Symmetrische Authentifizierungsverfahren - Moderne Kryptographie

Cryptography Reference

In-Depth Information

a. Schlüsselwahl

Es wird nur ein Schlüssel k m = flip ( K MAC ) für

gewählt; die Verschlüs-

selung mit dem Basisschema wird von O übernommen.

b. Anfragen x von A an das Chiffrierorakel

c = O ( x )

t = T ( c, k m )

S = S ∪{ ( x, c,t ) }

gib ( c, t ) an den simulierten Algorithmus A zurück

c. Unterbreitung eines Angebots ( x 0 ,x 1 ) von A

Liefert A ein Angebot ( x 0 ,x 1 ) ,soliefert A eben dieses Angebot an sein

Orakel. Ist c die Probe, die A als Antwort zurückbekommt, dann fährt A

wie folgt fort:

t = T ( c, k m )

S = S ∪{ ( x, c,t ) }

gib ( c, t ) an den simulierten Algorithmus A zurück

d. Anfragen ( c, t ) von A an das Dechiffrierorakel

falls x existiert mit ( x, c,t ) ∈ S ,gib x an den simulierten Algorithmus A

zurück

sonst, falls t = T ( c, k m ) ,gib

⊥

an den simulierten Algorithmus A zurück

sonst, Ausgabe 0 und halt

(»Gib auf.«)

Es bezeichne E CPA

giveup

A der Angreifer A eine

Anfrage an das Dechiffrierorakel nicht beantwor ten ka nn (letzter Fall in d.). Man sieht

leicht, da ss ein Lauf im Ereignis »

E S CPA

das Ereignis, dass in einem Lauf von

E S CPA

=1 , E CPA

giveup « genau einem Lauf im Ereignis

E A =1 , E CCA

⊥

« entspricht. In der Tat ist es leicht, eine Bijektion zwischen den Läufen

dieser Ereignisse anzugeben, so dass korrespondierende Läufe i) die gleiche Wahrschein-

lichkeit haben, ii) die Sichten von A genau gleich sind und (deshalb) iii) die Ausgaben

der Experimente übereinstimmen (siehe Aufgabe 9.8.12). Damit folgt:

Prob

=Prob

giveup

E S CPA

E A =1 , E CCA

⊥

=1 ,E CPA

≤ Prob

=1 .

(9.7.2)

E S CPA

Wir wenden uns nun der Abschätzung von Prob E CCA

⊥

zu. Der erwähnte Fälscher F

simuliert ähnlich wie A das Experiment

E A . Anders als A hofft F aber darauf, dass das

Ereignis E CCA

⊥

eintritt. Der Fälscher F rät, in welcher Anfrage von A an das Dechiffrier-

orakel ein neuer und gültiger Chiffretext geliefert wird. Tritt das Ereignis E CCA

⊥

ein und

rät F korrekt, dann hat F den MAC erfolgreich »gebrochen«.

Genauer ist der Fälscher F , der Zugriff auf das Etikettierorakel O des MACs

hat,

wie folgt definiert, wobei, wie oben bereits festgelegt, q die maximale Anzahl der Anfragen

bezeichnet, die A an sein Dechiffrierorakel stellt:

} ∗ ×{

} ∗

F ( O ):

{

0 , 1

1. Initialisierung

S =

∅

Moderne Kryptographie

Search WWH ::

Custom Search

Home