Cryptography Reference
In-Depth Information
Wir verlangen, dass
T
bei Eingabe einer Nachricht
c
, die außerhalb des Definitions-
bereiches von
T
liegt,
⊥
ausgibt. In diesem Fall schlägt die Dechiffrierung also auch
fehl.
Hinter der Konstruktion von
S
CCA
steckt eine einfache Idee. Ein Angreifer, der den
Schlüssel
(
k
e
,k
m
)
nicht kennt, wird zu einem neuen Chiffretext des Basisschemas kein
gültiges Etikett berechnen können. Chiffretexte, die vom Angreifer erzeugt werden und
nicht vom Chiffrierorakel stammen, werden also nicht erfolgreich entschlüsselt werden.
Damit ist aber das Dechiffrierorakel für den Angreifer nutzlos. Er wird also lediglich das
Chiffrierorakel verwenden können, was uns zur CPA-Sicherheit zurückbringt.
Für die genaue Sicherheitsanalyse gehen wir wie üblich davon aus, dass wir einen An-
greifer
A
auf
1
Anfragen an
sein Dechiffrierorakel stellt; der Fall
q
=0
ist trivial. Es bezeichne
E
CCA
⊥
S
CCA
gegeben haben. Wir nehmen an, dass
A
maximal
q
≥
das Ereignis,
E
S
CC
A
der Angreifer
A
eine Anfrage
(
c, t
)
an das Dechiffrieorakel schickt,
so dass
t
=
T
(
c, k
m
)
gilt, und
(
c, t
)
nicht vom Chiffrierorakel ausgegeben wurde. Mit
anderen Worten beschreibt
E
CCA
⊥
dass in
E
A
=
das Ereignis, dass
A
einen neuen und gültigen Chiffre-
text erzeugt hat. Formal ist
E
CCA
⊥
eine Menge von Läufen von
E
A
, die die beschriebene
Bedingung erfüllen.
Offensichtlich gilt:
=Prob
+Prob
E
A
=1
,E
CCA
E
A
=1
, E
CCA
Prob
{
E
A
=1
}
⊥
⊥
Prob
+Prob
E
CCA
⊥
(9.7.1)
.
E
A
=1
, E
CCA
⊥
≤
E
A
=1
,E
CCA
Im Ereignis »
« werden nur Läufe betrachtet, in denen es
A
nicht gelingt,
einen neuen u
nd gül
tigen Chiffretext zu erzeugen. Wie wir sehen werden, können wir
⊥
Prob
durch die Wahrscheinlichkeit beschränken, dass ein Angreifer
A
E
A
=1
, E
CCA
⊥
auf
S
CPA
, den wir mit Hilfe von
A
konstruieren werden, erfolgreich ist. Entsprechend
werden wir
Prob
E
CCA
⊥
durch die Wahrscheinlichkeit beschränken, dass ein Fälscher
F
für
M
, den wir mit Hilfe von
A
konstruieren werden, erfolgreich ist.
Wir wenden uns zunächst der Abschätzung von
Prob
zu. Der er-
E
A
=1
,E
CCA
⊥
wähnte Angreifer
A
simuliert einfach das Experiment
E
A
.Da
A
lediglich Zugriff auf ein
S
CPA
hat, simuliert
A
den MAC selbst. Das einzige
Chiffrierorakel des Basisschemas
E
A
wird sein, dass
A
Anfragen an das Dechiffrierorakel
evtl. nicht beantworten kann, da
A
für das Basisschema kein Dechiffrierorakel zur Ver-
fügung hat. Dieser Fall tritt aber nur dann auf, wenn es
A
gelungen ist, einen neuen und
gültigen Chiffretext zu erzeugen. In diesem Fall, der dem Ereignis
E
CCA
⊥
Problem in der Simulation von
entspricht, gibt
A
auf. Wie gesagt kümmern wir uns gesondert um dieses Ereignis.
Der Angreifer
A
, der Zugriff auf ein Chiffrierorakel
O
des Basisschemas
S
CPA
hat, ist
genauer wie folgt definiert:
A
(
O
):
{
0
,
1
}
1.
Initialisierung
S
=
∅
2.
Simuliere
E
A
E
A
mit folgenden Änderungen: