Cryptography Reference
In-Depth Information
l∗
}
∗
):
A
∗
(
H
:
{
0
,
1
}
→{
0
,
1
{
0
,
1
}
1.
Wähle Teilangreifer aus.
i
=
flip
(
{
1
,...,q}
)
.
2.
Simuliere Teilangreifer.
A
i
(
H
)
S
=
S
A
∗
Es sei
b
=1
. Sofort können wir festhalten:
suc
(
A
∗
,S
)=Prob
{
S
=1
}
q
{
S
=1
,i
=
j
=
Prob
}
j
=1
q
{
S
=1
=
Prob
|
i
=
j
}·
Prob
{
i
=
j
}
j
=1
q
=
1
{
S
=1
q
·
Prob
|
i
=
j
}
j
=1
q
(1
=
1
{
S
q
·
Prob
i
=
j
=1
}
j
=1
Prob
=1
q
(2
=
1
S
A
j
q
·
b
=1
j
=1
q
=
1
q
·
suc
(
A
j
,
S
)
,
j
=1
dabei gilt (
1
) wegen (4.6.4) und (
2
) folgt direkt aus der Definition von
A
∗
und
A
j
.Analog
gilt:
q
)=
1
fail
(
A
∗
,
S
q
·
fail
(
A
j
,
S
)
.
j
=1
Insgesamt folgt:
Lemma 5.5.5.
q
)=
1
adv
(
A
∗
,
S
q
·
adv
(
A
j
,
S
)
.
j
=1
Jetzt können wir alles zusammenfügen:
Satz 5.5.2.
Es sei
S
ein
l
-Kryptoschema,
U
ein
l
-Unterscheider für
S
, der höchstens
