Cryptography Reference
In-Depth Information
9
Symmetrische Authentifizierungsverfahren
9.1
Einführung
Über die grundlegende Funktionsweise von symmetrischen Authentifizierungsverfahren
haben wir bereits in der Einführung zu diesem Teil des Buches gesprochen, so dass es
jetzt nicht weiter schwierig ist, eine entsprechende Definition zu treffen. Im Englischen
werden, wie bereits erwähnt, symmetrische Authentifizierungsverfahren als
message au-
thentication codes
und kurz auch als
MACs
bezeichnet. Ein symmetrisches Authentifizie-
rungsverfahren wird durch ein Schema wie folgt definiert.
Definition 9.1.1 (symmetrisches Authentifizierungsschema). Es seien
l>
0
und
D
⊆
}
∗
.Ein
symmetrisches
(
D,l
)
-Authentifizierungsschema
(
(
D,l
)
-MAC
) ist ein Tupel
{
0
,
1
M
=(
K,T
)
,
(9.1.1)
bestehend aus einer endlichen
Schlüsselmenge
K ⊆{
0
,
1
}
∗
und einem deterministischen
Etikettieralgorithmus
T
(
x
:
D,k
:
K
):
l
. Dabei muss die Laufzeit von
T
polynom-
zeitbeschränkt sein in der Länge von
x
, d. h., es existiert ein Polynom
p
,sodassdie
Laufzeit von
T
(
x, k
)
für alle
x
{
0
,
1
}
)
; man beachte,
dass die Länge der Schlüssel durch eine Konstante nach oben beschränkt werden kann.
Für
x ∈ D
und
k ∈ K
heißt
T
(
x, k
)
ein
gültiges
Etikett. Das Paar
(
x, T
(
x, k
))
wird
als gültiges
Nachrichten-Etikett-Paar (NE-Paar)
bezüglich
k
bezeichnet.
Falls
D
=
{
0
,
1
}
≤L
für ein
L>
0
gilt, so sprechen wir, statt von einem
(
D,l
)
-MAC,
auch von einem
(
L, l
)
-MAC.
∈
D
und
k
∈
K
beschränkt ist durch
p
(
|
x
|
Da der Etikettieralgorithmus
T
deterministisch sein soll, können wir auf die Angabe
eines Validierungsalgorithmus
V
, mit dem man feststellen kann, ob ein Etikett gültig ist,
verzichten. Dieser kann nämlich leicht allein mit
T
realisiert werden: Um festzustellen,
ob ein NE-Paar
(
x, t
)
gültig bezüglich eines Schlüssels
k
ist, muss nur überprüft werden,
ob
T
(
x, k
)=
t
gilt. Diese Gleichung gilt genau dann, wenn
(
x, t
)
bezüglich
k
gültig ist.
In Aufgabe 9.8.1 soll Definition 9.1.1 so verallgemeinert werden, dass zufallsgesteuerte
Etikettieralgorithmen erlaubt sind.
9.2
Sicherheit symmetrischer Authentifizierungsverfahren
Wie bereits in Abschnitt 7.2 erwähnt, wollen wir von einem MAC verlangen, dass existen-
tielle Fälschung im Fall von Angriffen mit Nachrichtenwahl verhindert wird. Wir erlauben
Eva (der Angreiferin) deshalb, sich mit Hilfe eines Etikettierorakels gültige Etiketten für
beliebige Nachrichten ihrer Wahl erstellen zu lassen. Ein Angriff wird als erfolgreich an-
gesehen, wenn es Eva gelingt, ein gültiges Etikett für eine
neue
Nachricht
x
zu erzeugen,
d. h. Eva darf das Etikettierorakel nicht mit
x
angefragt haben. Daraus ergeben sich
direkt die folgenden Definitionen.
