Cryptography Reference
In-Depth Information
l
,
Angewendet auf das Schema
S
=
ECB-
B
für ein
l
-Block-Kryptosystem
B
=(
{
0
,
1
}
K
B
, {
0
,
1
}
l
,E
B
,D
B
)
rät der Angreifer
A
= AngreiferECB
immer richtig, denn es
gilt für jeden Schlüssel
k
:
y
0
=
E
S
(
z
0
,k
)=
E
B
(0
l
)
E
B
(0
l
)
,also
y
0
[0
,l
)=
y
0
[
l,
2
l
)
,und
y
1
=
E
S
(
z
1
,k
)=
E
B
(0
l
)
E
B
(1
l
)
,also
y
1
[0
,l
)
=
y
1
[
l,
2
l
)
, da ansonsten die Dechiffrierbe-
dingung verletzt wäre. Wir können deshalb festhalten:
Prob
E
A
=1
=1
und damit
adv
(
A,
ECB-
B
)=1
.
Im nächsten Beispiel formalisieren wir den im letzten Abschnitt erwähnten Angriff auf
CBC-Kryptoschemen, der ausnutzt, dass die Verschlüsselung bei CBC-Kryptoschemen
deterministisch ist, d. h., für alle Schlüssel
k
,Klartexte
x
und Zufallsfolgen
α
und
α
gilt:
E
α
(
x, k
)=
E
α
(
x, k
)
.
Beispiel 5.3.2 (Angriff auf CBC-Betriebsart). Der Angreifer lautet wie folgt:
l∗
}
∗
):
AngreiferCBC(
H
:
{
0
,
1
}
→{
0
,
1
{
0
,
1
}
AF
(
H
)
:
1.
z
0
=0
l
2.
y
0
=
H
(
z
0
)
3.
z
1
=1
l
4. sende
(
z
0
,z
1
)
AG
(
H,y
)
:
5. falls
y
=
y
0
,sogib
0
, sonst
1
aus
Auch hier sehen wir sofort ein, dass der Angreifer immer richtig rät, sofern er auf ein CBC-
Kryptoschema angesetzt wird. Denn im Fall
b
=0
ist
y
=
y
0
,da
H
ein deterministischer
Algorithmus ist, und im Fall
b
=1
muss
y
=
y
0
gelten, da ansonsten die Dechiffrierbe-
dingung verletzt wäre. Also gilt für
A
=AngreiferCBC
, alle
l
-Block-Kryptosysteme
B
S
=
CBC-
B
und CBC-Kryptoschemen
:
Prob
E
A
=1
=1
und damit
adv
(
A,
CBC-
B
)=1
.
Der obige Angreifer nutzt neben der Determiniertheit des Verschlüsselungsverfahrens
keine anderen Eigenschaften von CBC-Kryptoschemen. Die Argumentation gilt also für
alle deterministischen Kryptoschemen, d. h. Kryptoschemen mit deterministischen Ver-
schlüsselungsalgorithmen. Wir erhalten also, dass jedes deterministische Kryptoschema
unsicher ist:
Folgerung 5.3.1 (deterministische Kryptoschemen sind unsicher).
Für jedes determi-
nistische symmetrische
l
-Kryptoschema
S
gilt
adv
(
AngreiferCBC,
S
)=1
.
In den Aufgaben 5.7.4, 5.7.5 und 5.7.6 soll, angelehnt an Beispiel 4.7.2 und die zuge-
hörigen Aufgaben in Abschnitt 4.9, gezeigt werden, dass ein Kryptoschema unsicher ist,