Cryptography Reference
In-Depth Information
Abschnitt 4.10). In der R-CTR-Bebtriebsart wird dann genau wie im Vernamsystem ver-
schlüsselt, nur dass man statt einer wirklich zufälligen Bitfolge die pseudozufällige wählt.
Während dies keine informationstheoretische Sicherheit liefern kann, so doch Sicherheit
bzgl. ressourcenbeschränkter Angreifer. Dies werden wir in den nächsten Abschnitten
präzisieren und beweisen.
5.3
Algorithmische Sicherheit symmetrischer Kryptoschemen
Um die algorithmische Sicherheit von symmetrischen Kryptoschemen zu definieren, ver-
schaffen wir uns, wie bereits in Abschnitt 4.7, zunächst Klarheit über das Bedrohungs-
szenarium sowie das Sicherheitsziel (siehe auch Abschnitt 2.3 und 2.4).
In Szenarium 3 wird bereits erwähnt, dass Eva Zugriff auf die Verschlüsselungsmaschi-
nerie hat und sich Klartexte ihrer Wahl verschlüsseln lassen kann. Mit anderen Worten
gehen wir, wie bereits für Block-Kryptosysteme, von
Angriffen mit Klartextwahl
aus
(siehe auch Abschnitt 2.4.1). Wir nehmen auch wieder an, dass Eva nur eine feste, be-
schränkte Anzahl von Rechenoperationen durchführen kann (siehe Abschnitt 2.4.2).
Was das Sicherheitsziel angeht, also die Frage, inwieweit die zu übermittelnden Klar-
texte gegen Aufdeckung geschützt werden müssen/können, ist zunächst klar, dass Eva,
nachdem sie sich einige Klartexte verschlüsseln gelassen hat, nicht auf den Schlüssel
schließen können sollte. Auch sollte sie für von Alice neu gesendete Klartexte, anhand
der Chiffretexte keine Information über die Klartexte erhalten, also weder den gesamten
Klartext bestimmen können, noch das erste Bit, die Parität des Klartextes oder sonst
eine nicht-triviale Information über den Klartext. Insbesondere - und das ist neu im
Vergleich zu den Block-Kryptosystemen - sollte Eva einem Chiffretext nicht ansehen
können, ob der zugehörige Klartext zuvor bereits gesendet wurde. Das mehrfache Senden
derselben Klartexte sollte also nicht »auiegen«. Wir sollten uns auch nicht zufrieden
geben, wenn Eva derartige Informationen mit »nicht geringer« Erfolgswahrscheinlichkeit,
etwa 1/100, erhalten könnte. In einem Punkt allerdings gestatten wir Eva Informationen
über den Klartext zu bekommen: Wir verlangen nicht, dass die Länge des Klartextes ge-
heim bleibt. Da Alice Nachrichten beliebiger Länge versenden darf, muss mit der Länge
der Klartexte zwangsläufig auch die Länge der Chiffretexte wachsen, um eine eindeuti-
ge Entschlüsselung gewährleisten zu können (siehe auch Aufgabe 5.7.3). Um auch die
Länge von Klartexten geheim zu halten, müsste man sich ansonsten auf einen endlichen
Nachrichtenraum einschränken, was wir aber nicht tun wollen.
Aber wie formalisieren wir nun, dass Eva keine nicht-triviale Information über einen
von Alice übermittelten Klartext gewinnen können sollte (mit Ausnahme der Länge des
Klartextes)? Die Idee ist die folgende: Wir betrachten ein Kryptoschema als unsicher,
wenn es Eva mit realistischem Aufwand gelingt, nach einigen Anfragen an das Krypto-
schema zwei Klartexte zu erzeugen, deren Chiffretexte sie - gegebenenfalls nach weiteren
Klartext-Anfragen - zu unterscheiden vermag. Dies würde nämlich bedeuten, dass die
Chiffretexte Informationen über den Klartext preisgeben.
Diese Idee kann sehr anschaulich durch ein Spiel formalisiert werden, das Eva ge-
gen Charlie, dem Herausforderer (
challenger
) spielt, um ihn davon zu überzeugen, dass
das Kryptoschema unsicher ist. Das Spiel ist in Abbildung 5.4 veranschaulicht. Charlie
