Kapitel 2 Kryptografische Grundlagen PDF

Technische Universität München Kapitel 2 Kryptografische Grundlagen Ziel: Grundlagen zu kryptografischen Verfahren. (1) Kryptografie: Methoden zur Ver- und Entschlüsselung: Vorlesungsstoff (2) Kryptoanalyse: Wissenschaft von Methoden zur Entschlüsselung Beispiel einer legendären Chiffriermaschine: Enigma der Deutschen Wehrmacht, 2ter Weltkrieg 3 Walzen mit 26 Buchstaben des Alphabets. Walzen werden über elektrische Verkabelung verdreht. Eingabe eines Buchstaben: Walzen werden entsprechend der Verkabelung verdreht und erzeugen verschlüsselten Buchstaben. Walzen ändern Position bei jeder Eingabe: gleiche Eingabe führt zu unterschiedlicher Verschlüsselung! Clevere Konstruktion! 1940 in Bletchley Park von Alan Turing geknackt. Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 2: Kryptografische Grundlagen 1 Technische Universität München 2.1. Kryptografisches System (M, C, E, D, K) Menge der Klartexte m, über Alphabet M, m  M* , z.B. M= {0,1}. Menge der Kryptotexte c über dem Alphabet C, c  C* z.B. C={0,1}. K Menge der Schlüssel (engl. key), e, d  K, E = {Ee | Ee : M* → C* } Familie von Verschlüsselungsverfahren, D = {Dd | Dd : C* → M* } Familie von Entschlüsselungsverfahren. m  M* , Ee(m) = c , c  C*, dann existiert dK, so dass m = Dd(c) e d Verschlüsselte Daten m E D m c Verschlüsselung c = Ee(m) Entschlüsselung m = Dd(c) Frage: Kennen Sie Verfahren für E? Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 2: Kryptografische Grundlagen 2 Technische Universität München 2.2 Zwei Klassen von Verfahren: symmetrisch und asymmetrisch (1) Symmetrische Verfahren, Secret-Key Verfahren Verfahren E, D idR einfach und schnell zu berechnen. e, d sind gleich (symmetrisch) und geheim (Secret Key) Einsatzbeispiele: (1) Alice (A) sendet Nachricht m z.B. über das Internet an Bob (B): Alice kennt e: Internet Bob kennt e=d auch Ee(m) = c c De(c) = m (2) Alice speichert Daten m verschlüsselt in der Cloud oder lokal. 2a: Verschlüsseln mit e, Ee(m) = c , und speichern von c. 2b: Entschlüsseln von c mit Kenntnis von e, De(c) = m. Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 2: Kryptografische Grundlagen 3 Technische Universität München Beispiel Caesar-Chiffre: Abbildung von A,.., Z auf Restklassenring über {0, 1,…, 25}. K = {0, 1,…, 25}, e  K, e ist Verschiebeposition. Ee(m) = (m+e) mod 26 , De(c) = (c-e) mod 26 , Beispiel: m= ITSICHERHEIT, e =3 E3(8 19 18 8 2 7 4 17 7 4 8 19) = ? A B C D E F G H I J K L M N O P Q R S T U V W X Y Z 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 D E F G H I J K L M N O P Q R S T U V W X Y Z A B C 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 0 1 2 E3(8 19 18 8 2 7 4 17 7 4 8 19) = 11 22 21 11 5 10 7 20 10 7 11 22 = LWVLFK ….. Frage: Knacken ist schwer, denn es gibt viele Schlüssel (j, n)? Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 2: Kryptografische Grundlagen 4 Technische Universität München (2) Asymmetrische Verfahren, Public-Key Kryptografie Verfahren E, D basieren auf Zahlentheorie. Jede Entität (Person, Gerät,…) besitzt ein eigenes Schlüsselpaar, z.B. Bob B besitzt Paar: (eB, dB), Server S besitzt Paar (eS, dS) öffentlicher Schlüssel e, öffentliche Information, darf jeder sehen. privater Schlüssel d, z.B. dB ist nur Bob bekannt. Verschlüsselung: mit dem öffentlichen Schlüssel e von (e, d) Ee(m) = c Entschlüsselung: mit dem privaten Schlüssel d von (e, d) Dd(c) = m Bemerkung zur Benennung: Asymmetrisches Verfahren, weil e und d ungleich sind, Public-Key Kryptografie, weil Schlüssel e öffentlich ist. Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 2: Kryptografische Grundlagen 5 Technische Universität München Einsatzbeispiele für asymmetrische Verschlüsselung (1) Alice sendet Nachricht m an Bob, nur Bob soll Klartext m sehen. Alice besitzt Paar (eA, dA) Bob besitzt Paar (eB, dB) Verschlüsselung von m: Was wird benötigt? c= Entschlüsselung von c m= Frage: Szenario: A verschlüsselt m mit ihrem privaten Schlüssel dA : c‘ = EdA(m) Welche Aussage(n) sind wahr, welche falsch? (a) Bob kann c‘ mit seinem öffentlichen Schlüssel eB entschlüsseln. (b) Bob kann c‘ gar nicht entschlüsseln, nur Alice. (c) Bob kann c‘ mit seinem privaten Schlüssel dB entschlüsseln. (d) c‘ kann im Prinzip jeder entschlüsseln, m ist nicht vertraulich. Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 2: Kryptografische Grundlagen 6 Technische Universität München Einsatz asymmetrischer Verschlüsselung (Forts.) (2) Alice besitzt Schlüsselpaar (eA, dA). Alice speichert Datum m vertraulich für sich selbst ab. Sichere Speicherung: Verschlüsselung von m: c = Zugriff und Nutzung: Entschlüsselung von c: m= Bem. Die privaten Schlüssel müssen vertraulich verwaltet werden, Z.B. Passwort-geschützt auf Festplatte oder auf USB-Stick. Asymmetrische Verschlüsselung ist viel aufwändiger als symmetrische. Es werden deshalb idR nur kleine Datenvolumen mit asymmetrischen Verfahren verschlüsselt. Frage: Was sind mögliche Beispiele für solche Daten? Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 2: Kryptografische Grundlagen 7 Technische Universität München 2.3 Anforderungen an kryptografische Verfahren Kerckhoffs-Prinzip: Auguste Kerckhoffs,1883 Stärke des Verfahrens sollte nur von der Güte des geheimen Schlüssels abhängen! D.h. Sicherheit darf nicht von Geheimhaltung der Verfahren abhängen, keine Security by Obscurity! Konsequenz: Schlüsselraum muss sehr groß sein, damit ein Brute-Force Angriff nicht mit praktikablem Aufwand erfolgreich ist. Brute-Force Angriff: Durchprobieren aller möglichen Schlüssel. Beispiel: DES-Verfahren: 56 Bit Schlüssellänge (+ 8 Paritybits) Schlüsselraum: 256 = 72.057.594.037.927.936 Schlüssel Zu klein für heutige Rechnerleistung! Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 2: Kryptografische Grundlagen 8 Technische Universität München Anforderungen an Schlüssellängen: symmetrische Verfahren: Schlüssel  128 Bit, besser 256 Bit asymmetrische Verfahren: Schlüssel  3000 Bit ab 2023, bei RSA, z.B. 4096 bit Schlüssel  250 Bit bei ECC (Elliptic Curve Cryptography) Beispiele bekannter Verfahren: (1) Symmetrische Verfahren: AES Standard mit 128, 192, 256 Bit Schlüssel ChaCha20: 256 Bit Schlüssel (2) Asymmetrische Verfahren RSA, 1024, 2048, 4096, … Bit Schlüssel ECC (Elliptic Curve Cryptography), u.a. 160, 256, 512, … Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 2: Kryptografische Grundlagen 9 Technische Universität München 2.4 Symmetrische Kryptographie: Block- und Stromchiffren 2.4.1 Blockchiffre Klartext m wird in Blöcke 𝑚𝑖 fester Länge, z.B. 128 Bit, aufgeteilt. Gegeben Klartext m, wird aufgeteilt: m= m1 || m2 || … || mn Blockweises Verschlüsseln mit dem gleichen Schlüssel k. Verschlüsseln: 𝐸𝑘(𝑚) = c , wobei gilt: c = c1 || c2 || … || cn mit 𝑐𝑖=𝐸𝑘(𝑚𝑖). 𝑘 m1 c1 Entschlüsseln: 𝐷𝑘(𝑐) = m, mit 𝑚𝑖=𝐷𝑘(𝑐𝑖). m2 E𝑬 c2 m3 c3 Beispiel: AES-Verschlüsselung m4 c4 128 bit Blöcke, Schlüssel k 128 Bit, 256 Bit. Frage: Ist ein gleicher k für alle mi ein Sicherheitsproblem (j/n)? Gleiche mi ergeben gleiche ci. Ist das ein Problem (j/n)? Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 2: Kryptografische Grundlagen 10 Technische Universität München Blockchiffren erfordern Padding Padding: das ist das „Auffüllen” des m= IT-Sicherheit??? Klartextes, so dass dessen Länge ein 16 Byte (128 Bit) Vielfaches der Blockgröße ist. Das Padding wird beim Verschlüsseln k E hinzugefügt, beim Entschlüsseln entfernt. c Zu klären: wie unterscheidet man Padding von Content? Lösung: In der Praxis PKCS#7 Padding m = IT-Sicherheit 03 03 03 Auffüllen mit einer Anzahl von Byte mit jeweils gleichem Wert. m = IT-Sicherhei 04 04 04 04 Der Wert im Byte entspricht Anzahl der m = IT-Sicherhe 0505 05 05 05 hinzugefügten Bytes. Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 2: Kryptografische Grundlagen 11 Technische Universität München Designprinzipien für Blockchiffren: Diffusion: Jedes Klartext-Bit beeinflusst jedes Ciphertext-Bit. 58 50 42 34 26 18 10 2 60 52 44 36 28 20 12 4 62 54 46 38 30 22 14 6 Technik: Bitweise Permutation. 64 56 48 40 32 24 16 8 57 49 41 33 25 17 9 1 59 51 43 35 27 19 11 3 z.B. Bitpermutation beim DES-Verfahren 61 53 45 37 29 21 13 5 63 55 47 39 31 23 15 Konfusion: Verschleiert Zusammenhang: Schlüssel, Ciphertext Technik: nicht lineare Substitutionen: 𝑆 𝐴 ⊕ 𝐵 ≠ 𝑆 𝐴 ⊕ 𝑆(𝐵) z.B. S-Box im AES Verfahren Bem.: Diffusion u. Konfusion erzeugen Avalanche Effekt (Lawine): Kleine Änderung in der Eingabe (z.B. 1 Bit) haben große Auswirkungen auf die Ausgabe (z.B. jedes Bit ändert sich mit 50% Wahrscheinlichkeit) Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 2: Kryptografische Grundlagen 12 Technische Universität München 2.4.2 Fallbeispiel: AES (Advanced Encryption-Standard), seit 2002 NIST-Standard für symmetrische Verfahren: u.a. TLS, WhatsApp, … Blocklänge: 128 Bit Schlüssellängen: 128, 192 oder 256 Bit 128-Bit Eingaben als 4x4 Byte-Matrix repräsentiert: Ver. – bzw. Entschlüsselung: Mehrfaches Ausführen derselben Abfolge von Operationen auf dem Klartext (das wird Runden genannt) Abhängig von der Schlüssellänge durchläuft eine AES- Verschlüsselung eines Klartextes 10, 12, oder 14 Runden. AES gilt als sehr sicheres Verfahren. Starker Avalanche Effekt: Jedes Output-Bit hängt von der Eingabe und jedem Schlüsselbit ab. Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 2: Kryptografische Grundlagen 13 Technische Universität München Pro Runde werden Eingabe-Bits mit Schlüssel-Bits verknüpft: Konfusion durch nicht-lineare Substitution: jedes Eingabe-Byte durchläuft eine feste S- Box, (siehe Graphik Operation SubBytes) Diffusion: ShiftRows: zyklischer Links-Shift der Spalten MixColumns: Multiplikation jeder Spalte der 4x4 Matrix im GF(28) mit fester Matrix C. Verknüpft jedes Byte der Spalte mit jedem anderen der Spalte. Bem.: GF(28) endlicher Körper mit 256 Elementen. Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 2: Kryptografische Grundlagen 14 Technische Universität München SubBytes Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 2: Kryptografische Grundlagen 15 Technische Universität München 2.4.3 Stromchiffre Ziel: Verschlüsselung eines Klartext-Stroms: z.B. Sprache Verschlüsselung muss schnell sein: in der Praxis mit xor (⊕) Problem: xor ist keine starke Chiffre! Lösung: One-Time Pad, Vernam-Chiffre Für jeden Klartext-Strom wird eine individuelle Schlüsselfolge KS als pseudozufällige Folge von Bits erzeugt. Verschlüsselung eines Stroms m: m xor KS (bitweise xor) Die Schlüsselfolge KS hat die gleiche Länge wie der Klartext m. Schlüsselfolge KS 11001011100 11001011100 Schlüsselfolge KS Schlüsselfolge KS SchlüsselfolgeKS 10101010101 01100001001 10101010101 Klartext Chiffretext Klartext Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 2: Kryptografische Grundlagen 16 Technische Universität München Kern einer Stromchiffre: ‚gute‘ Schlüsselfolge KS Lösung in der Praxis: kryptografischer Pseudozufallszahlengenerator (CSPRNG) mit Seed- Wert k initialisiert, erzeugt Pseudozufallszahlenfolge KS Deterministischer Generierungsprozess bei gleichem Seed-Wert k. Konsequenz: Deterministische KS Generierung: mit Kenntnis von k kann KS rekonstruiert werden. Seed-Wert k muss geheim gehalten werden. Seed-Wert ist unabhängig von Nachrichtenlänge. z.B.: Seed als symmetrischer 128 bit Key k. 2 Ansätze für Stromchiffren: 1. Dedizierte Chiffre: z.B. ChaCha20 (RFC 8438), seit 2008. 2. Blockchiffre-basiert: CSPRNG durch eine Blockchiffre umgesetzt. Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 2: Kryptografische Grundlagen 17 Technische Universität München Geforderte Eigenschaft bei Stromchiffren: Unterschiedliche Klartexte m1, m2 erfordern unterschiedliche Schlüsselfolgen KS1, KS2 Angriffsszenario bei Verwendung der gleichen Schlüsselfolge KS Gegeben: m1 und m2 mit c1 = m1 ⊕ KS und c2 = m2 ⊕ KS Der Angreifer kenne c1 und c2 sowie m1, aber nicht m2 Angriff: Ziel: Kenntnis von m2 erlangen Angriffsschritte: Konsequenz: Symmetrischer Schlüssel k muss sich bei jeder Nachricht ändern! Dies wird z.B. durch Nutzung eines Zählers erreicht, Bsp. später. Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 2: Kryptografische Grundlagen 18 Technische Universität München 2.5 Betriebsmodi von Blockchiffren (ECB, CBC, CTR, GCM) (1) ECB Electronic Code Book Modus: Vgl. Folie 10 Vorteil: m1 𝑘 c1 Parallelisierung der Verschlüsselung m2 E𝑬 c2 keine Fehlerausbreitung m3 c3 m4 c4 Nachteil: Gleiche Klartext-Blöcke und gleicher k ergeben gleiche Chiffre- Blöcke: Muster in langen Nachrichten bleiben im Chiffretext erhalten Klartext ECB andere Modi Konsequenz: Eine sichere Blockchiffre kann im ECB-Modus angreifbar werden: Quelle: Statistische Analysen (Häufigkeitsverteilungen), Muster Wikipedia Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 2: Kryptografische Grundlagen 19 Technische Universität München (2) CBC – Cipher Block Chaining Modus Klartextblock xor mit vorherigem (chaining) Chiffretextblock verknüpfen. Benötigt wird ein Initialisierungsvektor IV, der ist nicht geheim. Prinzip: 𝑐𝑖 = 𝐸𝑘 𝑚𝑖  𝑐𝑖−1 , 𝑤𝑜𝑏𝑒𝑖 𝑐0 = 𝐼𝑉. Verschlüsselung 𝑚𝑖 = 𝐷𝑘 𝑐𝑖 𝑐𝑖−1 Entschlüsselung Vorlesung IT-Sicherheit, WS 23/24, C. Eckert, Kapitel 2: Kryptografische Grundlagen 20 Technische Universität München CBC-Modus (Forts.) Gleiche Klartextblöcke u. gleicher Schlüssel k ergeben ungleiche Chiffretextblöcke, falls 𝐼𝑉 unterschiedlich ist. IV zufällig wählen! CBC Modus ist wesentlich sicherer als der ECB Modus. Durch Verkettung ergibt sich aber eine Fehlerfortpflanzung. Die Fehlerfortpflanzung ist aber auf nur 2 Blöcke beschränkt. Beispiel-Szenario für Fehlerfortpflanzung: Seien 𝑐𝑖 , 𝑐𝑖+1. , 𝑐𝑖+2 von A korrekt verschlüsselte Blöcke. Verschlüsselte Blöcke sollen von A zu B übertragen werden. Bitfehler: Bei Übertragung von Block ci, trete ein Bitfehler auf: c‘i D.h. Entschlüsselung von c‘i durch B liefert fehlerhaften Block mi‘ Fortpflanzung: 𝐷𝑘 𝑐𝑖+1  𝑐′𝑖 = 𝑚𝑖+1 ‘ ist fehlerhafter 2ter Block. Entschlüsselung von 𝐷𝑘 𝑐𝑖+2 𝑐𝑖+1 = 𝑚𝑖+2 ist wieder korrekt! Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 2: Kryptografische Grundlagen 21 Technische Universität München Fehlerfortpflanzung Sei der Block c2 fehlerhaft, dann sind die entschlüsselten Klartextblöcke m2 und m3 fehlerhaft. Padding-Oracle Angriff: MitM Angriff IV, c1, c2 IV, c1‘, c2 Angriff im Detail in Übung Angreifer zeichnet auf: IV, c1, c2 error/ok Angreifer sendet veränderte c‘i an Server: Server agiert als Oracle Server prüft, ob korrektes Padding vorliegt: gibt ja/nein Antwort Mit der Antwort kann der Angreifer schrittweise den Klartext der Blöcke entziffern. Das kann er ohne den geheimen Key k zu kennen! Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 2: Kryptografische Grundlagen 22 Technische Universität München (3) CTR - Counter Mode Initialisierung eines Zählers ctr mit Zufallszahl Nonce. Zählerstand pro Block mi : ctr(i) = ctr(i-1) + 1 Verschlüsselung des i-ten Blockes: ci = mi ⊕ Ek(Nonce||ctr(i)). Entschlüsselung des i-ten Blockes: mi = ci ⊕ Ek(Nonce||ctr(i)). Beispiel: Verschlüsselung mit AES im CTR-Modus Verschlüsselung Entschlüsselung Nonce ctr Nonce ctr Nonce ctr Nonce ctr k AES k AES k AES k AES m1 m2 c1 c2 c1 c2 m1 m2 Frage: woran erinnert die Konstruktion? Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 2: Kryptografische Grundlagen 23 Technische Universität München (4) GCM - Galois/Counter Modus Verschlüsseln von Blöcken mi , Blocklänge 128 Bit Verschlüsseln durch Blockchiffre im CTR Modus. Authentisieren der verschlüsselten Daten durch Multiplikation im Galoiskörper GF(2128) → Urhebernachweis Eingaben: Klartext m, Schlüssel k, IV, ggf. zusätzlich noch assoziierte Daten (AD), z.B. Header-Daten GCM liefert auch Authentizität der assoziierten Daten AD GCM Modus implementiert die AEAD-Eigenschaft: AEAD (Authenticated Encryption with Associated Data) Modus. Authentizität des Ciphertextes (AE) und Authentizität assoziierter Daten (AD) Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 2: Kryptografische Grundlagen 24 Technische Universität München GCM Modus: AEAD-Eigenschaften umgesetzt Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 2: Kryptografische Grundlagen 25 Technische Universität München Bem.: Stromchiffren können mit Blockchiffren umgesetzt werden: Vom BSI empfohlen: Nutzung von AES im CTR-Modus Benötigter geheimer Seed-Wert ist geheimer AES-Schlüssel k. 128-bit Schlüsselfolge KS wird Verschlüsselung pro AES-Durchlauf generiert. Nonce ctr Nonce ctr Frage: Was stimmt? (a) Klartext wird mit AES k AES k AES k verschlüsselt. (b) Für schnelle Verschlüsselung kann KS vorab ohne Kenntnis des Klartextes erzeugt werden. (c) 128 Bitfolge KS ändert sich mit jedem AES-Durchlauf. Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 2: Kryptografische Grundlagen 26 Technische Universität München 2.6 Asymmetrische Kryptografie 2.6.1 Allgemeine Grundlagen Anforderung an asymmetrische Verfahren Für (𝑒, 𝑑) gilt: Dd(Ee(m)) = m, für alle Klartexte m. d ist der private Schlüssel und muss geheim bleiben. d kann aus e nicht effizient berechnet werden. Theoretische Basis: Einwegfunktion f : X → Y (1)  x  X gilt: f(x) ist effizient berechenbar und (2)  y  Y gilt, f-1(y)= x ist nicht effizient zu berechnen. Trapdoor-Einwegfunktion: mit Zusatzinformation sind Urbilder effizient berechenbar. Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 2: Kryptografische Grundlagen 27 Technische Universität München Beispiele: Basis der in der Praxis genutzten Verfahren (1) Faktorisierung: gegeben sei natürliche Zahl n, mit n = p*q, wobei p, q Primzahlen Einwegfunktion: f(p,q) = p*q = n ist einfach, Primfaktorzerlegungsproblem: f-1(n) = (p, q) ist schwer. Wird vom RSA-Verfahren genutzt (siehe nächste Folien) (2) Diskreter Logarithmus: gegeben p Primzahl, g ≤ p und y Einwegfunktion: f(x) = gx mod p = y ist einfach, Diskreter Logarithmus: x= f-1(y) = logg y mod p ist schwer. Wird von Diffie-Hellman (DH) Verfahren genutzt (siehe spätere Kap.) Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 2: Kryptografische Grundlagen 28 Technische Universität München 2.6.2 Fallbeispiel RSA-Verfahren (1978), Rivest, Shamir, Adleman Basis: Zahlentheorie (Fermat, Euler,..) Euler‘sche Phi-Funktion  (m) = a ggT(a,m) = 1  1 256 Bit nötig. Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 2: Kryptografische Grundlagen 37 Technische Universität München Seit 2016 Auswahlverfahren bei der NIST, um PQC-Kandidaten zu bewerten: 2022 wurden die ersten 4 Verfahren zur Standardisierung ausgewählt: Verschlüsselung und Schlüsselaustausch: CRYSTALS-KYBER (Lattice-basiert) Digitale Signatur CRYSTALS-DILITHIUM (Lattice-basiert) FALCON (Lattice-basiert) SPHINCS+ (Hash-basiert) Ausblick: Das BSI rechnet ab den 2030ger Jahren mit ausreichend großen QC. Das BSI empfiehlt hybride Verfahren einzusetzen: d.h. PQC in Kombination mit klassischen Algorithmen. Z.B. Schlüsselaustausch: die Geheimnisse der hybriden Verfahren werden kombiniert. Unternehmen mit Produkten mit langer Lebenszeit führen PQC bereits ein. Allgemein sind flexiblere Designs erforderlich: Kryptoagilität Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 2: Kryptografische Grundlagen 38

Kapitel 2 Kryptografische Grundlagen PDF

Document Details

Tags

Related

Summary

Full Transcript