Uneingeschränkte symmetrische Verschlüsselung - Moderne Kryptographie

Cryptography Reference

In-Depth Information

l ,

Angewendet auf das Schema

= ECB-

für ein l -Block-Kryptosystem

{

0 , 1

}

K B , { 0 , 1 }

l ,E B ,D B ) rät der Angreifer A = AngreiferECB immer richtig, denn es

gilt für jeden Schlüssel k : y 0 = E S ( z 0 ,k )= E B (0 l ) E B (0 l ) ,also y 0 [0 ,l )= y 0 [ l, 2 l ) ,und

y 1 = E S ( z 1 ,k )= E B (0 l ) E B (1 l ) ,also y 1 [0 ,l )

= y 1 [ l, 2 l ) , da ansonsten die Dechiffrierbe-

dingung verletzt wäre. Wir können deshalb festhalten:

Prob E A =1 =1 und damit

adv ( A, ECB-

)=1 .

Im nächsten Beispiel formalisieren wir den im letzten Abschnitt erwähnten Angriff auf

CBC-Kryptoschemen, der ausnutzt, dass die Verschlüsselung bei CBC-Kryptoschemen

deterministisch ist, d. h., für alle Schlüssel k ,Klartexte x und Zufallsfolgen α und α gilt:

E α ( x, k )= E α ( x, k ) .

Beispiel 5.3.2 (Angriff auf CBC-Betriebsart). Der Angreifer lautet wie folgt:

l∗

} ∗ ):

AngreiferCBC( H :

{

0 , 1

}

→{

0 , 1

{

0 , 1

}

( H ) :

1. z 0 =0 l

2. y 0 = H ( z 0 )

3. z 1 =1 l

4. sende ( z 0 ,z 1 )

( H,y ) :

5. falls y = y 0 ,sogib 0 , sonst 1 aus

Auch hier sehen wir sofort ein, dass der Angreifer immer richtig rät, sofern er auf ein CBC-

Kryptoschema angesetzt wird. Denn im Fall b =0 ist y = y 0 ,da H ein deterministischer

Algorithmus ist, und im Fall b =1 muss y = y 0 gelten, da ansonsten die Dechiffrierbe-

dingung verletzt wäre. Also gilt für A =AngreiferCBC , alle l -Block-Kryptosysteme

S = CBC-

und CBC-Kryptoschemen

Prob E A =1 =1 und damit

adv ( A, CBC-

)=1 .

Der obige Angreifer nutzt neben der Determiniertheit des Verschlüsselungsverfahrens

keine anderen Eigenschaften von CBC-Kryptoschemen. Die Argumentation gilt also für

alle deterministischen Kryptoschemen, d. h. Kryptoschemen mit deterministischen Ver-

schlüsselungsalgorithmen. Wir erhalten also, dass jedes deterministische Kryptoschema

unsicher ist:

Folgerung 5.3.1 (deterministische Kryptoschemen sind unsicher). Für jedes determi-

nistische symmetrische l -Kryptoschema

gilt

adv ( AngreiferCBC,

)=1 .

In den Aufgaben 5.7.4, 5.7.5 und 5.7.6 soll, angelehnt an Beispiel 4.7.2 und die zuge-

hörigen Aufgaben in Abschnitt 4.9, gezeigt werden, dass ein Kryptoschema unsicher ist,

Moderne Kryptographie

Search WWH ::

Custom Search

Home