Optimal Asymmetric Encryption Padding - Versionsgeschichte

PerfektesChaos: tk kl

2023-06-29T15:49:55Z

tk kl

InternetArchiveBot: InternetArchiveBot hat 1 Archivlink(s) ergänzt und 0 Link(s) als defekt/tot markiert.) #IABot (v2.0.9.2

2022-12-24T02:56:06Z

InternetArchiveBot hat 1 Archivlink(s) ergänzt und 0 Link(s) als defekt/tot markiert.) #IABot (v2.0.9.2

← Nächstältere Version		Version vom 24. Dezember 2022, 04:56 Uhr
Zeile 1:		Zeile 1:
	'''Optimal Asymmetric Encryption Padding''', auf Deutsch etwa ''Optimales asymmetrisches Verschlüsselungs-Padding'', oft auch abgekürzt als '''OAEP''', ist ein [[Kryptographie\|kryptographisches]] [[Padding (Informatik)\|Paddingverfahren]]. Es ist eine spezielle Form eines [[Feistelchiffre\|Feistelnetzwerks]], mit welchem im [[Zufallsorakel]]-Modell aus einer beliebigen [[Einwegfunktion#Einwegfunktionen mit Falltür (Trapdoor-Einwegfunktionen)\|Falltürpermutation]] ein gegen [[Ciphertext Indistinguishability#Definition von IND-CPA\|Gewählter-Klartext-Angriffe]] semantisch sicheres Verschlüsselungsverfahren gebaut werden kann. Wenn OAEP mit der Falltürpermutation RSA verwendet wird, ist das nun RSA-OAEP genannte Verfahren sogar sicher gegen Gewähltes-Chiffrat-Angriffe ([[IND-CCA]]). Das Verfahren wurde 1994 von [[Mihir Bellare]] und [[Phillip Rogaway]] veröffentlicht.<ref name="BR">{{Literatur \| Autor=[[Mihir Bellare]] und [[Phillip Rogaway]] \| Titel=Optimal Asymmetric Encryption — How to encrypt with RSA \| Sammelwerk=EUROCRYPT 94 \| Reihe=Lecture Notes in Computer Science \| Band=vol. 950 \| Verlag=Springer \| Jahr=1994 \| Seiten=92–111 \| Online=http://cseweb.ucsd.edu/~mihir/papers/oae.pdf}}</ref>		'''Optimal Asymmetric Encryption Padding''', auf Deutsch etwa ''Optimales asymmetrisches Verschlüsselungs-Padding'', oft auch abgekürzt als '''OAEP''', ist ein [[Kryptographie\|kryptographisches]] [[Padding (Informatik)\|Paddingverfahren]]. Es ist eine spezielle Form eines [[Feistelchiffre\|Feistelnetzwerks]], mit welchem im [[Zufallsorakel]]-Modell aus einer beliebigen [[Einwegfunktion#Einwegfunktionen mit Falltür (Trapdoor-Einwegfunktionen)\|Falltürpermutation]] ein gegen [[Ciphertext Indistinguishability#Definition von IND-CPA\|Gewählter-Klartext-Angriffe]] semantisch sicheres Verschlüsselungsverfahren gebaut werden kann. Wenn OAEP mit der Falltürpermutation RSA verwendet wird, ist das nun RSA-OAEP genannte Verfahren sogar sicher gegen Gewähltes-Chiffrat-Angriffe ([[IND-CCA]]). Das Verfahren wurde 1994 von [[Mihir Bellare]] und [[Phillip Rogaway]] veröffentlicht.<ref name="BR">{{Literatur \| Autor=[[Mihir Bellare]] und [[Phillip Rogaway]] \| Titel=Optimal Asymmetric Encryption — How to encrypt with RSA \| Sammelwerk=EUROCRYPT 94 \| Reihe=Lecture Notes in Computer Science \| Band=vol. 950 \| Verlag=Springer \| Jahr=1994 \| Seiten=92–111 \| Online=http://cseweb.ucsd.edu/~mihir/papers/oae.pdf }} {{Webarchiv\|url=http://cseweb.ucsd.edu/~mihir/papers/oae.pdf \|wayback=20181105145454 \|text=Optimal Asymmetric Encryption — How to encrypt with RSA \|archiv-bot=2022-12-24 02:56:06 InternetArchiveBot }}</ref>

	== Verfahren (Grundvariante) ==		== Verfahren (Grundvariante) ==

Leyo: falschen Freund Referenzen (≠ references) ersetzt

2022-10-29T23:54:03Z

falschen Freund Referenzen (≠ references) ersetzt

← Nächstältere Version		Version vom 30. Oktober 2022, 01:54 Uhr
Zeile 42:		Zeile 42:
	Bei der Standardisierung wurde allerdings eine Änderung vorgenommen, durch die das Verfahren nicht mehr beweisbar sicher ist: Um das oben angesprochene Wiederholen des OAEP-Encodings zu vermeiden wurde festgelegt, dass das Ergebnis von OAEP um 8 Bit kürzer sein muss als der RSA-Modulus; die ersten 8 Bit werden mit 0 aufgefüllt. Der Empfänger muss beim Entschlüsseln überprüfen, ob die ersten 8 Bit den Wert 0 haben, und abbrechen, falls nicht. Falls ein Angreifer unterscheiden kann, ob eine Entschlüsselung aus diesem oder aus einem anderen Grund abgebrochen wurde, gibt es einen Angriff, der ohne den geheimen Schlüssel den kompletten Klartext zurückgewinnt.<ref name="Manger" /> Dafür benötigt er nur ca. 1000 Anfragen an ein Fehlerorakel, das lediglich ausgibt, ob und aus welchem Grund ein Entschlüsselungsversuch gescheitert ist. Solche Orakel können beispielsweise bei [[Transport Layer Security\|TLS/SSL]]-Verbindungen auftreten, dort wurde der Angriff auch in der Praxis durchgeführt.		Bei der Standardisierung wurde allerdings eine Änderung vorgenommen, durch die das Verfahren nicht mehr beweisbar sicher ist: Um das oben angesprochene Wiederholen des OAEP-Encodings zu vermeiden wurde festgelegt, dass das Ergebnis von OAEP um 8 Bit kürzer sein muss als der RSA-Modulus; die ersten 8 Bit werden mit 0 aufgefüllt. Der Empfänger muss beim Entschlüsseln überprüfen, ob die ersten 8 Bit den Wert 0 haben, und abbrechen, falls nicht. Falls ein Angreifer unterscheiden kann, ob eine Entschlüsselung aus diesem oder aus einem anderen Grund abgebrochen wurde, gibt es einen Angriff, der ohne den geheimen Schlüssel den kompletten Klartext zurückgewinnt.<ref name="Manger" /> Dafür benötigt er nur ca. 1000 Anfragen an ein Fehlerorakel, das lediglich ausgibt, ob und aus welchem Grund ein Entschlüsselungsversuch gescheitert ist. Solche Orakel können beispielsweise bei [[Transport Layer Security\|TLS/SSL]]-Verbindungen auftreten, dort wurde der Angriff auch in der Praxis durchgeführt.

	== ~~Referenzen~~ ==		== Einzelnachweise ==
	<references>		<references>
	<ref name="FOPS">{{Literatur		<ref name="FOPS">{{Literatur

TiMauzi: /* RSA-OAEP */

2021-08-10T01:34:53Z

RSA-OAEP

← Nächstältere Version		Version vom 10. August 2021, 03:34 Uhr
Zeile 39:		Zeile 39:
	Da das Ergebnis des OAEP-Encodings eine Zahl zwischen 0 und <math>2^n</math> ist, der <math>n</math>-bit RSA-Modulus <math>N</math> aber kleiner als <math>2^n</math> ist, kann es vorkommen, dass das Ergebnis des OAEP-Encodings einen größeren numerischen Wert hat als der RSA-Modulus. Dies darf aber nicht passieren, da in diesem Fall die Entschlüsselung nicht mehr eindeutig ist. Daher muss in einem solchen Fall das OAEP-Encoding mit neuem Zufall <math>r</math> wiederholt werden.		Da das Ergebnis des OAEP-Encodings eine Zahl zwischen 0 und <math>2^n</math> ist, der <math>n</math>-bit RSA-Modulus <math>N</math> aber kleiner als <math>2^n</math> ist, kann es vorkommen, dass das Ergebnis des OAEP-Encodings einen größeren numerischen Wert hat als der RSA-Modulus. Dies darf aber nicht passieren, da in diesem Fall die Entschlüsselung nicht mehr eindeutig ist. Daher muss in einem solchen Fall das OAEP-Encoding mit neuem Zufall <math>r</math> wiederholt werden.

	RSA-OAEP wurde in [[PKCS#1]] und RFC 3447 standardisiert, wobei die verwendete Hashfunktion ein Parameter des Verfahrens ist, also nicht festgelegt wurde. Unter diesen Umständen, also ohne Zufallsorakel, ist RSA-OAEP unter der [[Phi-Hiding-Annahme]] IND-CPA sicher, falls die verwendete Hashfunktion ''t-wise independent'' ist.<ref name="KONS" />		RSA-OAEP wurde in [[Public-Key Cryptography Standards\|PKCS#1]] und RFC 3447 standardisiert, wobei die verwendete Hashfunktion ein Parameter des Verfahrens ist, also nicht festgelegt wurde. Unter diesen Umständen, also ohne Zufallsorakel, ist RSA-OAEP unter der [[Phi-Hiding-Annahme]] IND-CPA sicher, falls die verwendete Hashfunktion ''t-wise independent'' ist.<ref name="KONS" />
	Bei der Standardisierung wurde allerdings eine Änderung vorgenommen, durch die das Verfahren nicht mehr beweisbar sicher ist: Um das oben angesprochene Wiederholen des OAEP-Encodings zu vermeiden wurde festgelegt, dass das Ergebnis von OAEP um 8 Bit kürzer sein muss als der RSA-Modulus; die ersten 8 Bit werden mit 0 aufgefüllt. Der Empfänger muss beim Entschlüsseln überprüfen, ob die ersten 8 Bit den Wert 0 haben, und abbrechen, falls nicht. Falls ein Angreifer unterscheiden kann, ob eine Entschlüsselung aus diesem oder aus einem anderen Grund abgebrochen wurde, gibt es einen Angriff, der ohne den geheimen Schlüssel den kompletten Klartext zurückgewinnt.<ref name="Manger" /> Dafür benötigt er nur ca. 1000 Anfragen an ein Fehlerorakel, das lediglich ausgibt, ob und aus welchem Grund ein Entschlüsselungsversuch gescheitert ist. Solche Orakel können beispielsweise bei [[Transport Layer Security\|TLS/SSL]]-Verbindungen auftreten, dort wurde der Angriff auch in der Praxis durchgeführt.		Bei der Standardisierung wurde allerdings eine Änderung vorgenommen, durch die das Verfahren nicht mehr beweisbar sicher ist: Um das oben angesprochene Wiederholen des OAEP-Encodings zu vermeiden wurde festgelegt, dass das Ergebnis von OAEP um 8 Bit kürzer sein muss als der RSA-Modulus; die ersten 8 Bit werden mit 0 aufgefüllt. Der Empfänger muss beim Entschlüsseln überprüfen, ob die ersten 8 Bit den Wert 0 haben, und abbrechen, falls nicht. Falls ein Angreifer unterscheiden kann, ob eine Entschlüsselung aus diesem oder aus einem anderen Grund abgebrochen wurde, gibt es einen Angriff, der ohne den geheimen Schlüssel den kompletten Klartext zurückgewinnt.<ref name="Manger" /> Dafür benötigt er nur ca. 1000 Anfragen an ein Fehlerorakel, das lediglich ausgibt, ob und aus welchem Grund ein Entschlüsselungsversuch gescheitert ist. Solche Orakel können beispielsweise bei [[Transport Layer Security\|TLS/SSL]]-Verbindungen auftreten, dort wurde der Angriff auch in der Praxis durchgeführt.

TiMauzi: /* RSA-OAEP */ Links korrigiert

2021-08-10T01:34:09Z

RSA-OAEP: Links korrigiert

← Nächstältere Version		Version vom 10. August 2021, 03:34 Uhr
Zeile 39:		Zeile 39:
	Da das Ergebnis des OAEP-Encodings eine Zahl zwischen 0 und <math>2^n</math> ist, der <math>n</math>-bit RSA-Modulus <math>N</math> aber kleiner als <math>2^n</math> ist, kann es vorkommen, dass das Ergebnis des OAEP-Encodings einen größeren numerischen Wert hat als der RSA-Modulus. Dies darf aber nicht passieren, da in diesem Fall die Entschlüsselung nicht mehr eindeutig ist. Daher muss in einem solchen Fall das OAEP-Encoding mit neuem Zufall <math>r</math> wiederholt werden.		Da das Ergebnis des OAEP-Encodings eine Zahl zwischen 0 und <math>2^n</math> ist, der <math>n</math>-bit RSA-Modulus <math>N</math> aber kleiner als <math>2^n</math> ist, kann es vorkommen, dass das Ergebnis des OAEP-Encodings einen größeren numerischen Wert hat als der RSA-Modulus. Dies darf aber nicht passieren, da in diesem Fall die Entschlüsselung nicht mehr eindeutig ist. Daher muss in einem solchen Fall das OAEP-Encoding mit neuem Zufall <math>r</math> wiederholt werden.

	RSA-OAEP wurde in [[PKCS]]#1 und RFC 3447 standardisiert, wobei die verwendete Hashfunktion ein Parameter des Verfahrens ist, also nicht festgelegt wurde. Unter diesen Umständen, also ohne Zufallsorakel, ist RSA-OAEP unter der [[Phi-~~hiding~~ Annahme]] IND-CPA sicher, falls die verwendete Hashfunktion ''t-wise independent'' ist.<ref name="KONS" />		RSA-OAEP wurde in [[PKCS#1]] und RFC 3447 standardisiert, wobei die verwendete Hashfunktion ein Parameter des Verfahrens ist, also nicht festgelegt wurde. Unter diesen Umständen, also ohne Zufallsorakel, ist RSA-OAEP unter der [[Phi-Hiding-Annahme]] IND-CPA sicher, falls die verwendete Hashfunktion ''t-wise independent'' ist.<ref name="KONS" />
	Bei der Standardisierung wurde allerdings eine Änderung vorgenommen, durch die das Verfahren nicht mehr beweisbar sicher ist: Um das oben angesprochene Wiederholen des OAEP-Encodings zu vermeiden wurde festgelegt, dass das Ergebnis von OAEP um 8 Bit kürzer sein muss als der RSA-Modulus; die ersten 8 Bit werden mit 0 aufgefüllt. Der Empfänger muss beim Entschlüsseln überprüfen, ob die ersten 8 Bit den Wert 0 haben, und abbrechen, falls nicht. Falls ein Angreifer unterscheiden kann, ob eine Entschlüsselung aus diesem oder aus einem anderen Grund abgebrochen wurde, gibt es einen Angriff, der ohne den geheimen Schlüssel den kompletten Klartext zurückgewinnt.<ref name="Manger" /> Dafür benötigt er nur ca. 1000 Anfragen an ein Fehlerorakel, das lediglich ausgibt, ob und aus welchem Grund ein Entschlüsselungsversuch gescheitert ist. Solche Orakel können beispielsweise bei [[Transport Layer Security\|TLS/SSL]]-Verbindungen auftreten, dort wurde der Angriff auch in der Praxis durchgeführt.		Bei der Standardisierung wurde allerdings eine Änderung vorgenommen, durch die das Verfahren nicht mehr beweisbar sicher ist: Um das oben angesprochene Wiederholen des OAEP-Encodings zu vermeiden wurde festgelegt, dass das Ergebnis von OAEP um 8 Bit kürzer sein muss als der RSA-Modulus; die ersten 8 Bit werden mit 0 aufgefüllt. Der Empfänger muss beim Entschlüsseln überprüfen, ob die ersten 8 Bit den Wert 0 haben, und abbrechen, falls nicht. Falls ein Angreifer unterscheiden kann, ob eine Entschlüsselung aus diesem oder aus einem anderen Grund abgebrochen wurde, gibt es einen Angriff, der ohne den geheimen Schlüssel den kompletten Klartext zurückgewinnt.<ref name="Manger" /> Dafür benötigt er nur ca. 1000 Anfragen an ein Fehlerorakel, das lediglich ausgibt, ob und aus welchem Grund ein Entschlüsselungsversuch gescheitert ist. Solche Orakel können beispielsweise bei [[Transport Layer Security\|TLS/SSL]]-Verbindungen auftreten, dort wurde der Angriff auch in der Praxis durchgeführt.

Orthographus: Komma

2021-02-20T14:56:30Z

Komma

← Nächstältere Version		Version vom 20. Februar 2021, 16:56 Uhr
Zeile 2:		Zeile 2:

	== Verfahren (Grundvariante) ==		== Verfahren (Grundvariante) ==
	[[Datei:Oaep-diagram-20080305.png\|miniatur\|300px\|Ablauf der OAEP-Schemas in der CCA-Variante (siehe Abschnitt ''Varianten''). In der Grundversion des Verfahrens ist ''k<sub>1</sub>=0'', d. h. es werden keine Nullen angehängt.<br />Die Ausgabe ''X, Y'' dient als Eingabewert für die Falltürpermutation ''f''.]]		[[Datei:Oaep-diagram-20080305.png\|miniatur\|300px\|Ablauf der OAEP-Schemas in der CCA-Variante (siehe Abschnitt ''Varianten''). In der Grundversion des Verfahrens ist ''k<sub>1</sub>=0'', d. h., es werden keine Nullen angehängt.<br />Die Ausgabe ''X, Y'' dient als Eingabewert für die Falltürpermutation ''f''.]]
	Es sei <math>n</math> ein Sicherheitsparameter, und <math>k_0</math> so groß, dass ein Angreifer nur deutlich weniger als <math>2^{k_0}</math> Rechenschritte ausführen kann.		Es sei <math>n</math> ein Sicherheitsparameter, und <math>k_0</math> so groß, dass ein Angreifer nur deutlich weniger als <math>2^{k_0}</math> Rechenschritte ausführen kann.

Dingens5: Klarstellung Varianten/Schema

2019-03-22T11:56:45Z

Klarstellung Varianten/Schema

← Nächstältere Version		Version vom 22. März 2019, 13:56 Uhr
Zeile 1:		Zeile 1:
	'''Optimal Asymmetric Encryption Padding''', auf Deutsch etwa ''Optimales asymmetrisches Verschlüsselungs-Padding'', oft auch abgekürzt als '''OAEP''', ist ein [[Kryptographie\|kryptographisches]] [[Padding (Informatik)\|Paddingverfahren]]. Es ist eine spezielle Form eines [[Feistelchiffre\|Feistelnetzwerks]], mit welchem im [[Zufallsorakel]]-Modell aus einer beliebigen [[Einwegfunktion#Einwegfunktionen mit Falltür (Trapdoor-Einwegfunktionen)\|Falltürpermutation]] ein gegen [[Ciphertext Indistinguishability#Definition von IND-CPA\|Gewählter-Klartext-Angriffe]] semantisch sicheres Verschlüsselungsverfahren gebaut werden kann. Wenn OAEP mit der Falltürpermutation RSA verwendet wird, ist das nun RSA-OAEP genannte Verfahren sogar sicher gegen Gewähltes-Chiffrat-Angriffe ([[IND-CCA]]). Das Verfahren wurde 1994 von [[Mihir Bellare]] und [[Phillip Rogaway]] veröffentlicht.<ref name="BR">{{Literatur \| Autor=[[Mihir Bellare]] und [[Phillip Rogaway]] \| Titel=Optimal Asymmetric Encryption — How to encrypt with RSA \| Sammelwerk=EUROCRYPT 94 \| Reihe=Lecture Notes in Computer Science \| Band=vol. 950 \| Verlag=Springer \| Jahr=1994 \| Seiten=92–111 \| Online=http://cseweb.ucsd.edu/~mihir/papers/oae.pdf}}</ref>		'''Optimal Asymmetric Encryption Padding''', auf Deutsch etwa ''Optimales asymmetrisches Verschlüsselungs-Padding'', oft auch abgekürzt als '''OAEP''', ist ein [[Kryptographie\|kryptographisches]] [[Padding (Informatik)\|Paddingverfahren]]. Es ist eine spezielle Form eines [[Feistelchiffre\|Feistelnetzwerks]], mit welchem im [[Zufallsorakel]]-Modell aus einer beliebigen [[Einwegfunktion#Einwegfunktionen mit Falltür (Trapdoor-Einwegfunktionen)\|Falltürpermutation]] ein gegen [[Ciphertext Indistinguishability#Definition von IND-CPA\|Gewählter-Klartext-Angriffe]] semantisch sicheres Verschlüsselungsverfahren gebaut werden kann. Wenn OAEP mit der Falltürpermutation RSA verwendet wird, ist das nun RSA-OAEP genannte Verfahren sogar sicher gegen Gewähltes-Chiffrat-Angriffe ([[IND-CCA]]). Das Verfahren wurde 1994 von [[Mihir Bellare]] und [[Phillip Rogaway]] veröffentlicht.<ref name="BR">{{Literatur \| Autor=[[Mihir Bellare]] und [[Phillip Rogaway]] \| Titel=Optimal Asymmetric Encryption — How to encrypt with RSA \| Sammelwerk=EUROCRYPT 94 \| Reihe=Lecture Notes in Computer Science \| Band=vol. 950 \| Verlag=Springer \| Jahr=1994 \| Seiten=92–111 \| Online=http://cseweb.ucsd.edu/~mihir/papers/oae.pdf}}</ref>

	== Verfahren ==		== Verfahren (Grundvariante) ==
	[[Datei:Oaep-diagram-20080305.png\|miniatur\|300px\|Ablauf der OAEP Schemas. In der Grundversion des Verfahrens ist ''k<sub>1</sub>=0''.<br />Die Ausgabe ''X, Y'' dient als Eingabewert für die Falltürpermutation ''f''.]]		[[Datei:Oaep-diagram-20080305.png\|miniatur\|300px\|Ablauf der OAEP-Schemas in der CCA-Variante (siehe Abschnitt ''Varianten''). In der Grundversion des Verfahrens ist ''k<sub>1</sub>=0'', d. h. es werden keine Nullen angehängt.<br />Die Ausgabe ''X, Y'' dient als Eingabewert für die Falltürpermutation ''f''.]]
	Es sei <math>n</math> ein Sicherheitsparameter, und <math>k_0</math> so groß, dass ein Angreifer nur deutlich weniger als <math>2^{k_0}</math> Rechenschritte ausführen kann.		Es sei <math>n</math> ein Sicherheitsparameter, und <math>k_0</math> so groß, dass ein Angreifer nur deutlich weniger als <math>2^{k_0}</math> Rechenschritte ausführen kann.

Dingens5: gewählt bezieht sich nicht auf den Angriff

2019-03-15T16:37:45Z

gewählt bezieht sich nicht auf den Angriff

← Nächstältere Version		Version vom 15. März 2019, 18:37 Uhr
Zeile 1:		Zeile 1:
	'''Optimal Asymmetric Encryption Padding''', auf Deutsch etwa ''Optimales asymmetrisches Verschlüsselungs-Padding'', oft auch abgekürzt als '''OAEP''', ist ein [[Kryptographie\|kryptographisches]] [[Padding (Informatik)\|Paddingverfahren]]. Es ist eine spezielle Form eines [[Feistelchiffre\|Feistelnetzwerks]], mit welchem im [[Zufallsorakel]]-Modell aus einer beliebigen [[Einwegfunktion#Einwegfunktionen mit Falltür (Trapdoor-Einwegfunktionen)\|Falltürpermutation]] ein gegen [[Ciphertext Indistinguishability#Definition von IND-CPA\|~~Gewählte~~-Klartext-Angriffe]] semantisch sicheres Verschlüsselungsverfahren gebaut werden kann. Wenn OAEP mit der Falltürpermutation RSA verwendet wird, ist das nun RSA-OAEP genannte Verfahren sogar sicher gegen ~~Gewählte~~-Chiffrat-Angriffe ([[IND-CCA]]). Das Verfahren wurde 1994 von [[Mihir Bellare]] und [[Phillip Rogaway]] veröffentlicht.<ref name="BR">{{Literatur \| Autor=[[Mihir Bellare]] und [[Phillip Rogaway]] \| Titel=Optimal Asymmetric Encryption — How to encrypt with RSA \| Sammelwerk=EUROCRYPT 94 \| Reihe=Lecture Notes in Computer Science \| Band=vol. 950 \| Verlag=Springer \| Jahr=1994 \| Seiten=92–111 \| Online=http://cseweb.ucsd.edu/~mihir/papers/oae.pdf}}</ref>		'''Optimal Asymmetric Encryption Padding''', auf Deutsch etwa ''Optimales asymmetrisches Verschlüsselungs-Padding'', oft auch abgekürzt als '''OAEP''', ist ein [[Kryptographie\|kryptographisches]] [[Padding (Informatik)\|Paddingverfahren]]. Es ist eine spezielle Form eines [[Feistelchiffre\|Feistelnetzwerks]], mit welchem im [[Zufallsorakel]]-Modell aus einer beliebigen [[Einwegfunktion#Einwegfunktionen mit Falltür (Trapdoor-Einwegfunktionen)\|Falltürpermutation]] ein gegen [[Ciphertext Indistinguishability#Definition von IND-CPA\|Gewählter-Klartext-Angriffe]] semantisch sicheres Verschlüsselungsverfahren gebaut werden kann. Wenn OAEP mit der Falltürpermutation RSA verwendet wird, ist das nun RSA-OAEP genannte Verfahren sogar sicher gegen Gewähltes-Chiffrat-Angriffe ([[IND-CCA]]). Das Verfahren wurde 1994 von [[Mihir Bellare]] und [[Phillip Rogaway]] veröffentlicht.<ref name="BR">{{Literatur \| Autor=[[Mihir Bellare]] und [[Phillip Rogaway]] \| Titel=Optimal Asymmetric Encryption — How to encrypt with RSA \| Sammelwerk=EUROCRYPT 94 \| Reihe=Lecture Notes in Computer Science \| Band=vol. 950 \| Verlag=Springer \| Jahr=1994 \| Seiten=92–111 \| Online=http://cseweb.ucsd.edu/~mihir/papers/oae.pdf}}</ref>

	== Verfahren ==		== Verfahren ==

82.48.54.149: /* Verfahren */

2018-07-26T17:20:46Z

Verfahren

← Nächstältere Version		Version vom 26. Juli 2018, 19:20 Uhr
Zeile 3:		Zeile 3:
	== Verfahren ==		== Verfahren ==
	[[Datei:Oaep-diagram-20080305.png\|miniatur\|300px\|Ablauf der OAEP Schemas. In der Grundversion des Verfahrens ist ''k<sub>1</sub>=0''.<br />Die Ausgabe ''X, Y'' dient als Eingabewert für die Falltürpermutation ''f''.]]		[[Datei:Oaep-diagram-20080305.png\|miniatur\|300px\|Ablauf der OAEP Schemas. In der Grundversion des Verfahrens ist ''k<sub>1</sub>=0''.<br />Die Ausgabe ''X, Y'' dient als Eingabewert für die Falltürpermutation ''f''.]]
	Es sei <math>n</math> ein Sicherheitsparameter, und <math>k_0</math> so, dass ein Angreifer nur deutlich weniger als <math>2^{k_0}</math> Rechenschritte ausführen kann.		Es sei <math>n</math> ein Sicherheitsparameter, und <math>k_0</math> so groß, dass ein Angreifer nur deutlich weniger als <math>2^{k_0}</math> Rechenschritte ausführen kann.

	Weiter seien <math>F</math> eine Familie von Falltürpermutationen <math>f:\{0,1\}^n\mapsto\{0,1\}^n</math> auf Nachrichten mit <math>n</math> [[Bit]]s, und <math>k=n-k_0</math> die Länge der Nachrichten, welche übertragen werden sollen.		Weiter seien <math>F</math> eine Familie von Falltürpermutationen <math>f:\{0,1\}^n\mapsto\{0,1\}^n</math> auf Nachrichten mit <math>n</math> [[Bit]]s, und <math>k=n-k_0</math> die Länge der Nachrichten, welche übertragen werden sollen.

141.83.42.10: /* Verfahren */

2017-05-13T11:38:32Z

Verfahren

← Nächstältere Version		Version vom 13. Mai 2017, 13:38 Uhr
Zeile 5:		Zeile 5:
	Es sei <math>n</math> ein Sicherheitsparameter, und <math>k_0</math> so, dass ein Angreifer nur deutlich weniger als <math>2^{k_0}</math> Rechenschritte ausführen kann.		Es sei <math>n</math> ein Sicherheitsparameter, und <math>k_0</math> so, dass ein Angreifer nur deutlich weniger als <math>2^{k_0}</math> Rechenschritte ausführen kann.

	~~Weiters~~ seien <math>F</math> eine Familie von Falltürpermutationen <math>f:\{0,1\}^n\mapsto\{0,1\}^n</math> auf Nachrichten mit <math>n</math> [[Bit]]s, und <math>k=n-k_0</math> die Länge der Nachrichten, welche übertragen werden sollen.		Weiter seien <math>F</math> eine Familie von Falltürpermutationen <math>f:\{0,1\}^n\mapsto\{0,1\}^n</math> auf Nachrichten mit <math>n</math> [[Bit]]s, und <math>k=n-k_0</math> die Länge der Nachrichten, welche übertragen werden sollen.

	Schließlich seien <math>G:\{0,1\}^{k_0}\mapsto\{0,1\}^k</math> und <math>H:\{0,1\}^k\mapsto\{0,1\}^{k_0}</math> [[kryptographische Hashfunktion]]en.		Schließlich seien <math>G:\{0,1\}^{k_0}\mapsto\{0,1\}^k</math> und <math>H:\{0,1\}^k\mapsto\{0,1\}^{k_0}</math> [[kryptographische Hashfunktion]]en.