Cryptography Reference
In-Depth Information
5.4.3
Sicherheit für die Authentifikation
Eine falsche Alice A*, die das Geheimnis s
A
der echten Alice A nicht kennt, kann versuchen
zu raten und die Prüfung in der Verifikation zu bestehen. Sie betreibt ein Pokerspiel und setzt
z.B. darauf, dass Bob mit b=1 antworten wird. In diesem Fall würde Bob prüfen, ob das Com-
mitment x und das Response y die Kongruenz y
2
x/v (mod n) erfüllt. Darauf kann sich A*
präparieren, sie wählt ein y und berechnet mit dem öffentlich bekannten Verifikator v das dazu
passende x und sendet dieses. Auf die erwartete Entscheidung b=1 hat A* das Response y zur
Verfügung, das die Kongruenz erfüllt.
Der geschilderte Ablauf des Angriffs ist in Tab. 5-1 dargestellt. In den unteren drei Zeilen ist
der Fall dargestellt, dass sich der verifizierende Bob wider Erwarten für b=0 entscheidet. Dann
müsste das Response y zusammen mit dem Commitment x entsprechend (5.4-7) die Kon-
gruenz y
2
x (mod n) erfüllen. Zu dem Commitment x kann die falsche Alice A* das passende
y=(x) (mod n) nicht berechnen. Sie müsste dazu eine Quadratwurzel lösen, was sie nicht
kann, und hat damit die Runde verloren.
Für den Fall, dass die falsche Alice A* in ihrem Pokerspiel auf b=0 setzt, könnte eine zu Tab.
5-1 entsprechende Tabelle aufgestellt werden. Darin zeigt sich, dass auch in diesem Fall A*
die Runde gewinnt, wenn die Erwartung mit b=0 eintrifft und dass A* die Runde verliert, falls
die Entscheidung wider Erwarten b=1 lautet.
Tab. 5-1: Versuch einer falschen Alice A*, die das Geheimnis v
A
der echten Alice A nicht kennt,
sich gegenüber Bob als echte Alice zu authentisieren.
A* Angreiferin
sendet
B Verifizierender
setzt auf b=1
erwartet Prüfung auf y
2
x/v
x=y
2
·v
wählt y, berechnet x
entscheidet sich für b=1
hat y gewählt, y ist verfügbar
b=1
x und y erfüllen y
2
x/v
Runde GEWONNEN
y
x=y
2
·v
wählt y, berechnet x
entscheidet sich für b=0
müsste y=x liefern
b=0
x und y sollten erfüllen y
2
x
Runde VERLOREN
KEIN x verfügbar
Die echte Alice A, die das Geheimnis s
A
kennt, gewinnt jede Runde. Die erste verlorene Runde
genügt dem Verifizierenden zu erkennen, dass es sich um einen Angriff handelt. Er bricht dann
die Authentifizierung als gescheitert ab.
Nachdem die Entscheidung des Verifizierenden für b=1 und b=0 zufallsmäßig mit gleicher
Wahrscheinlichkeit getroffen wird, gewinnt oder verliert eine Angreiferin jede Runde mit der
Wahrscheinlichkeit 1/2. Eine Angreiferin gewinnt n Runden mit einer Fehlerwahrscheinlich-
keit von
r
p
2
r : Zahl der Runden
(5.4-9)
f
