Cryptography Reference
In-Depth Information
Wir wollen nun noch eine generelle Bemerkung zur Sprechweise bzgl. der algorith-
mischen Sicherheit in diesem Buch machen. Wie in Abschnitt 2.4.2 erwähnt und wie
bereits in Definition 4.7.5 gesehen, folgen wir in diesem Buch dem Ansatz der konkreten
Sicherheit, d. h., die dem Angreifer zur Verfügung stehenden Ressourcen, z. B., seine ma-
ximale Laufzeit und die maximale Anzahl möglicher Orakelanfragen, sowie sein Vorteil
im betrachteten Experiment werden präzise angegeben. Eine Aussage zur Sicherheit eines
kryptographischen Verfahrens, zum Beispiel eines Kryptosystems, macht deshalb nur im
Zusammenhang mit der Angabe der Ressourcen und des Vorteils des Angreifers Sinn: Si-
cherheit ist keine ja/nein-Frage, sondern wird gemessen. Wir werden aber in informellen
Diskussionen trotzdem häufig von einem »sicheren Kryptosystem«, genauso für andere
kryptographische Verfahren, sprechen (und haben dies oben bereits getan), ohne die Res-
sourcen des Angreifers und seinen Vorteil anzugeben. Mit einer solchen Aussage ist dann
intuitiv gemeint, dass der Vorteil eines Angreifers im entsprechenden Experiment »klein«
ist, auch wenn seine Ressourcen »groß« sind, wobei »groß« und »klein« nicht genau spe-
zifiziert werden. In mathematischen Sätzen zur Sicherheit kryptographischer Verfahren
werden unsere Aussagen natürlich präzise sein.
4.8
Funktionen statt Permutationen
Im vorherigen Abschnitt haben wir - aus gutem Grund - festgelegt, dass
l
-Block-Krypto-
systeme dann als sicher zu betrachten sind, wenn sie (fast) nicht von einem Substitutions-
kryptosystem auf
{
0
,
1
}
l
zu unterscheiden sind. Die Menge der Chiffren eines Substituti-
l
.Zur
Verschlüsselung wird zufällig eine dieser Permutationen gewählt. In der Literatur wird ein
Substitutionskryptosystem deshalb häufig auch als
zufällige Permutation
(
random per-
mutation
) bezeichnet. Entsprechend bezeichnet man ein sicheres
l
-Block-Kryptosystem
als
pseudozufällige Permutation (PRP)
(
pseudorandom permutation
), da es (fast) nicht
von einer zufälligen Permutation zu unterscheiden ist.
Verwendet man Block-Kryptosysteme zur Konstruktion komplexerer kryptographi-
scher Primitive, wie wir dies etwa im nächsten Kapitel sehen werden, so stellt sich heraus,
dass es einfacher ist, wenn man ein Kryptosystem nicht als pseudozufällige Permutation
modelliert, sondern als
pseudozufällige Funktion (PRF)
(
pseudorandom function
). Man
nimmt also an, dass sich ein Block-Kryptosystem (fast) nicht von einer
zufälligen Funk-
tion
unterscheiden lässt, also einem Kryptosystem, bei dem die Menge der Chiffren alle
Funktionen
von
l
umfasst, wie wir wissen, alle Permutationen über
onskryptosystems auf
{
0
,
1
}
{
0
,
1
}
l
umfasst und zur Verschlüsselung zufällig eine die-
ser Chiffren gewählt wird. Formal kann man eine zufällige Funktion natürlich nicht als
Kryptosystem betrachten, da eine Funktion, im Gegensatz zu einer Permutation, keine
eindeutige Umkehrung und deshalb keine eindeutige Entschlüsselung zulässt. Aber wir
müssen eine zufällige Funktion auch nicht als Kryptosystem interpretieren. Wir werden
zufällige Funktionen lediglich verwenden, um die Sicherheit eines Block-Kryptosystems
zu definieren. Der wesentliche Grund dafür, dass (pseudo-)zufällige Funktionen leichter zu
handhaben sind als (pseudo-)zufällige Permutationen, ist, dass man sich bei Funktionen
nicht darum kümmern muss, dass verschiedene Klartexte verschiedene Funktionswerte
bekommen.
l
{
0
,
1
}
nach
{
0
,
1
}
