Cryptography Reference
In-Depth Information
kann). Diese Anfragen werden in α also genau richtig, nämlich wie in α , beantwortet.
Dasselbe gilt auch für die bis dahin gestellten Anfragen an das Chiffrierorakel sowie für
das Angebot. Bis zur i -ten Anfrage von A an das Dechiffrierorakel ist die Sicht von A in
α und α also identisch. Liefert A in α in der i -ten Anfrage an das Dechiffrierorakel den
Chiffretext ( c, t ) ,sogibt F in α demnach das NE-Paar ( c, t ) aus. Dieses wurde, nach
Wahl von α , nicht zuvor vom Chiffrierorakel ausgegeben und ist gültig, d. h., t = T ( c, k m ) ,
was bedeutet, dass die Berechnung von F im Lauf α erfolgreich war. Die Berechnung von
F in α ist zudem zulässig: Da wir annehmen, dass Etikettieralgorithmen deterministisch
sind, folgt, dass auch c nicht vom Chiffrierorakel ausgegeben wurde; sonst wäre mit c
auch t ausgegeben worden. In α wurde das Etikettierorakel also nicht mit c angefragt.
Wir erhalten also, dass die Berechnung von F in α in der Tat erfolgreich und zulässig
ist.
Ist p die Wahrscheinlichkeit, mit der α in
E A auftritt, so tritt α im Experiment
E F
mit Wahrscheinlichkeit q · p auf. Der Faktor q
rührt daher, dass, anders als in
E A ,in
E F zusätzlich der Index i zufällig gewählt wird.
Aus den bisher gezeigten Aussagen folgt nun sofort (9.7.3). Aus dieser Aussage sowie
(9.7.1) und (9.7.2) können wir zudem direkt Folgendes schließen:
Prob
=1 + q
E S CPA
A
Prob
{ E A =1
}≤
·
adv MAC ( F,
M
) .
Damit erhalten wir aber:
Satz 9.7.1. Es sei
S CCA das wie oben aus
S CPA und
M
konstruierte symmetrische
Kryptoschema. Es sei weiter A ein Angreifer für
S CCA , der höchstens q Anfragen an
sein Dechiffrierorakel stellt. Es bezeichne A den wie oben aus A konstruierten Angreifer
für
S CPA und F den wie oben aus A konstruierten Fälscher für
M
.Danngilt:
adv ( A ,S CPA )+2 · q ·
adv CCA ( A,S CCA )
adv MAC ( F,M ) .
Für eine genauere Analyse der Güte der Reduktion verweisen wir auf Aufgabe 9.8.13.
Wir haben im Beweis des Satzes verwendet, dass der Etikettieralgorithmus determinis-
tisch ist und insbesondere dass es zu einer Nachricht nur ein gültiges Etikett (bzgl. eines
Schlüssels) gibt. In Aufgabe 9.8.14 soll gezeigt werden, dass diese Annahme notwendig
ist.
9.8
Aufgaben
Aufgabe 9.8.1 (zufallsgesteuerte Etikettieralgorithmen) . Verallgemeinern Sie die Defini-
tion für MACs (Definition 9.1.1) für den Fall zufallsgesteuerter Etikettieralgorithmen.
Ergänzen Sie symmetrische Authentifizierungsschemen insbesondere mit geeigneten Va-
lidierungsalgorithmen.
Aufgabe 9.8.2 (Fälscher mit Zugriff auf ein Validierungsorakel) . Wie nach Definition 9.2.2
diskutiert, könnte man Definition 9.2.2 dahingehend erweitern, dass man einem Fälscher,
neben dem Etikettierorakel, Zugriff auf ein Validierungsorakel gibt. In dieser Aufgabe soll
Search WWH ::




Custom Search