Beweisbar sichere Verschlüsselung

Organisation

Stundenumfang:3 SWS
Vorlesungstyp:Wahlpflicht-Vorlesung (140222)
Raum/Zeit:IC 1/161, Mo 10:00 (s.t.)–11:00
IC 5/161, Mi 16:00 (s.t.)–17:30
Beginn:Mittwoch, 4.4.2007
Zielgruppe:Hauptstudium Diplomstudiengang Sicherheit in der Informationstechnik (ITS)
Master-Studiengang Sicherheit in der Informationstechnik (MS ITS)
Dozent:Dr. Bodo Möller
 
Prüfungstage: Montag, 23. Juli und Mittwoch, 8. August.

Dokumente

Vorlesungsfolien (PDF):

Übungsblätter (PDF):

Inhalt

Wann können kryptographische Verfahren als sicher gelten? Auf Ad-hoc-Konstruktionen kann man sich oft nicht verlassen: Es gibt viele Beispiele von subtilen Schwachstellen, die leicht zu übersehen sind. Auf der sicheren Seite ist man, wenn man beweisen kann, dass eine Konstruktion Sicherheit bietet.

Eine Voraussetzung dafür ist die Formalisierung der Sicherheitsziele, also eine präzise Beschreibung, was von den Verfahren erwartet wird. Hierfür kann man ein formalisiertes Angriffsspiel beschreiben, in dem ein Angreifer mit einem Verfahren interagiert. Sind die Erfolgsaussichten jedes denkbaren Angreifers verschwindend gering, so ist das Sicherheitsziel erreicht.

Eine Aussicht auf einen vollständigen Sicherheitsbeweis für ein kryptographisches Verfahren hat man allerdings nur in den wenigsten Fällen (sonst wären fundamentale Fragen der Komplexitätstheorie geklärt). Man muss sich also mit bescheideneren Zielen begnügen. Wir unterscheiden zwischen kryptographischen Primitiven einerseits und darauf aufbauenden kryptographischen Konstruktionen andererseits. Setzen wir (einfache) Sicherheitseigenschaften der Primitive voraus, so können wir (kompliziertere) Eigenschaften von Konstruktionen beweisen. Ein solcher Beweis durch Reduktion sagt nichts für irgendwelche bestimmten Primitive, kann aber jedenfalls die Stimmigkeit einer Konstruktion an sich bestätigen.

Die Vorlesung behandelt Konzepte und Techniken der beweisbaren Sicherheit in der Kryptographie konzentriert sich dabei exemplarisch auf die Verschlüsselung. Es gibt zahlreiche Szenarien und Sicherheitsbegriffe für Verschlüsselung und eine Vielfalt an kryptographischen Primitiven und kryptographischen Konstruktionen:

Von konkreten kryptographischen Primitiven (wie etwa AES) wird abstrahiert, trotzdem können kryptographische Konstruktionen aus der Praxis betrachtet werden, z.B. aus dem SSL/TLS-Protokoll.

 

Qualfikationsziele


Ziel der Lehrveranstaltung ist das Kennenlernen und Anwenden von formalen Methoden zum Beurteilen der Sicherheit kryptographischer Verfahren, speziell auch das Kennenlernen von verschiedenen Sicherheitsbegriffen und grundlegenden Konstruktionen für die Verschlüsselung.