Asymmetrische Verschlüsselung - Moderne Kryptographie

Cryptography Reference

In-Depth Information

und einem symmetrischen Kryptoschema

S s =( K s ,E s ,D s ) ,

(6.6.2)

etwa der Blocklänge l . Gefordert wird dabei, dass K s ⊆ X a gilt. Das induzierte asymme-

trische Kryptoschema ist dann

l∗ ,K a ,G a ,E h ,D h )

H [

S a ,

S s ]=(

{

0 , 1

}

(6.6.3)

mit E h gegeben durch

E h ( x, k )

1. Bestimme zufälligen symmetrischen Schlüssel, den Einmalschlüssel.

k s = flip ( K s )

2. Verschlüssle Einmalschlüssel mit dem asymmetrischen Verfahren.

y sk = E a ( k s ,k )

3. Verschlüssle Klartext unter dem Einmalschlüssel mit dem symmetrischen Ver-

fahren.

y pt = E s ( x, k s )

4. Gib beide Chiffretexte aus.

gib ( y sk ,y pt ) zurück

Der Dechiffrieralgorithmus D h ergibt sich in natürlicher Weise aus E h . Die beiden Sche-

men

S a und

S s werden auch die Basisschemen des hybriden Schemas genannt.

Nachdem was wir in den vorangehenden Abschnitten gesehen haben, könnte man zum

Beispiel folgende Wahl treffen: das ElGamal-Kryptoschema in QR( p ) für eine starke

Primzahl p als asymmetrisches Basisschema und AES in der R-CTR- oder der R-CBC-

Betriebsart als symmetrisches Basisschema.

Wie erwähnt, hängt die Sicherheit des hybriden Schemas sowohl von der Sicherheit

des symmetrischen wie auch von der Sicherheit des asymmetrischen Schemas ab. Genauer

können wir folgenden Satz zeigen. Im Beweis dieses Satzes wird ein Angriff auf das hybride

Schema in Angriffe auf die beiden Basisschemen umgewandelt; wie führen also, wie üblich,

einen Reduktionsbeweis durch. Damit wird, wie gewünscht, die Sicherheit des hybriden

Schemas auf diejenige der Basisschemen reduziert.

Satz 6.6.1. Es sei

S s die Block-

länge l verwende. Dann existiert eine (kleine) Konstante c , so dass für alle t> 0 und

t -beschränkten Angreifer A auf

= H [

S a ,S s ] ein hybrides Kryptoschema, wobei

H ( t + c ) -beschränkte Angreifer A 0 und A 1 auf

S a und

ein (

t/l

, 1 ,t + c ) -beschränkter Angreifer A 2 auf

S s existieren, so dass

adv ( A,H )= adv ( A 0 ,S a )+ adv ( A 1 ,S a )+ adv ( A 2 ,S s )

(6.6.4)

gilt. Insbesondere stellt A 2 neben dem Angebot keine Orakelanfrage.

Beweis. Nehmen wir also an, es seien ein hybrides Kryptoschema

= H [

S a ,

S s ]=

( { 0 , 1 }

l∗ ,K a ,G a ,E h ,D h ) wie in (6.6.3) und ein t -beschränkter Angreifer A =( AF,AG )

auf

gegeben.

Moderne Kryptographie

Search WWH ::

Custom Search

Home