Cryptography Reference
In-Depth Information
geht, also um die Kombination von symmetrischer und asymmetrischer Verschlüsselung.
Die Sicherheit der hybriden Verschlüsselung wird dort schrittweise auf die Sicherheit der
symmetrischen und asymmetrischen Verschlüsselung heruntergebrochen. Im Beweis zu
Satz 5.5.2 war der »komplexe Sachverhalt«, dass ein Unterscheider
mehrere
Orakelanfra-
gen stellen konnte und
alle
Anfragen entweder in der Realwelt oder in der Zufallswelt be-
antwortet wurden. Anfragen wurden also immer richtig oder immer zufällig beantwortet.
Dagegen werden im Experiment zu einem Angreifer alle Orakelanfragen real beantwor-
tet und nur für
eine
Orakelanfrage (das Angebot) weiß der Angreifer nicht, ob die linke
oder rechte Angebotshälfte verschlüsselt wurde, wobei in unserer Konstruktion die linke
Angebotshälfte der zufällig gewählte Klartext war. Dies ist der »einfache Sachverhalt«.
Technisch gesehen dient die Hybridtechnik dazu, die Differenz zwischen zwei Wahr-
scheinlichkeiten abzuschätzen, die auf recht unterschiedlichen Verteilungen beruhen; in
unserem Beispiel waren dies die Verteilungen
S
U
S
U
. Die Differenz
der betrachteten Wahrscheinlichkeiten dieser Verteilungen stellt man im Hybridargument
nun als Teleskopsumme
3
mit Hilfe sogenannter hybrider Verteilungen dar, wobei das At-
tribut »hybrid« daher rührt, dass diese Verteilungen auf gewisse Weise die beiden be-
trachteten Verteilungen in einer Verteilung kombinieren. In unserem Beispiel waren dies
die hybriden Verteilungen
b
=1
und
b
=0
S
A
j
S
A
j
b
=1
und
b
=0
und die Teleskopsumme war von
der Form
q−
1
(
suc
(
A
q−i
,
S
)
−
fail
(
A
q−i
,
S
))
(=
suc
(
A
q
,
S
)
−
fail
(
A
1
,
S
))
,
i
=0
mit suc
(
A
q−
(
i
+1)
,S
)=
fail
(
A
q−i
,S
)
für alle
0
<i<q
(Lemma 5.5.4). Die hybri-
den Verteilungen an den äußeren Enden sollten (etwa) genau diejenigen Verteilungen
sein, für die man sich interessiert; in unserem Beispiel stimmten die äußeren Enden
S
A
q
S
A
1
S
U
S
U
über-
ein (Lemma 5.5.3). Die Differenzen innerhalb der Teleskopsumme sollten sich jeweils
mit Hilfe des »einfachen Sachverhaltes« abschätzen lassen; in unserem Beispiel konn-
te die Differenz suc
(
A
q−i
,
b
=1
und
b
=0
in der Tat genau mit
b
=1
bzw.
b
=0
)
direkt auf den »einfachen Sachverhalt«
reduziert werden - sie stimmte nämlich mit dem Vorteil von
A
q−i
überein. Um Folge-
rung 5.5.2 zu zeigen, hätten wir den Angreifer
A
∗
nicht gebraucht. Die Teleskopsum-
me, wie oben beschrieben, wäre ausreichend gewesen, denn es gilt: adv
RR
(
U,
S
)
−
fail
(
A
q−i
,
S
S
)=
q−
1
i
=0
fail
(
A
q−i
,S
)) =
q−
1
insec
(
n, q, t
+
c · q,S
)
,
falls
U
ein
(
n, q, t
)
-beschränkter Unterscheider ist. Die Einführung von
A
∗
erlaubte aller-
dings eine uniforme Darstellung der hybriden Verteilungen. Sie ist vor allem im Kontext
asymptotischer Sicherheit nützlich (siehe Abschnitt 2.4.2).
Die Anwendung der Hybridtechnik soll in Aufgabe 5.7.15 weiter vertieft werden.
(
suc
(
A
q−i
,S
)
−
adv
(
A
q−i
,S
)
≤ q ·
i
=0
5.6
Ein stärkerer Sicherheitsbegriff
In unseren bisherigen Betrachtungen haben wir uns Eva als eine Angreiferin vorgestellt,
die Angriffe mit Klartextwahl durchführen kann. Man könnte sich, wie in Abschnitt 2.4.1
3 Eine Teleskopsumme ist eine Summe der Form
n−
1
i
=1
(
a
i
− a
i
+1
)=
a
1
− a
n
.
