Cryptography Reference
In-Depth Information
bereits angedeutet, allerdings zusätzlich auch Angriffe mit Chiffretextwahl vorstellen, in
denen Eva selbst gewählte Chiffretexte entschlüsseln lassen kann. Derartige Angriffe spie-
len vor allem in Verbindung mit kryptographischen Protokollen, z. B. Authentifizierungs-
und Schlüsselaustauschprotokollen, eine Rolle. In diesen sendet häufig eine Partei einer
anderen einen Chiffretext. Der Empfänger entschlüsselt dann den Chiffretext und sendet
den Klartext, evtl. in abgewandelter Form, zurück. Ein solcher Protokollteilnehmer kann
einem Angreifer somit als Dechiffrierorakel dienen (siehe auch Abschnitt 6.4.3).
Ein Sicherheitsbegriff, der Angriffe mit Klartext- und Chiffretextwahl berücksichtigt,
kann analog zum Begriff in Abschnitt 5.3 definiert werden. Wir sprechen dabei von CCA-
Sicherheit, wobei »CCA« für »Chosen Ciphertext Attack« steht. Wir wollen hier lediglich
das zugehörige Experiment definieren. Alle anderen Begriffe, wie Vorteil, Erfolg und
Misserfolg, ergeben sich daraus in gewohnter Weise.
Das Experiment ist ähnlich wie in Abschnitt 5.3 definiert. Der wesentliche Unterschied
zum im Abschnitt 5.3 definierten Experiment ist, dass dem Angreifer nun auch ein De-
chiffrierorakel zur Verfügung steht, welches der Angreifer benutzen darf, um von ihm
erzeugte Chiffretexte zu dechiffrieren. Allerdings darf der Angreifer die Probe nicht auf
dieses Orakel anwenden, da er sonst leicht herausfinden könnte, ob die linke oder rechte
Angebotshälfte verschlüsselt wurde.
Definition 5.6.1 (Experiment zu einem Angreifer). Es sei
A
=(
)
ein
l
-Angreifer,
der zwei Orakel als Eingabe erhält, ein Chiffrier- und ein Dechiffrierorakel. Weiter sei
S
AF
,
AG
E
A
,
=(
K,E,D
)
ein
l
-Kryptoschema. Das zugehörige
Experiment
,daswirmit
E
A
oder einfach
E
bezeichnen, ist der Algorithmus, der gegeben ist durch:
E
:
}
1.
Chiffrewahl
k
=
flip
(
K
)
;
H
=
E
(
{
0
,
1
,k
)
;
H
−
1
=
D
(
·
·
,k
)
2.
Findungsphase
(
z
0
,z
1
)=
AF
(
H,H
−
1
)
3.
Auswahl
b
=
flip
()
;
y
=
H
(
z
b
)
4.
Ratephase
b
=
(
H,H
−
1
,y
)
5.
Auswertung
falls
b
=
b
und
A
hat
H
−
1
in der Ratephase nicht auf
y
angewendet, so gib
1
,
sonst
0
zurück
AG
Der Vorteil adv
CCA
(
A,
S
)
von
A
bzgl.
S
im gerade definierten Experiment ist wie
üblich definiert.
Man überlegt sich leicht, dass die bisher kennengelernten Kryptoschemen bzgl. der
CCA-Sicherheit völlig unsicher sind. Dies wollen wir für die R-CTR-Betriebsart nachwei-
sen. Dazu zeigen wir, dass es einen Angreifer
A
gibt, so dass adv
CCA
(
A,
R-CTR-
B
)=1
für jedes Block-Kryptosystem
gilt.
Der Angreifer liefert als Angebot
(0
l
,
1
l
)
. Empfängt er die Probe
y
, so kippt er einfach
das erste Bit im zweiten
l
-Block, d. h., er berechnet
y
=
y ⊕
(0
l
B
·
10
l−
1
)
und fragt dann
sein Dechiffrierorakel mit
y
(
=
y
)an.Wird
10
l−
1
als Klartext zurückgeliefert, so gibt
