Uneingeschränkte symmetrische Verschlüsselung - Moderne Kryptographie

Cryptography Reference

In-Depth Information

Unterscheider haben lediglich einen geringen Vorteil, dann kann es auch keinen guten

Angreifer auf das R-CTR-Kryptoschema geben, d. h. der Vorteil von A muss ebenfalls

klein sein. Mit anderen Worten führen wir einen in der Kryptographie klassischen Reduk-

tionsbeweis : Die Sicherheit der einen kryptographischen Primitive wird auf die Sicherheit

der anderen reduziert. Man spricht, wie bereits in Abschnitt 1.2 erwähnt, in diesem Zu-

sammenhang auch von beweisbarer Sicherheit . Der folgende Satz fasst die Aussage, die

wir beweisen wollen, präzise.

Satz 5.4.1. Es existiert eine (kleine) Konstante c , so dass für alle t, n, q, l > 0 , l -Block-

Kryptosysteme

, ( n, q, t ) -beschränkten l -Angreifer A auf

= R-CTR-

ein ( n, t + c

( q · log( q ) · l + n · l )) -beschränkter l -Unterscheider U existiert mit

)+ 2 qn + n 2

2 l

adv ( A,

)

≤

adv ( U,

(5.4.1)

Bevor wir diesen Satz beweisen, stellen wir zunächst fest, dass aus diesem Satz direkt

folgt, dass die Unsicherheit von R-CTR-

beschränkt ist durch diejenige von

. Genauer

gilt:

Folgerung 5.4.1. Es existiert eine (kleine) Konstante c , so dass für alle t, n, q, l > 0

und l -Block-Kryptosysteme

gilt:

)+ 2 qn + n 2

2 l

insec ( n, q, t, R-CTR-

)

≤

insec ( n, t + c

( q

log( q )

l + n

l ) ,

Setzen wir die Blocklänge l auf 128 = 2 7 Bits, die maximale Laufzeit t auf 2 60 Re-

chenschritte und erlauben etwa eine Milliarde Orakelanfragen im Umfang von insgesamt

maximal einem Terabyte, d. h., q =2 30 und n =2 43 /l =2 36 , so erhalten wir folgende

Abschätzung, für eine Konstante c =10 :

)+ 1

2 55

insec (2 36 , 2 30 , 2 60 , R-CTR-

insec (2 36 , 2 61 ,

)

≤

Wäre für das Block-Kryptosystem

, z. B. AES, die erschöpfende Schlüsselsuche (siehe

Abschnitt 4.3) der beste mögliche Angriff, mit dem man

von einer zufälligen Per-

mutation unterscheiden könnte, und könnte man in einem Rechenschritt einen Schlüssel

testen, so wäre insec (2 36 , 2 61 ,

2 67 : Dabei gehen wir davon aus, dass sich ein Angrei-

fer maximal 2 36 Klartexte mit dem Verschlüsselungsorakel verschlüsseln lässt und dann

durch maximal 2 61 Schlüssel läuft, um einen Schlüssel zu finden, mit dem die gegebenen

Chiffretexte zu den jeweiligen Klartexten entschlüsselt werden. Es sei bemerkt, dass für

in der Praxis eingesetzte Block-Kryptosysteme schon wenige Klartext-Chiffretext-Paare

ausreichen (deutlich weniger als 2 36 ,eher < 10 ), um den verwendeten Schlüssel eindeutig

zu bestimmen. Mit insec (2 36 , 2 61 ,

)

≈

2 67

)

≈

würdesichinsgesamteingutesMaßanSi-

cherheit für das R-CTR-

-Kryptoschema ergeben. Wie bereits in Abschnitt 4.7 erwähnt,

ist allerdings für kein in der Praxis eingesetztes Kryptosystem eine konkrete Schranke für

dessen Unsicherheit insec ( n, q,B ) bekannt. Trotzdem zeigt Folgerung 5.4.1, dass die R-

CTR-Betriebsart prinzipiell sicher ist. Die Unsicherheit kann höchstens vom verwendeten

Kryptosystem herrühren.

Moderne Kryptographie

Search WWH ::

Custom Search

Home