w ekonomii i ubezpieczeniach

Marcin Szeliga Dane

Zał nr 4 do ZW. Dla grupy kursów zaznaczyć kurs końcowy. Liczba punktów ECTS charakterze praktycznym (P)

Eksperyment,,efekt przełomu roku

Rozdział 6. Pakowanie plecaka. 6.1 Postawienie problemu

Hotel Hilberta. Zdumiewaj cy ±wiat niesko«czono±ci. Marcin Kysiak. Festiwal Nauki, Instytut Matematyki Uniwersytetu Warszawskiego

EGZAMIN MAGISTERSKI, r Matematyka w ekonomii i ubezpieczeniach

Zadania z kolokwiów ze Wst pu do Informatyki. Semestr II.

Bezpieczeństwo w sieci I. a raczej: zabezpieczenia wiarygodnosć, uwierzytelnianie itp.

VPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych. w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

Tablice z haszowaniem

Zarys algorytmów kryptograficznych

Kryptografia. z elementami kryptografii kwantowej. Ryszard Tanaś Wykład 5

WSIZ Copernicus we Wrocławiu

Centralne twierdzenie graniczne

VPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

Przewodnik użytkownika

ARYTMETYKA MODULARNA. Grzegorz Szkibiel. Wiosna 2014/15

Biblioteka NaCl. Instytut Telekomunikacji Wydział Elektroniki i Technik Informacyjnych Politechnika Warszawska

Programowanie wspóªbie»ne

ARYTMETYKA MODULARNA. Grzegorz Szkibiel. Wiosna 2014/15

Maszyny Turinga i problemy nierozstrzygalne. Maszyny Turinga i problemy nierozstrzygalne

2 Kryptografia: algorytmy symetryczne

KRYTERIA OCENIANIA ODPOWIEDZI Język POZIOM PODSTAWOWY

Rachunek prawdopodobieństwa Rozdział 3. Prawdopodobieństwo warunkowe i niezależność zdarzeń.

Wykªad 7. Ekstrema lokalne funkcji dwóch zmiennych.

Algorytmy i Struktury Danych, 9. ćwiczenia

Wykład IV. Kryptografia Kierunek Informatyka - semestr V. dr inż. Janusz Słupik. Gliwice, Wydział Matematyki Stosowanej Politechniki Śląskiej

LICZBY PIERWSZE. 14 marzec Jeśli matematyka jest królową nauk, to królową matematyki jest teoria liczb. C.F.

Metoda Lenstry-Shora faktoryzacji dużych liczb całkowitych

Bezpieczeństwo aplikacji typu software token. Mariusz Burdach, Prevenity. Agenda

JAO - J zyki, Automaty i Obliczenia - Wykªad 1. JAO - J zyki, Automaty i Obliczenia - Wykªad 1

Podstawy matematyki dla informatyków. Funkcje. Funkcje caªkowite i cz ±ciowe. Deniowanie funkcji. Wykªad pa¹dziernika 2012

CHIŃSZCZYZNA PO POLSKU

Mierzalne liczby kardynalne

Gerard Frankowski, Błażej Miga Zespół Bezpieczeństwa PCSS. Konferencja SECURE 2008 Warszawa,

XVII Warmi«sko-Mazurskie Zawody Matematyczne

Drzewa Gomory-Hu Wprowadzenie. Drzewa Gomory-Hu. Jakub Š cki. 14 pa¹dziernika 2009

Kryptografia. z elementami kryptografii kwantowej. Ryszard Tanaś Wykład 6a

Transkrypt:

Protokoªy komunikacyjne http://www.mimuw.edu.pl/ sl/teaching/semprot/ 1/18 Podpisy cyfrowe Artur Cichocki Wydziaª Matematyki, Informatyki i Mechaniki Uniwersytet Warszawski email: A.Cichocki@zodiac.mimuw.edu.pl ¹ródªa TEX: http://rainbow.mimuw.edu.pl/ ac181253/ Nie zastrzegam sobie»adnych prawa do dystrybucji tego dokumentu

Wst p Paradygmat podpisów RSA. Schemat standardowy trudno udowodni. Inne schematy zgodne z paradygmatem i udowodnialne (FDH, PSS, PSS-R). 2/18

Schemat podpisu cyfrowego DS = (K, S, V) skªada si z trzech algorytmów: 3/18 generatora kluczy K algorytm randomizowany, który zwraca par (pk, sk) kluczy, publiczny klucz i odpowiadaj cy mu klucz prywatny (piszemy (pk, sk) R K).

Schemat podpisu cyfrowego DS = (K, S, V) skªada si z trzech algorytmów: 3/18 generatora kluczy K algorytm randomizowany, który zwraca par (pk, sk) kluczy, publiczny klucz i odpowiadaj cy mu klucz prywatny (piszemy (pk, sk) R K). algorytm podpisuj cy S (by mo»e randomizowany) bior cy sk i wiadomo± M, a zwracaj cy δ (piszemy δ S sk (M)).

Schemat podpisu cyfrowego DS = (K, S, V) skªada si z trzech algorytmów: 3/18 generatora kluczy K algorytm randomizowany, który zwraca par (pk, sk) kluczy, publiczny klucz i odpowiadaj cy mu klucz prywatny (piszemy (pk, sk) R K). algorytm podpisuj cy S (by mo»e randomizowany) bior cy sk i wiadomo± M, a zwracaj cy δ (piszemy δ S sk (M)). algorytm werykuj cy V deterministyczny, przyjmuj cy pk, M i δ dla M, a zwracaj cy jeden bit (d V pk (M, δ )).

Schemat podpisu cyfrowego DS = (K, S, V) skªada si z trzech algorytmów: 3/18 generatora kluczy K algorytm randomizowany, który zwraca par (pk, sk) kluczy, publiczny klucz i odpowiadaj cy mu klucz prywatny (piszemy (pk, sk) R K). algorytm podpisuj cy S (by mo»e randomizowany) bior cy sk i wiadomo± M, a zwracaj cy δ (piszemy δ S sk (M)). algorytm werykuj cy V deterministyczny, przyjmuj cy pk, M i δ dla M, a zwracaj cy jeden bit (d V pk (M, δ )). Rozprowadzanie kluczy i dostarczanie wiadomo±ci (M, δ).

Rodzaje ataków tylko klucz Przeciwnik zna tylko klucz publiczny i mo»e sprawdzi poprawno± podpisu. 4/18

Rodzaje ataków tylko klucz Przeciwnik zna tylko klucz publiczny i mo»e sprawdzi poprawno± podpisu. znane podpisy Przeciwnik zna klucz publiczny i ma pary (wiadomo±, podpis), podpis legalnie wyprodukowany. 4/18

Rodzaje ataków tylko klucz Przeciwnik zna tylko klucz publiczny i mo»e sprawdzi poprawno± podpisu. znane podpisy Przeciwnik zna klucz publiczny i ma pary (wiadomo±, podpis), podpis legalnie wyprodukowany. wybór wiadomo±ci Przeciwnik mo»e pyta wyroczni o podpis wybranych przez siebie wiadomo±ci. 4/18

Poziomy sukcesów oszustwo egzystencjalne Przeciwnik mo»e podrobi podpis jednej wiadomo±ci, ale nie koniecznie mo»e wybiera wiadomo±. 5/18

Poziomy sukcesów oszustwo egzystencjalne Przeciwnik mo»e podrobi podpis jednej wiadomo±ci, ale nie koniecznie mo»e wybiera wiadomo±. selektywne Dodatkowo mo»e wybra jak ± wiadomo±. 5/18

Poziomy sukcesów oszustwo egzystencjalne Przeciwnik mo»e podrobi podpis jednej wiadomo±ci, ale nie koniecznie mo»e wybiera wiadomo±. selektywne Dodatkowo mo»e wybra jak ± wiadomo±. uniwersalne Dowoln wiadomo±, ale nie pozna klucza prywatnego. 5/18

Poziomy sukcesów oszustwo egzystencjalne Przeciwnik mo»e podrobi podpis jednej wiadomo±ci, ale nie koniecznie mo»e wybiera wiadomo±. selektywne Dodatkowo mo»e wybra jak ± wiadomo±. uniwersalne Dowoln wiadomo±, ale nie pozna klucza prywatnego. totalne Mo»e policzy klucz prywatny. 5/18

Poj cie bezpiecze«stwa Eksperyment Exp uf cma DS,F Niech (pk, sk) R K Niech (M, σ) F S sk( ) (pk) Je»eli V pk (M, δ) = 1 i wyrocznia nie byªa pytana o M wtedy zwró 1, w przeciwnym przypadku 0. 6/18

Poj cie bezpiecze«stwa Eksperyment Exp uf cma DS,F Niech (pk, sk) R K Niech (M, σ) F S sk( ) (pk) Je»eli V pk (M, δ) = 1 i wyrocznia nie byªa pytana o M wtedy zwró 1, w przeciwnym przypadku 0. 6/18 praw- Niech DS = (K, S, V), a F oznacza faªszerza. Adv uf cma DS,F dopodobie«stwo,»e Exp uf cma DS,F zwróci 1, wtedy

Poj cie bezpiecze«stwa Eksperyment Exp uf cma DS,F Niech (pk, sk) R K Niech (M, σ) F S sk( ) (pk) Je»eli V pk (M, δ) = 1 i wyrocznia nie byªa pytana o M wtedy zwró 1, w przeciwnym przypadku 0. 6/18 praw- Niech DS = (K, S, V), a F oznacza faªszerza. Adv uf cma DS,F dopodobie«stwo,»e Exp uf cma DS,F zwróci 1, wtedy Adv uf cma DS (t, q, µ) = max F {Advuf cma DS,F }.

Generowanie klucza Algorytm K Wybierz losowo dwie ró»ne liczy pierwsze p i q (po k/2 bitów) N pg; e R Z ϕ(n) ; d e 1 mod ϕ(n) pk (N, e); sk (N, d) Zwró pk, sk. 7/18

Generowanie klucza Algorytm K Wybierz losowo dwie ró»ne liczy pierwsze p i q (po k/2 bitów) N pg; e R Z ϕ(n) ; d e 1 mod ϕ(n) pk (N, e); sk (N, d) Zwró pk, sk. 7/18 Permutacje x Z N RSA N,e (x) = x e mod N = y

Generowanie klucza Algorytm K Wybierz losowo dwie ró»ne liczy pierwsze p i q (po k/2 bitów) N pg; e R Z ϕ(n) ; d e 1 mod ϕ(n) pk (N, e); sk (N, d) Zwró pk, sk. 7/18 Permutacje x Z N RSA N,e (x) = x e mod N = y RSA N,d (y) = y d mod N = RSA 1 N,e(y) = x

Generowanie klucza Algorytm K Wybierz losowo dwie ró»ne liczy pierwsze p i q (po k/2 bitów) N pg; e R Z ϕ(n) ; d e 1 mod ϕ(n) pk (N, e); sk (N, d) Zwró pk, sk. 7/18 Permutacje x Z N RSA N,e (x) = x e mod N = y RSA N,d (y) = y d mod N = RSA 1 N,e(y) = x Zakªadamy,»e RSA jest permutacj jednokierunkow.

Podpisy z zapadk Algorytm Algorytm S N,d (M) Algorytm V N,e (M) x M d mod N M x e mod N Zwró x Je»eli M = M zwró 1, wpp 0. 8/18

Podpisy z zapadk Algorytm Algorytm S N,d (M) Algorytm V N,e (M) x M d mod N M x e mod N Zwró x Je»eli M = M zwró 1, wpp 0. Podpis, a potem wiadomo± Faªszerz F S N,e( ) (N, e) x R Z N ; M xe mod N Zwró (M, x) 8/18

Podpisy z zapadk Algorytm Algorytm S N,d (M) Algorytm V N,e (M) x M d mod N M x e mod N Zwró x Je»eli M = M zwró 1, wpp 0. Podpis, a potem wiadomo± Faªszerz F S N,e( ) (N, e) x R Z N ; M xe mod N Zwró (M, x) Multiplikatywno± RSA x e (x 1 x 2 ) e x e 1x e 2 M 1 M 2 M (mod N) 8/18

Faªszerz F S N,e( ) (N, e) M R 1 ZN {1, M}; M 2 MM1 1 mod N x 1 S N,e (M 1 ); x 2 S N,e (M 2 ) x x 1 x 2 mod N Zwró (M, x) 9/18

Mieszaj i odwró Algorytm Algorytm S N,d (M) Algorytm V N,e (M) y Hash(M) y Hash(M) x y d mod N y x e mod N Zwró x Je»eli y = y zwró 1, wpp 0. 10/18

Mieszaj i odwró Algorytm Algorytm S N,d (M) Algorytm V N,e (M) y Hash(M) y Hash(M) x y d mod N y x e mod N Zwró x Je»eli y = y zwró 1, wpp 0. Odporno± na poprzednie ataki. x e mod N = Hash(M) Hash(M 1 )Hash(M 2 ) Hash(M) (mod N) 10/18

Mieszaj i odwró Algorytm Algorytm S N,d (M) Algorytm V N,e (M) y Hash(M) y Hash(M) x y d mod N y x e mod N Zwró x Je»eli y = y zwró 1, wpp 0. Odporno± na poprzednie ataki. x e mod N = Hash(M) Hash(M 1 )Hash(M 2 ) Hash(M) (mod N) 10/18 Kolizje Hash(M 1 ) = Hash(M 2 )

Mieszaj i odwró Algorytm Algorytm S N,d (M) Algorytm V N,e (M) y Hash(M) y Hash(M) x y d mod N y x e mod N Zwró x Je»eli y = y zwró 1, wpp 0. Odporno± na poprzednie ataki. x e mod N = Hash(M) Hash(M 1 )Hash(M 2 ) Hash(M) (mod N) 10/18 Kolizje Hash(M 1 ) = Hash(M 2 ) Faªszerz F S N,e( ) (N, e) x S N,e (M 1 ) Zwró (M 2, x)

PKCS #1 Implementacja funkcji mieszaj cej. N ϕ(n) N = 1 (p 1)(q 1) pg = p + g 1 pg < 21+k/2 2 k 1 = 4 2 k/2 11/18

PKCS #1 Implementacja funkcji mieszaj cej. N ϕ(n) N = 1 (p 1)(q 1) pg = p + g 1 pg < 21+k/2 2 k 1 = 4 2 k/2 11/18 PCKS-Hash(M) = 0x 00 01 FF FF FF FF 00 h(m)

PKCS #1 Implementacja funkcji mieszaj cej. N ϕ(n) N = 1 (p 1)(q 1) pg = p + g 1 pg < 21+k/2 2 k 1 = 4 2 k/2 11/18 PCKS-Hash(M) = 0x 00 01 FF FF FF FF 00 h(m) Algorytm S N,d (M) Algorytm V N,e (M) y P CKS-Hash(M) y P CKS-Hash(M) x y d mod N y x e mod N Zwró x Je»eli y = y zwró 1, wpp 0.

PKCS #1 Implementacja funkcji mieszaj cej. N ϕ(n) N = 1 (p 1)(q 1) pg = p + g 1 pg < 21+k/2 2 k 1 = 4 2 k/2 11/18 PCKS-Hash(M) = 0x 00 01 FF FF FF FF 00 h(m) Algorytm S N,d (M) Algorytm V N,e (M) y P CKS-Hash(M) y P CKS-Hash(M) x y d mod N y x e mod N Zwró x Je»eli y = y zwró 1, wpp 0. Dla SHA-1 S = {PCKS-Hash(M) : M {0, 1} }, S 2 160 S Z N 2160 2 1023 = 1 2 863

FDH Maj c idealn funkcje mieszaj c. 12/18

FDH Maj c idealn funkcje mieszaj c. Funkcja mieszaj ca jako wyrocznia. 12/18

FDH Maj c idealn funkcje mieszaj c. Funkcja mieszaj ca jako wyrocznia. Algorytm (poprzedni 10). Algorytm SN,d(M) H Algorytm VN,e(M) H y H(M) y H(M) x y d mod N y x e mod N Zwró x Je»eli y = y zwró 1, wpp 0. 12/18

Nowy model bezpiecze«stwa (poprzedni 6). Eksperyment Exp ro (DS, F ) Niech ((N, e), (N, d)) R K Wybra losowo H : {0, 1} ZN Niech (M, x) F H,SH N,d ( ) (N, e) Je»eli V H (N,e)(M, δ) = 1 i wyrocznia nie byªa pytana o M wtedy zwró 1, w przeciwnym przypadku 0. 13/18

Nowy model bezpiecze«stwa (poprzedni 6). Eksperyment Exp ro (DS, F ) Niech ((N, e), (N, d)) R K Wybra losowo H : {0, 1} ZN Niech (M, x) F H,SH N,d ( ) (N, e) Je»eli V H (N,e)(M, δ) = 1 i wyrocznia nie byªa pytana o M wtedy zwró 1, w przeciwnym przypadku 0. 13/18 Szanse faªszerstwa. Adv uf cma DS (t, q sig, q hash, µ) = max F {Advuf cma DS,F }

Nowy model bezpiecze«stwa (poprzedni 6). Eksperyment Exp ro (DS, F ) Niech ((N, e), (N, d)) R K Wybra losowo H : {0, 1} ZN Niech (M, x) F H,SH N,d ( ) (N, e) Je»eli V H (N,e)(M, δ) = 1 i wyrocznia nie byªa pytana o M wtedy zwró 1, w przeciwnym przypadku 0. 13/18 Szanse faªszerstwa. Adv uf cma DS (t, q sig, q hash, µ) = max F {Advuf cma DS,F } Niech DS b dzie schematem FDH-RSA z parametrem k. Wtedy dla q hash 1 + q sig i t = t + q hash O(k 3 ) zachodzi Adv uf cma DS (t, q sig, q hash, µ) q hash AdvRSA(t owf ).

PSS0 Algorytm Algorytm S H N,d(M) Algorytm V H N,e(M) r R {0, 1} s Sparsuj δ jako (r, x) gdzie r = s y H(r M) y H(r M) x y d mod N y x e mod N Zwró (r, x) Je»eli y = y zwró 1, wpp 0. 14/18

PSS0 Algorytm Algorytm S H N,d(M) Algorytm V H N,e(M) r R {0, 1} s Sparsuj δ jako (r, x) gdzie r = s y H(r M) y H(r M) x y d mod N y x e mod N Zwró (r, x) Je»eli y = y zwró 1, wpp 0. Niech DS b dzie schematem PSS0 z parametrem k i s. Wtedy dla q hash 1 + q sig i t = t + q hash O(k 3 ) zachodzi 14/18 Adv uf cma DS (t, q sig, q hash, µ) AdvRSA(t owf ) + (q hash 1) q sig. 2 s

PSS Algorytm Algorytm S g,h N,d (M) g,h Algorytm VN,e(M) y x e mod N Sparsuj y jako b w r γ gdzie r R {0, 1} k 0 ; w H(M r) r g 1 (w) r y 0 w r g 2 (w) b = 1, w = k 1, r = k 0 x y d mod N r r g 1 (w) Zwró x Je»eli h(m r) = w i g 2 (w) = γ i b = 0 wtedy zwró 1, wpp 0. Jeszcze lepiej Adv uf cma DS (t, q sig, q hash, µ) AdvRSA(t owf )+3(q hash 1) 2 (2 k 0 +2 k 1 ). 15/18

PSS Algorytm Algorytm S g,h N,d (M) g,h Algorytm VN,e(M) y x e mod N Sparsuj y jako b w r γ gdzie r R {0, 1} k 0 ; w H(M r) r g 1 (w) r y 0 w r g 2 (w) b = 1, w = k 1, r = k 0 x y d mod N r r g 1 (w) Zwró x Je»eli h(m r) = w i g 2 (w) = γ i b = 0 wtedy zwró 1, wpp 0. Jeszcze lepiej Adv uf cma DS (t, q sig, q hash, µ) AdvRSA(t owf )+3(q hash 1) 2 (2 k 0 +2 k 1 ). PSS-R = odzyskiwanie wiadomo±ci z podpisu. 15/18

El Gamal klucz publiczny (y, p, g), gdzie y = g x mod p, p pierwsza a g generator w Z p. klucz prywatny x takie,»e y = g x mod p. podpis podpisem wiadomo±ci m jest para (r, s) taka,»e r 0, s p 1 i g m = y r r s mod p. werykacja sprawdzenie czy g m = y r r s mod p. 16/18

El Gamal klucz publiczny (y, p, g), gdzie y = g x mod p, p pierwsza a g generator w Z p. klucz prywatny x takie,»e y = g x mod p. podpis podpisem wiadomo±ci m jest para (r, s) taka,»e r 0, s p 1 i g m = y r r s mod p. werykacja sprawdzenie czy g m = y r r s mod p. szczegóªy podpisywania wybra k losowo, r = g k mod p, wtedy g m = y r r s = g xr+ks mod p, wi c s = (m xr)k 1 mod p 1. 16/18

El Gamal klucz publiczny (y, p, g), gdzie y = g x mod p, p pierwsza a g generator w Z p. klucz prywatny x takie,»e y = g x mod p. podpis podpisem wiadomo±ci m jest para (r, s) taka,»e r 0, s p 1 i g m = y r r s mod p. werykacja sprawdzenie czy g m = y r r s mod p. szczegóªy podpisywania wybra k losowo, r = g k mod p, wtedy g m = y r r s = g xr+ks mod p, wi c s = (m xr)k 1 mod p 1. klapa Schemat pozwala na oszustwo egzystencjalne przy ataku znane podpisy. 16/18

Rabin klucz publiczny n = pq. klucz prywatny p i q. podpisywanie s = m mod n. werykacja s 2 = m mod n. 17/18

Rabin klucz publiczny n = pq. klucz prywatny p i q. podpisywanie s = m mod n. werykacja s 2 = m mod n. 17/18 Uups Schemat pozwala na oszustwo egzystencjalne przy ataku tylko klucz.

Rabin klucz publiczny n = pq. klucz prywatny p i q. podpisywanie s = m mod n. werykacja s 2 = m mod n. 17/18 Uups Schemat pozwala na oszustwo egzystencjalne przy ataku tylko klucz. Uuuuups Schemat pozwala na oszustwo totalne przy ataku wybór wiadomo±ci.

18/18 Dzi kuje za uwag

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres