Symmetrische Authentifizierungsverfahren - Moderne Kryptographie

Cryptography Reference

In-Depth Information

Satz 9.3.1. Es seien

M B wie oben definiert. Dann existiert eine (kleine) Kon-

stante c , so dass für alle l,q,t > 0 und ( l · q,q,t ) -beschränkten Fälscher F für

und

M B ein

( q,t + c

log( q )) -beschränkter l -Unterscheider U für

existiert mit

)+ 2+ q · ( q − 1)

2 l +1

adv MAC ( F,

M B )

≤

adv ( U,

(9.3.1)

Beweis. Es seien

M B , l , q , t und F wie in der Voraussetzung des Satzes gegeben.

Gemäß Definition 4.7.2 ist die Aufgabe des zu konstruierenden Unterscheiders U ( G ) ,der

ein Chiffrierorakel G als Parameter erhält, zu bestimmen, ob die Chiffre G von

stammt

oder eine zufällige Funktion ist; wegen Lemma 4.8.1 (PRF/PRP-Switching Lemma) kön-

nen wir zunächst zufällige Funktionen statt zufällige Permutationen betrachten.

Um zwischen

und einer zufälligen Funktion zu unterscheiden, simuliert U ( G ) ein-

fach das gesamte Experiment

E M F , mit Ausnahme der Schlüsselwahl; die Aufgabe des

Etikettierorakels übernimmt dabei G .

Die Intuition hierbei ist die folgende: Falls G von

stammt, so simuliert U genau das

E M F (bis auf die Schlüsselwahl). Ist insbesondere F ein guter Fälscher, so

wird die Berechnung von F mit hoher Wahrscheinlichkeit erfolgreich und zulässig sein.

Der Unterscheider U gibt deshalb mit hoher Wahrscheinlichkeit 1 aus - glaubt also, dass

G von

Experiment

stammt. Ist dagegen G eine zufällige Funktion, dann wird, wie oben angedeutet,

die Berechnung von F mit hoher Wahrscheinlichkeit nicht sowohl erfolgreich als auch

zulässig sein. In diesem Fall gibt U also mit hoher Wahrscheinlichkeit 0 aus - glaubt also,

dass G eine zufällige Funktion ist. Insgesamt sollte U damit gut unterscheiden können,

ob G von

stammt oder eine zufällige Funktion ist. Wir werden dieses Argument nun

präzisieren.

Der Unterscheider U ist wie folgt definiert:

l ):

U ( G :

{

0 , 1

}

→{

0 , 1

}

{

0 , 1

}

1. Initialisierung

S = ∅

2. Berechnung eines Nachrichten-Etikett-Paares durch Simulation von F

F , wobei Anfragen x von F wie folgt beantwortet werden:

S = S

x }

gib G ( x ) als Antwort zurück an den simulierten Algorithmus F

Es bezeichne ( x, t ) die Ausgabe von F .

3. Auswertung

falls die Berechnung von F erfolgreich und zulässig war, d. h. G ( x )= t und

∪{

∈

S ,danngib 1 , sonst 0 aus.

PRF

b =1

,alsodasExperiment

Man sieht nun in der Tat leicht, dass das Experiment

E M B

PRF

für den Fall, dass G von

stammt, genau dem Experiment

entspricht. Wir

erhalten insbesondere:

)=Prob S

PRF

suc PRF ( U,

b =1

= adv MAC ( F,M B ) .

Moderne Kryptographie

Search WWH ::

Custom Search

Home