Asymmetrische Verschlüsselung - Moderne Kryptographie

Cryptography Reference

In-Depth Information

öffentlichen Schlüssel kann der Angreifer aber nun selbst Nachrichten verschlüsseln. Es

ist deshalb nicht mehr nötig, den Angreifer mit einem Verschlüsselungsorakel auszustat-

ten. Aus diesen Überlegungen ergeben sich die nun folgenden Definitionen in natürlicher

Weise.

Definition 6.2.1 (Angreifer auf ein asymmetrisches Kryptoschema). Ein Angreifer (ad-

versary) A auf ein asymmetrisches Kryptoschema

{

X k } k∈K pub ,K,G,E,D ) ist ein

zufallsgesteuerter Algorithmus A ( k : K pub ): { 0 , 1 }

, der von der Form

(

)

(6.2.1)

ist. Dabei bezeichnet

ein Algorithmenstück, das Finder (find) genannt wird, und

ein Algorithmenstück, das Rater (guess) genannt wird. Der Finder

gibt am Ende ein

Paar ( z 0 ,z 1 ) , z 0 ,z 1 ∈

X k , von Klartexten gleicher Länge aus (d. h.,

z 0 |

z 1 |

), das

Angebot mit linker bzw. rechter Angebotshälfte . Der Rater

erwartet ein Argument,

die Probe y ∈{ 0 , 1 } ∗ , und gibt am Ende ein Bit b ,die Vermutung von A aus. Sowohl

als auch

erwarten als Argument den öffentlichen Schlüssel k , den sie beliebig einsetzen

dürfen; insbesondere dürfen sie damit beliebige Nachrichten verschlüsseln. In einem Lauf

von A , im Rahmen eines Experimentes (siehe unten), wird

die Berechnung in der

Konfiguration fortsetzen, in der

angehalten hat. Wir verlangen, dass die Laufzeiten

von

und

bei beliebigen Argumenten durch Konstanten nach oben beschränkt

sind.

Die Sicherheit asymmetrischer Kryptoschemen wird nun analog zum Fall für symme-

trische Kryptoschemen auf Basis eines Experimentes definiert.

Definition 6.2.2 (Experiment zu einem Angreifer). Es sei A =( AF,AG ) ein Angreifer

auf das asymmetrische Kryptoschema

{

X k } k∈K pub ,K,G,E,D ) . Das zugehörige

E A ,

Experiment ,daswirmit

E A oder einfach

bezeichnen, ist der Algorithmus, der

gegeben ist durch:

}

1. Schlüsselgenerierung

( k,k )= G ()

2. Findungsphase

( z 0 ,z 1 )= AF ( k )

3. Auswahl

b = flip () ; y = E ( z b ,k )

4. Ratephase

b =

{

0 , 1

( k,y )

5. Auswertung

falls b = b ,sogib 1 , sonst 0 zurück

Wie bereits erwähnt, setzt AG seine Berechnung in der Konfiguration fort, in der AF die

Berechnung beendet hat.

Mit

S A ,

dadurch entsteht,

dass der fünfte Schritt ersetzt wird durch »gib b zurück«. Er wird verkürztes Experiment

genannt.

S A oder einfach

bezeichnen wir den Algorithmus, der aus

Moderne Kryptographie

Search WWH ::

Custom Search

Home