Cryptography Reference
In-Depth Information
Es sei
insec
(
q,t,
B
)=sup
{
adv
(
U,
B
)
|
U
(
q,t
)
-beschränkter
l
-Unterscheider
}
.
(4.7.4)
Weiter sei
ε ≥
0
eine reelle Zahl. Ein
l
-Block-Kryptosystem
B
heißt
(
q,t,ε
)
-unsicher,
wenn insec
(
q,t,
B
)
≥
ε
gilt. Es heißt
(
q,t,ε
)
-sicher,
wenn insec
(
q,t,
B
)
≤
ε
gilt.
Bemerkung
4.7.2
.
Mit den Bezeichnungen aus Definition 4.7.5 sieht man leicht, dass
insec
(
q,t,
B
)
≥
0
gilt.
Es sei, wie in Abschnitt 4.6.1 beschrieben, darauf hingewiesen, dass mit der Laufzeit
eines Algorithmus insbesondere auch die Größe seines Programmcodes beschränkt ist. Da-
mit kann für einen
(
q,t
)
-beschränkten Unterscheider die Länge des Programmcodes den
Wert
t
nicht überschreiten - ohne diese Festlegung wäre die obige Definition sinnlos (sie-
he Aufgabe 4.9.23). Insbesondere folgt, dass die Anzahl
(
q,t
)
-beschränkter Unterscheider
endlich ist, weshalb man in (4.7.4) »
sup
«durch»
max
« ersetzen könnte.
Beispiel 4.7.3 (Beispiel 4.7.1 fortgef.). Es sei
1
und
U
der Unterscheider
l
-
Vernamunterscheider
aus Beispiel 4.7.1. Man sieht leicht,
dass die Laufzeit des Experiments
B
das Vernamsystem der Länge
l
≥
E
U
l
, für eine geeignete Konstante
c
,nach
oben beschränkt ist. Wir wissen zudem aus Beispiel 4.7.1, dass adv
(
U,B
)=1
−
durch
c
·
1
2
l
−
1
für
1
2
l
−
1
l
≥
1
gilt. Daraus können wir schließen, dass das Vernamsystem
(2
,c
·
l,
1
−
)
-unsicher
ist.
Letzlich würden wir gern nachweisen, dass es Blockchiffren mit kurzen Schlüssellän-
gen gibt, die
(
q,t,ε
)
-sicher sind für große Werte von
q
und
t
und ein kleines
ε
;dabei
könnte
t
so gewählt werden, wie das in der Diskussion zur erschöpfenden Schlüsselsuche
am Anfang von Abschnitt 4.3 angedeutet wurde. Konkreter noch würden wir gern eine
entsprechende Behauptung für AES beweisen. Festzuhalten ist jedoch, dass dies bisher
für AES, wie auch jedes andere in der Praxis verwendete moderne Block-Kryptosystem,
nicht gelungen ist. Konkrete Sicherheitsaussagen sind für in der Praxis verwendete Block-
Kryptosysteme also bisher nicht bekannt. Für moderne Block-Kryptosysteme versucht
man aber wenigstens die Abwesenheit bekannter Angriffe, wie etwa Angriffe basierend
auf der linearen Kryptanalyse, nachzuweisen bzw. die Effektivität solcher Angriffe zu be-
stimmen. Dies liefert wertvolle Hinweise darauf, welchen Grad an Sicherheit bei welcher
Wahl der Parameter (etwa
q
und
t
) man erwarten kann und wie Sicherheitsparameter
(etwa die Länge von Schlüsseln) zu wählen sind.
Obwohl man die Sicherheit moderner Block-Kryptosysteme bisher also nicht nachwei-
sen konnte, ist es dennoch wichtig, zu definieren, was von einem Block-Kryptosystem
erwartet wird, damit klar ist, worauf die Entwicklung solcher Systeme abzielen sollte
und man darauf bei der Entwicklung weiterer kryptographischer Primitive, die Block-
Kryptosysteme verwenden, aufbauen kann.
Es sei erwähnt, dass es Konstruktionen für in unserem Sinne sichere Block-Krypto-
systeme gibt, die auf plausiblen Annahmen beruhen, wie z. B. der Existenz sogenannter
Einwegfunktionen (siehe auch Abschnitt 6.4.2), d. h., Funktionen die leicht zu berechnen,
aber schwer zu invertieren sind. Leider sind diese Konstruktionen nicht praktikabel (siehe
auch Abschnitt 4.10).
