Organisation

Stundenumfang:	3 SWS
Vorlesungstyp:	Wahlpflicht-Vorlesung (140222)
Raum/Zeit:	IC 1/161, Mo 10:00 (s.t.)–11:00 IC 5/161, Mi 16:00 (s.t.)–17:30
Beginn:	Mittwoch, 4.4.2007
Zielgruppe:	Hauptstudium Diplomstudiengang Sicherheit in der Informationstechnik (ITS) Master-Studiengang Sicherheit in der Informationstechnik (MS ITS)
Dozent:	Dr. Bodo Möller

 
Prüfungstage: Montag, 23. Juli und Mittwoch, 8. August.

Dokumente

Vorlesungsfolien (PDF):

• 4. 4. 2007 (Überblick; Sicherheit einer Blockchiffre: PRP)
• 11. 4. 2007 (Einmal-Verschlüsselung: RoR-OTCPA, LoR-OTCPA; PRF, PRG; RoR-CPA, LoR-CPA)
• 18. 4. 2007 (PRG aus einem PRF)
• 25. 4. 2007 (PRP/PRF Switching Lemma; Counter Mode)
• 2. 5. 2007 (FtG-CPA)
• 9. 5. 2007 (Semantische Sicherheit)
• 16. 5. 2007 (Rückblick: Sicherheitsbeweise durch Reduktion; Counter Mode)
• 23. 5. 2007 (CBC)
• 6. 6. 2007 (Sicherheit gegen aktive Angreifer: RoR-CCA, LoR-CCA)
• 13. 6. 2007 (Zusammenhänge zwischen CCA-Sicherheitsbegriffen; INT-CTXT)
• 20. 6. 2007 (MAC; Encrypt-then-MAC)
• 27. 6. 2007 (Fallbeispiel: Fehler in SSL/TLS)
• 4. 7. 2007 (Public-Key-Verschlüsselung; hybride Verschlüsselung)
• 11. 7. 2007 (Rückblick auf die Vorlesung)

Übungsblätter (PDF):

• Blatt 1 (RoR-OTCPA, LoR-OTCPA, RoR-CPA, LoR-CPA); Lösungen und Hinweise zu Aufgaben 1.1–1.5
• Blatt 2 (PRP und RoR-OTCPA; Counter Mode); Lösungen und Hinweise zu Aufgaben 2.1–2.4;
  Anleitung zu Aufgabe 2.5
• Blatt 3 (PRF); Lösungen zu Aufgaben 3.1 und 3.2
• Blatt 4 (PRP)
• Blatt 5 (Counter Mode)
• Blatt 6 (CBC)
• Blatt 7 (PRF als MAC); Lösungen zu Aufgaben 7.1a und 7.1b

Inhalt

Wann können kryptographische Verfahren als sicher gelten? Auf Ad-hoc-Konstruktionen kann man sich oft nicht verlassen: Es gibt viele Beispiele von subtilen Schwachstellen, die leicht zu übersehen sind. Auf der sicheren Seite ist man, wenn man beweisen kann, dass eine Konstruktion Sicherheit bietet.

Eine Voraussetzung dafür ist die Formalisierung der Sicherheitsziele, also eine präzise Beschreibung, was von den Verfahren erwartet wird. Hierfür kann man ein formalisiertes Angriffsspiel beschreiben, in dem ein Angreifer mit einem Verfahren interagiert. Sind die Erfolgsaussichten jedes denkbaren Angreifers verschwindend gering, so ist das Sicherheitsziel erreicht.

Eine Aussicht auf einen vollständigen Sicherheitsbeweis für ein kryptographisches Verfahren hat man allerdings nur in den wenigsten Fällen (sonst wären fundamentale Fragen der Komplexitätstheorie geklärt). Man muss sich also mit bescheideneren Zielen begnügen. Wir unterscheiden zwischen kryptographischen Primitiven einerseits und darauf aufbauenden kryptographischen Konstruktionen andererseits. Setzen wir (einfache) Sicherheitseigenschaften der Primitive voraus, so können wir (kompliziertere) Eigenschaften von Konstruktionen beweisen. Ein solcher Beweis durch Reduktion sagt nichts für irgendwelche bestimmten Primitive, kann aber jedenfalls die Stimmigkeit einer Konstruktion an sich bestätigen.

Die Vorlesung behandelt Konzepte und Techniken der beweisbaren Sicherheit in der Kryptographie konzentriert sich dabei exemplarisch auf die Verschlüsselung. Es gibt zahlreiche Szenarien und Sicherheitsbegriffe für Verschlüsselung und eine Vielfalt an kryptographischen Primitiven und kryptographischen Konstruktionen:

• symmetrische Verschlüsselung, Public-Key-Verschlüsselung
• Chosen plaintext attack (CPA), chosen ciphertext attack (CCA); left-or-right (LoR), real-or-random (RoR), find-then-guess (FtG), semantische Sicherheit; integrity of ciphertexts (INT-CTXT)
• pseudorandom generator (PRG), pseudorandom function (PRF), pseudorandom permutation (PRP); Public-Key-Verfahren
• Modes of operation (Counter Mode, CBC), hybride Verschlüsselung

Qualfikationsziele

Ziel der Lehrveranstaltung ist das Kennenlernen und Anwenden von formalen Methoden zum Beurteilen der Sicherheit kryptographischer Verfahren, speziell auch das Kennenlernen von verschiedenen Sicherheitsbegriffen und grundlegenden Konstruktionen für die Verschlüsselung.