Cryptography Reference
In-Depth Information
E
U
,
Das zu
U
und
S
gehörende
Experiment
,dasmit
E
U
oder einfach
E
bezeichnet wird,
ist der folgende Algorithmus.
E:
{
0
,
1
}
1.
Schlüsselwahl und Wahl richtig/zufällig
k
=
flip
(
K
)
b
=
flip
()
2.
Bestimmung des Prozedurparameters.
falls
b
=0
,so
H
= rand-
E
(
·
,k
)
, sonst
H
=
E
(
·
,k
)
3.
Ratephase
b
=
U
(
H
)
4.
Auswertung
falls
b
=
b
,sogib
1
, sonst
0
zurück
dadurch entsteht,
dass der vierte Schritt ersetzt wird durch »gib
b
zurück«. Er wird
verkürztes Experiment
genannt.
S
U
,
S
U
oder einfach
S
bezeichnen wir den Algorithmus, der aus
E
Mit
Wie im Fall für Block-Kryptosysteme werden wir sagen, dass
U
in der »Realwelt«
läuft, falls im Experiment
b
=1
gewählt wird, und dass
U
in der »Zufallswelt« läuft, falls
im Experiment
b
=0
gewählt wird.
Vorteil, Erfolg und Misserfolg sind nun wie üblich definiert.
Definition 5.5.3 (Vorteil, Erfolg und Misserfolg). Es sei
U
ein
l
-Unterscheider und
S
ein symmetrisches
l
-Kryptoschema. Dann ist der Vorteil, Erfolg bzw. Misserfolg von
U
gegenüber
S
wie folgt definiert:
)=2
Prob
E
U
=1
−
1
2
adv
RR
(
U,
S
,
)=Prob
S
U
=1
,
suc
RR
(
U,
S
b
=1
)=Prob
S
U
=1
.
fail
RR
(
U,
S
b
=0
Analog zu Lemma 4.7.1 zeigt man nun:
Lemma 5.5.1 (Vorteil, Erfolg, Misserfolg).
Es sei
U
ein
l
-Unterscheider und
S
ein
symmetrisches
l
-Kryptoschema. Dann gilt
adv
RR
(
U,
S
)=
suc
RR
(
U,
S
)
−
fail
RR
(
U,
S
)
.
Die Unsicherheit insec
RR
(
n, q, t,
S
)
eines Kryptoschemas
S
im RR-Ansatz ist analog
zur Unsicherheit insec
(
n, q, t,
)
im FG-Ansatz definiert.
Wir wollen uns ein einfaches Beispiel für einen Unterscheider ansehen:
S
ein
l
-Block-Kryptosystem.
Wir wollen einen Unterscheider konstruieren, dessen Vorteil gegenüber ECB-
Beispiel 5.5.1 (ECB-Unterscheider). Es sei
l>
0
und
B
groß ist
und der die in Abschnitt 5.2 aufgezeigte Schwäche ausnutzt. Einen solchen Unterscheider
kann man leicht konstruieren:
B
