Cryptography Reference
In-Depth Information
Aufgabe
5.7.16 (Wahrscheinlichkeitsverstärkung)
.
In dieser Aufgabe betrachten wir die
RR-Sicherheit, um das Prinzip der Wahrscheinlichkeitsverstärkung zu studieren.
Es seien
U
ein
l
-Unterscheider und
ein symmetrisches
l
-Kryptoschema. Zeigen Sie
für die folgenden beiden Fälle, dass der Vorteil eines Unterscheiders
U
durch mehrfaches
(
n
-faches) Ausführen von
U
(und geeigneter Kombination der Resultate) exponentiell in
n
steigt.
Für
U
gelte:
1. suc
RR
(
U,
S
S
)=1
und fail
RR
(
U,
S
)=1
/
4
bzw.
)=1
/
4
.
Hinweis zu 2.: Der zu konstruierende Unterscheider sollte seine Entscheidung gemäß
des Prinzips des »Majority-Voting« fällen, d. h., die Entscheidung entspricht dem Aus-
gang der Mehrheit der in den
n
Iterationen erhaltenen Resultate. Um seinen Vorteil zu
berechnen, verwenden Sie die Chernoff-Ungleichung für binomial-verteilte Zufallsvaria-
blen.
Aufgabe
5.7.17 (Größe des Programmcodes)
.
Begründen Sie analog zu Aufgabe 4.9.23,
dass Definition 5.3.4 keinen Sinn machen würde, wenn durch den Parameter
t
nicht
die
Größe des Programmcodes eines Angreifers beschränkt wäre.
Aufgabe
5.7.18 (CCA-Sicherheit)
.
Geben Sie für die CCA-Sicherheit eine Definition ana-
log zu Definition 5.3.4 an. Führen Sie dabei für die Anzahl der Anfragen an das Dechif-
frierorakel einen neuen Parameter ein.
Aufgabe
5.7.19 (CCA-Sicherheit und R-CBC-Betriebsart)
.
Zeigen Sie analog zum Fall
für die R-CTR-Betriebsart, dass die R-CBC-Betriebsart bzgl. der CCA-Sicherheit völlig
unsicher ist.
2. suc
RR
(
U,
S
)=3
/
4
und fail
RR
(
U,
S
5.8
Anmerkungen und Hinweise
Die Verschlüsselung von Nachrichten beliebiger Länge durch die iterierte Anwendung
von Block-Kryptosystemen ist eine ziemlich alte Idee. Die Betriebsarten ECB und CBC
sowie die hier nicht behandelten Betriebsarten OFB (Output Feedback) und CFB (Cipher
Feedback) wurden zusammen mit der Einführung des Block-Kryptosystems DES in [177]
standardisiert. Die in diesem Kapitel in erster Linie studierte Betriebsart, R-CTR, wurde
etwa zeitgleich mit der Einführung des Block-Kryptosystems AES standardisiert [181].
Wie bereits in Abschnitt 1.2 erwähnt, geht der Ansatz der algorithmischen Sicherheit
auf die wegbereitende Arbeit von Goldwasser und Micali zurück [86]. In dieser Arbeit wird
die sogenannte semantische Sicherheit sowie die polynomielle Sicherheit im Kontext der
asymmetrischen Verschlüsselung (siehe Kapitel 6) definiert und es wird die Äquivalenz
der beiden Begriffe bewiesen. Die darauf aufbauenden und in diesem Kapitel behandel-
ten Definitionen für die symmetrische Verschlüsselung stammen von Bellare et al. [16].
Angreifer in unserem Sinne fallen dort unter
FTG (find-then-guess)
und Unterscheider
unter
ROR (real-or-random)
. Die Sicherheit der R-CTR- und der R-CBC-Betriebsarten
wurde ebenfalls in dieser Arbeit bewiesen.
In der Arbeit von Bellare et al. werden neben Angriffen mit Klartextwahl auch An-
griffe mit Klartext- und Chiffretextwahl (CCA-Sicherheit) behandelt, wobei die CCA-
Sicherheit zuerst im Kontext asymmetrischer Verschlüsselung von Naor und Yung [130]
