Cryptography Reference
In-Depth Information
Definition 5.3.3 (Vorteil, Erfolg und Misserfolg eines Angreifers). Es sei
A
ein
l
-
Angreifer und
S
ein symmetrisches
l
-Kryptoschema. Der
Vorteil
,
Erfolg
und
Misserfolg
von
A
bezüglich
ist definiert durch:
adv
(
A,S
)=2
Prob
E
A
=1
−
S
1
2
,
suc
(
A,S
)=Prob
S
A
b
=1
=1
,
fail
(
A,S
)=Prob
S
A
b
=0
=1
.
In der Definition von Erfolg und Misserfolg sprechen wir, anders als in Abschnitt 4.7,
nun allerdings nicht mehr von einer »Realwelt« und einer »Zufallswelt« für den Fall
b
=1
bzw.
b
=0
, sondern von einer »
1
-Welt« bzw. einer »
0
-Welt«. Der Erfolg von
A
gibt also
die Wahrscheinlichkeit dafür an, dass, falls
A
in der
1
-Welt läuft,
A
dies auch erkennt.
Umgekehrt gibt der Misserfolg von
A
die Wahrscheinlichkeit dafür an, dass, falls
A
in
der
0
-Welt läuft,
A
irrtümlicherweise vermutet, in der
1
-Welt zu laufen.
Analog zum Abschnitt 4.7 zeigt man:
Lemma 5.3.1.
Es sei
l>
0
.Fürjeden
l
-Angreifer
A
auf ein symmetrisches
l
-Krypto-
schema
S
gilt:
adv
(
A,
1
,
1]
sowie
adv
(
A,S
)=
suc
(
A,S
)
−
S
)
∈
[
−
fail
(
A,S
)
.
Für jedes
l
-Kryptoschema
S
sowie den in (5.3.2) und (5.3.3) definierten
l
-Angreifer
A
gilt: adv
(
A,S
)=0
.
Wir studieren eine Reihe von Beispielen, von denen wir die meisten informell bereits
besprochen haben, und konstruieren vorteilhafte Angreifer, um zu zeigen, dass bestimmte
Kryptoschemen unsicher sind.
Wir wissen aus den Betrachtungen im letzten Abschnitt, dass ECB-Kryptoschemen
prinzipiell unsicher sind. Dies wollen wir jetzt in einem ersten Schritt durch Angabe eines
geeigneten Angreifers formalisieren.
Beispiel 5.3.1 (Angriff auf ECB-Betriebsart). Wir betrachten den
l
-Angreifer, der ge-
geben ist durch:
l∗
}
∗
):
AngreiferECB(
H
:
{
0
,
1
}
→{
0
,
1
{
0
,
1
}
AF
(
H
)
:
1.
z
0
=0
2
l
2.
z
1
=0
l
1
l
3. sende
(
z
0
,z
1
)
AG
(
H,y
)
:
4. falls
y
[0
,l
)=
y
[
l,
2
l
)
,sogib
0
, sonst
1
aus
1
1 siehe Abschnitt 3.6 für die verwendete Notation.
