Cryptography Reference
In-Depth Information
Damit stimmen die im Lauf
α
an
U
übergebenen ersten beiden Komponenten
u
und
v
genau mit denjenigen im Lauf
α
überein. Auch die Sichten vom durch
U
simulierten
Angreifer
A
in den Läufen
α
und
α
bis zur Unterbreitung des Angebots sind völlig
identisch; man beachte, dass
A
, nach Konstruktion von
α
und
α
, in beiden Läufen
dieselben Zufallsbits benutzt. Insbesondere wird also in beiden Läufen dasselbe Angebot
(
z
0
,z
1
)
unterbreitet. Im Lauf
α
wird
(
v,z
c
(
α
)
·
w
)
als Probe zurückgegeben und in
α
lautet
die Probe nach Konstruktion
(
v,z
1
−c
(
α
)
· w ·
(
z
1
−c
(
α
)
)
−
1
· z
c
(
α
)
)
,alsoauch
(
v,z
c
(
α
)
· w
)
.
(Man beachte, dass die betrachtete Gruppe nach Lemma 6.3.3 kommutativ ist.) Damit
bleiben die Sichten von
A
in den Läufen
α
und
α
identisch. Folglich liefert
A
dieselbe
Ausgabe
c
,also
c
(
α
)=
c
(
α
)
.Daaber
c
(
α
)=1
c
(
α
)
gilt, folgt:
−
S
(
α
)=1
−
S
(
β
(
α
))
.
(6.5.11)
Man kann sich nun noch leicht davon überzeugen, dass
β
eine bijektive Abbildung von
Läufen von
S
ist (siehe Aufgabe 6.7.21). Aus der Bijektivität von
β
und
(6.5.11) folgt nun, wie bereits erläutert, sofort (6.5.10), was zusammen mit (6.5.9) un
d
Lemma 6.5.3 den Beweis abschließt.
S
auf Läufe von
6.6
Hybride Verschlüsselung
Selbst eziente Implementierungen asymmetrischer Kryptoschemen, wie wir sie in den
Abschnitten 6.4 und 6.5 kennengelernt haben, sind häufig sehr langsam im Vergleich
zu Implementierungen symmetrischer Schemen. Deshalb liegt es nahe, beide Verschlüsse-
lungsarten miteinander zu kombinieren, um in den Genuss der Vorteile beider zu gelangen:
Bei geeigneter Kombination der Verfahren erhält man ein asymmetrisches Kryptosche-
ma, das zudem noch (relativ) ezient ist. Diese sogenannten hybriden Kryptoschemen
werden in der Praxis häufig eingesetzt, z. B. bei der Verschlüsselung von E-Mails mit dem
Programm PGP (
pretty good privacy
).
Als Nachteile handelt man sich ein, dass man beide Verfahren (sowohl das asymme-
trische wie auch das symmetrische) implementieren muss und dass die Sicherheit des
Gesamtverfahrens nun von mehr Annahmen abhängt, nämlich von allen Annahmen, auf
denen das symmetrische und das asymmetrische Verfahren fußen.
Eine hybride Verschlüsselung vollzieht sich in mehreren Schritten. In einem ersten
Schritt wird ein symmetrischer Schlüssel zufällig generiert. Dieser wird dann mit dem
asymmetrischen Verfahren verschlüsselt, während der Klartext unter dem zufällig gewähl-
ten symmetrischen Schlüssel chiffriert wird. Übermittelt werden dann der asymmetrisch
verschlüsselte symmetrische Schlüssel und der symmetrisch verschlüsselte Klartext. Den
zufällig gewählten symmetrischen Schlüssel wollen wir als
Einmalschlüssel
bezeichnen.
Die folgende Definition fasst den Begriff der hybriden Kryptoschemen präzise.
Definition 6.6.1 (hybride Kryptoschemen). Ein
hybrides Kryptoschema
ist gegeben
durch ein Paar
(
S
a
,
S
s
)
bestehend aus einem asymmetrischen Kryptoschema
S
a
=(
X
a
,K
a
,G
a
,E
a
,D
a
)
(6.6.1)
