Cryptography Reference
In-Depth Information
öffentlichen Schlüssel kann der Angreifer aber nun selbst Nachrichten verschlüsseln. Es
ist deshalb nicht mehr nötig, den Angreifer mit einem Verschlüsselungsorakel auszustat-
ten. Aus diesen Überlegungen ergeben sich die nun folgenden Definitionen in natürlicher
Weise.
Definition 6.2.1 (Angreifer auf ein asymmetrisches Kryptoschema). Ein
Angreifer (ad-
versary)
A
auf ein asymmetrisches Kryptoschema
S
=(
{
X
k
}
k∈K
pub
,K,G,E,D
)
ist ein
zufallsgesteuerter Algorithmus
A
(
k
:
K
pub
):
{
0
,
1
}
, der von der Form
(
AF
,
AG
)
(6.2.1)
ist. Dabei bezeichnet
AF
ein Algorithmenstück, das
Finder (find)
genannt wird, und
AG
ein Algorithmenstück, das
Rater (guess)
genannt wird. Der Finder
AF
gibt am Ende ein
Paar
(
z
0
,z
1
)
,
z
0
,z
1
∈
X
k
, von Klartexten gleicher Länge aus (d. h.,
|
z
0
|
=
|
z
1
|
), das
Angebot
mit
linker
bzw.
rechter Angebotshälfte
. Der Rater
erwartet ein Argument,
die
Probe
y ∈{
0
,
1
}
∗
, und gibt am Ende ein Bit
b
,die
Vermutung
von
A
aus. Sowohl
AG
AF
als auch
erwarten als Argument den öffentlichen Schlüssel
k
, den sie beliebig einsetzen
dürfen; insbesondere dürfen sie damit beliebige Nachrichten verschlüsseln. In einem Lauf
von
A
, im Rahmen eines Experimentes (siehe unten), wird
AG
AG
die Berechnung in der
Konfiguration fortsetzen, in der
AF
angehalten hat. Wir verlangen, dass die Laufzeiten
von
AF
und
AG
bei beliebigen Argumenten durch Konstanten nach oben beschränkt
sind.
Die Sicherheit asymmetrischer Kryptoschemen wird nun analog zum Fall für symme-
trische Kryptoschemen auf Basis eines Experimentes definiert.
Definition 6.2.2 (Experiment zu einem Angreifer). Es sei
A
=(
AF,AG
)
ein Angreifer
auf das asymmetrische Kryptoschema
S
=(
{
X
k
}
k∈K
pub
,K,G,E,D
)
. Das zugehörige
E
A
,
Experiment
,daswirmit
E
A
oder einfach
E
bezeichnen, ist der Algorithmus, der
gegeben ist durch:
E
:
}
1.
Schlüsselgenerierung
(
k,k
)=
G
()
2.
Findungsphase
(
z
0
,z
1
)=
AF
(
k
)
3.
Auswahl
b
=
flip
()
;
y
=
E
(
z
b
,k
)
4.
Ratephase
b
=
{
0
,
1
(
k,y
)
5.
Auswertung
falls
b
=
b
,sogib
1
, sonst
0
zurück
Wie bereits erwähnt, setzt
AG
seine Berechnung in der Konfiguration fort, in der
AF
die
Berechnung beendet hat.
Mit
AG
S
A
,
dadurch entsteht,
dass der fünfte Schritt ersetzt wird durch »gib
b
zurück«. Er wird
verkürztes Experiment
genannt.
S
A
oder einfach
S
bezeichnen wir den Algorithmus, der aus
E