Cryptography Reference
In-Depth Information
d. h., dass ein Angreifer mit »nicht geringem« Vorteil existiert, falls ein Algorithmus an-
genommen wird, der aus Chiffretexten nicht-triviale Informationen über die zugehörigen
Klartexte liefern kann.
Abschließend wollen wir in gewohnter Weise eine Sicherheitsdefinition angeben, die
algorithmische Ressourcen einbezieht. Neben der Laufzeit und der Anzahl der Orakelan-
fragen betrachten wir als zusätzlichen Parameter die Anzahl der insgesamt an das Ver-
schlüsselungsorakel gesendeten
l
-Blöcke. Diese Anzahl als Parameter einzubeziehen, ist
dadurch motiviert, dass ein Angreifer nun Anfragen beliebiger Länge an das Orakel schi-
cken kann. Je mehr Bits ein Angreifer insgesamt an das Orakel schickt, desto größer
werden potentiell seine Erfolgsaussichten sein. Bei der Messung der Güte eines Krypto-
schemas sollte dieser Parameter deshalb Berücksichtigung finden.
Definition 5.3.4 (
(
n, q, t
)
-beschränkt,
(
n, q, t, ε
)
-sicher). Es seien
n
,
q
,
t
natürliche Zah-
len,
A
ein
l
-Angreifer auf ein symmetrisches
l
-Kryptoschema
S
. Der Angreifer
A
ist
(
n, q, t
)
-beschränkt
bzgl.
, wenn die Laufzeit des zugehörigen Experimentes durch
t
beschränkt ist, im Experiment höchstens
q
Anfragen gestellt werden (einschließlich des
Angebots), mit insgesamt höchstens
nl
-Blöcken, wobei für das Angebot nur eine Ange-
botshälfte gezählt wird.
Es sei
S
insec
(
n, q, t,
S
)=sup
{
adv
(
A,
S
)
|
A
ist
(
n, q, t
)
-beschränkter
l
-Angreifer auf
S}
.
Weiter sei
ε
≥
0
eine reelle Zahl. Das Kryptoschema
S
heißt
(
n, q, t, ε
)
-unsicher,
wenn
insec
(
n, q, t,
S
)
≥
ε
gilt. Es heißt
(
n, q, t, ε
)
-sicher,
wenn insec
(
n, q, t,
S
)
≤
ε
gilt.
Es sei, wie in Abschnitt 2.4.2 beschrieben, nochmals darauf hingewiesen, dass durch
den Parameter
t
die Größe des Programmcodes eines
(
n, q, t
)
-beschränkten Angreifers
beschränkt ist. Ohne diese Festlegung würde die obige Definition keinen Sinn ergeben
(siehe dazu auch Aufgabe 5.7.17). Wie bereits für Definition 4.7.5 bemerkt, kann wegen
der Beschränkung der Größe des Programmcodes in Definition 5.3.4 »
sup
«durch»
max
«
ersetzt werden.
Beispiel 5.3.3. Wegen Folgerung 5.3.1 gilt, dass deterministische
l
-Kryptoschemen
(2
,
2
,
c,
1)
-unsicher sind für eine kleine Konstante
c
, die im Wesentlichen die durch das Ver-
schlüsselungsorakel ausgeführte Chiffrierung widerspiegelt.
5.4
Sicherheit der R-CTR-Betriebsart
Wir wollen in diesem Abschnitt zeigen, dass die R-CTR-Betriebsart in dem im letzten
Abschnitt beschriebenen Sinne sicher ist, d. h. betreibt man ein sicheres Block-Krypto-
system in der R-CTR-Betriebsart, dann ist das entstehende Kryptoschema sicher. Zu die-
sem Zweck konstruieren wir aus einem (guten) Angreifer
A
auf ein R-CTR-Kryptoschema
einen (guten) Unterscheider
U
für das zugrunde liegende Block-Kryptosystem. Genauer
werden wir
U
so aus
A
konstruieren, dass wir, grob gesagt, den Vorteil von
A
durch
denjenigen von
U
beschränken können. Nehmen wir also an, dass es keinen guten Un-
terscheider auf das Block-Kryptosystem gibt, d. h. alle geeignet ressourcenbeschränkten
