Asymmetrische Verschlüsselungsverfahren

Transkript

1 Asymmetrische Verschlüsselungsverfahren Vorlesung 4 Alexander Koch (Vertretung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 KIT Universität desalexander Landes Baden-Württemberg Koch Asymmetrische und Verschlüsselungsverfahren nationales Forschungszentrum in der Helmholtz-Gemeinschaft

2 Szenario mit symmetrischer Verschlüsselung Alice möchte Bob eine private Nachricht schicken Alice Bob Eve Alexander Koch Asymmetrische Verschlüsselungsverfahren

3 Szenario mit symmetrischer Verschlüsselung Alice möchte Bob eine private Nachricht schicken 1. gemeinsamen Schlüssel k austauschen Alice Bob Eve Alexander Koch Asymmetrische Verschlüsselungsverfahren

4 Szenario mit symmetrischer Verschlüsselung Alice möchte Bob eine private Nachricht schicken 2. Alice verschlüsselt m: c := Enc k (m) 1. gemeinsamen Schlüssel k austauschen Alice Bob Eve Alexander Koch Asymmetrische Verschlüsselungsverfahren

5 Szenario mit symmetrischer Verschlüsselung Alice möchte Bob eine private Nachricht schicken 2. Alice verschlüsselt m: c := Enc k (m) Alice 1. gemeinsamen Schlüssel k austauschen 3. Versenden von c über unsicheren Kanal Eve lauscht Bob Eve Alexander Koch Asymmetrische Verschlüsselungsverfahren

6 Szenario mit symmetrischer Verschlüsselung Alice möchte Bob eine private Nachricht schicken 1. gemeinsamen Schlüssel k austauschen 2. Alice verschlüsselt m: c := Enc k (m) Alice 3. Versenden von c über unsicheren Kanal Eve lauscht Bob 4. Bob entschlüsselt c: m := Dec k (c) Eve Eve kann aus c nichts lernen Alexander Koch Asymmetrische Verschlüsselungsverfahren

7 Szenario mit symmetrischer Verschlüsselung Alice möchte Bob eine private Nachricht schicken 1. gemeinsamen Schlüssel k austauschen 2. Alice verschlüsselt m: c := Enc k (m) Alice 3. Versenden von c über unsicheren Kanal Eve lauscht Bob 4. Bob entschlüsselt c: m := Dec k (c) Eve Eve kann aus c nichts lernen Frage: Geht das vollständig über unsicheren Kanal? Alexander Koch Asymmetrische Verschlüsselungsverfahren

8 Lernziele heute Ziel ist es, dass Sie nach dieser Lehrveranstaltung... 1 den konzeptionellen Unterschied zwischen symmetrischen und asymmetrischen Verschlüsselungsverfahren (PKE) verstehen und diese an Hand von Vor- und Nachteilen vergleichen können, 2 die formale Definition eines PKE kennen und damit umgehen können, 3 den gängigen Begriff von Sicherheit gegenüber (passiven) Lauschern verstehen und die Wahl dieses Begriffes motivieren können, 4 verstehen, wieso PKE nicht perfekt sicher sein können, 5 verstehen, wieso sichere PKE nicht deterministisch verschlüsseln, 6 Varianten des Sicherheitsbegriffs vergleichen können Alexander Koch Asymmetrische Verschlüsselungsverfahren

9 Lernziele heute Ziel ist es, dass Sie nach dieser Lehrveranstaltung... 1 den konzeptionellen Unterschied zwischen symmetrischen und asymmetrischen Verschlüsselungsverfahren (PKE) verstehen und diese an Hand von Vor- und Nachteilen vergleichen können, 2 die formale Definition eines PKE kennen und damit umgehen können, 3 den gängigen Begriff von Sicherheit gegenüber (passiven) Lauschern verstehen und die Wahl dieses Begriffes motivieren können, 4 verstehen, wieso PKE nicht perfekt sicher sein können, 5 verstehen, wieso sichere PKE nicht deterministisch verschlüsseln, 6 Varianten des Sicherheitsbegriffs vergleichen können Alexander Koch Asymmetrische Verschlüsselungsverfahren

10 Lernziele heute Ziel ist es, dass Sie nach dieser Lehrveranstaltung... 1 den konzeptionellen Unterschied zwischen symmetrischen und asymmetrischen Verschlüsselungsverfahren (PKE) verstehen und diese an Hand von Vor- und Nachteilen vergleichen können, 2 die formale Definition eines PKE kennen und damit umgehen können, 3 den gängigen Begriff von Sicherheit gegenüber (passiven) Lauschern verstehen und die Wahl dieses Begriffes motivieren können, 4 verstehen, wieso PKE nicht perfekt sicher sein können, 5 verstehen, wieso sichere PKE nicht deterministisch verschlüsseln, 6 Varianten des Sicherheitsbegriffs vergleichen können Alexander Koch Asymmetrische Verschlüsselungsverfahren

11 Lernziele heute Ziel ist es, dass Sie nach dieser Lehrveranstaltung... 1 den konzeptionellen Unterschied zwischen symmetrischen und asymmetrischen Verschlüsselungsverfahren (PKE) verstehen und diese an Hand von Vor- und Nachteilen vergleichen können, 2 die formale Definition eines PKE kennen und damit umgehen können, 3 den gängigen Begriff von Sicherheit gegenüber (passiven) Lauschern verstehen und die Wahl dieses Begriffes motivieren können, 4 verstehen, wieso PKE nicht perfekt sicher sein können, 5 verstehen, wieso sichere PKE nicht deterministisch verschlüsseln, 6 Varianten des Sicherheitsbegriffs vergleichen können Alexander Koch Asymmetrische Verschlüsselungsverfahren

12 Lernziele heute Ziel ist es, dass Sie nach dieser Lehrveranstaltung... 1 den konzeptionellen Unterschied zwischen symmetrischen und asymmetrischen Verschlüsselungsverfahren (PKE) verstehen und diese an Hand von Vor- und Nachteilen vergleichen können, 2 die formale Definition eines PKE kennen und damit umgehen können, 3 den gängigen Begriff von Sicherheit gegenüber (passiven) Lauschern verstehen und die Wahl dieses Begriffes motivieren können, 4 verstehen, wieso PKE nicht perfekt sicher sein können, 5 verstehen, wieso sichere PKE nicht deterministisch verschlüsseln, 6 Varianten des Sicherheitsbegriffs vergleichen können Alexander Koch Asymmetrische Verschlüsselungsverfahren

13 Lernziele heute Ziel ist es, dass Sie nach dieser Lehrveranstaltung... 1 den konzeptionellen Unterschied zwischen symmetrischen und asymmetrischen Verschlüsselungsverfahren (PKE) verstehen und diese an Hand von Vor- und Nachteilen vergleichen können, 2 die formale Definition eines PKE kennen und damit umgehen können, 3 den gängigen Begriff von Sicherheit gegenüber (passiven) Lauschern verstehen und die Wahl dieses Begriffes motivieren können, 4 verstehen, wieso PKE nicht perfekt sicher sein können, 5 verstehen, wieso sichere PKE nicht deterministisch verschlüsseln, 6 Varianten des Sicherheitsbegriffs vergleichen können Alexander Koch Asymmetrische Verschlüsselungsverfahren

14 Szenario mit PKE Alice möchte Bob eine private Nachricht schicken 1. Bob erzeugt Schlüsselpaar Alice Bob Eve Alexander Koch Asymmetrische Verschlüsselungsverfahren

15 Szenario mit PKE Alice möchte Bob eine private Nachricht schicken 2. Bob veröffentlicht 1. Bob erzeugt Schlüsselpaar Alice Bob Eve Alexander Koch Asymmetrische Verschlüsselungsverfahren

16 Szenario mit PKE Alice möchte Bob eine private Nachricht schicken 3. Alice verschlüsselt m: c Enc (m) Alice 2. Bob veröffentlicht Bob 1. Bob erzeugt Schlüsselpaar Eve Alexander Koch Asymmetrische Verschlüsselungsverfahren

17 Szenario mit PKE Alice möchte Bob eine private Nachricht schicken 2. Bob veröffentlicht 3. Alice verschlüsselt m: c Enc (m) 4. Versenden von c über unsicheren Kanal 1. Bob erzeugt Schlüsselpaar Alice Eve lauscht Bob Eve Alexander Koch Asymmetrische Verschlüsselungsverfahren

18 Szenario mit PKE Alice möchte Bob eine private Nachricht schicken 2. Bob veröffentlicht 3. Alice verschlüsselt m: c Enc (m) 4. Versenden von c über unsicheren Kanal 1. Bob erzeugt Schlüsselpaar 5. Bob entschlüsselt c: m := Dec (c) Alice Eve lauscht Bob Eve Eve kann aus, c nichts lernen Alexander Koch Asymmetrische Verschlüsselungsverfahren

19 Szenario mit PKE Alice möchte Bob eine private Nachricht schicken 2. Bob veröffentlicht 3. Alice verschlüsselt m: c Enc (m) 4. Versenden von c über unsicheren Kanal 1. Bob erzeugt Schlüsselpaar 5. Bob entschlüsselt c: m := Dec (c) Alice Eve lauscht Bob Eve Eve kann aus, c nichts lernen Frage: Welcher Schlüssel wird wo verwendet? Alexander Koch Asymmetrische Verschlüsselungsverfahren

20 Szenario mit PKE Alice möchte Bob eine private Nachricht schicken 3. Alice verschlüsselt m: c Enc pk (m) Alice 2. Bob veröffentlicht pk 4. Versenden von c über unsicheren Kanal Eve lauscht Bob 1. Bob erzeugt Schlüsselpaar 5. Bob entschlüsselt c: m := Dec sk (c) Eve Frage: Welcher Schlüssel wird wo verwendet? Eve kann aus pk, c nichts lernen Alexander Koch Asymmetrische Verschlüsselungsverfahren

21 Szenario mit PKE Alice möchte Bob eine private Nachricht schicken Alexander Koch Asymmetrische Verschlüsselungsverfahren

22 Szenario mit PKE Alice möchte Bob eine private Nachricht schicken 3. Alice verschlüsselt m: c Enc pk (m) Alice 2. Bob veröffentlicht pk 4. Versenden von c über unsicheren Kanal Eve lauscht Bob 1. Bob erzeugt Schlüsselpaar 5. Bob entschlüsselt c: m := Dec sk (c) Eve Eve kann aus pk, c nichts lernen Beachte: Für jeden Empfänger benötigen wir ein Schlüsselpaar. Symmetrisch: Je zwei Personen benötigen einen gem. Schlüssel Alexander Koch Asymmetrische Verschlüsselungsverfahren

23 Syntax eines PKE-Schemas Ein PKE-Schema besteht aus drei PPT 1 -Algorithmen: Schlüssel erzeugen. Gen(1 n ) erhält Sicherheitsparameter 1 n und gibt Schlüsselpaar (pk, sk) aus. Verschlüsseln. Enc pk (m) erhält öffentlichen Schlüssel pk und Nachricht m und gibt ein Chiffrat aus. Entschlüsseln. Dec sk (c) erhält geheimen Schlüssel sk und Chiffrat c und gibt die entschlüsselte Nachricht aus, oder falls nicht entschlüsselt werden konnte. 1 probabilistisch und polynomialzeitbeschränkt ˆ= effizient Alexander Koch Asymmetrische Verschlüsselungsverfahren

24 Korrektheit Das PKE-Schema entschlüsselt regulär erstellte Chiffrate korrekt, d.h. für alle (sk, pk) im Bild von Gen gilt Dec sk (Enc pk (m)) = m. Allgemeiner: Pr[Dec sk (Enc pk (m)) = m] ist vernachlässigbar (mit Wahrscheinlichkeit über Zufall von Gen und Enc). Wiederholung vernachlässigbar Eine Funktion f ist vernachlässigbar, wenn es für jedes Polynom p( ) ein N gibt, sodass für alle n > N gilt: f (n) < 1 p(n). f fällt asymptotisch schneller als der Kehrwert jedes Polynoms. Nett: f vernachlässigbar, p Polynom = f p vernachlässigbar Alexander Koch Asymmetrische Verschlüsselungsverfahren

25 Korrektheit Das PKE-Schema entschlüsselt regulär erstellte Chiffrate korrekt, d.h. für alle (sk, pk) im Bild von Gen gilt Dec sk (Enc pk (m)) = m. Allgemeiner: Pr[Dec sk (Enc pk (m)) = m] ist vernachlässigbar (mit Wahrscheinlichkeit über Zufall von Gen und Enc). Wiederholung vernachlässigbar Eine Funktion f ist vernachlässigbar, wenn es für jedes Polynom p( ) ein N gibt, sodass für alle n > N gilt: f (n) < 1 p(n). f fällt asymptotisch schneller als der Kehrwert jedes Polynoms. Nett: f vernachlässigbar, p Polynom = f p vernachlässigbar Alexander Koch Asymmetrische Verschlüsselungsverfahren

26 Korrektheit Das PKE-Schema entschlüsselt regulär erstellte Chiffrate korrekt, d.h. für alle (sk, pk) im Bild von Gen gilt Dec sk (Enc pk (m)) = m. Allgemeiner: Pr[Dec sk (Enc pk (m)) = m] ist vernachlässigbar (mit Wahrscheinlichkeit über Zufall von Gen und Enc). Wiederholung vernachlässigbar Eine Funktion f ist vernachlässigbar, wenn es für jedes Polynom p( ) ein N gibt, sodass für alle n > N gilt: f (n) < 1 p(n). f fällt asymptotisch schneller als der Kehrwert jedes Polynoms. Nett: f vernachlässigbar, p Polynom = f p vernachlässigbar Alexander Koch Asymmetrische Verschlüsselungsverfahren

27 Sicherheit gegen passive Lauscher Das IND-CPA-Sicherheitsspiel Herausforderer Angreifer pk Mit dem pk kann ich mir jetzt beliebige Chiffrate selbst erzeugen ich brauche also ein mögliches Verschlüsselungsorakel gar nicht... Angreifer gewinnt, wenn er errät, welche Nachricht in einem Chiffrat einer von zwei selbstgewählten Nachrichten steckt Alexander Koch Asymmetrische Verschlüsselungsverfahren

28 Sicherheit gegen passive Lauscher Das IND-CPA-Sicherheitsspiel Herausforderer Angreifer pk Welche beiden Nachrichten m 0, m 1 machen mir das Gewinnen am leichtesten? Angreifer gewinnt, wenn er errät, welche Nachricht in einem Chiffrat einer von zwei selbstgewählten Nachrichten steckt Alexander Koch Asymmetrische Verschlüsselungsverfahren

29 Sicherheit gegen passive Lauscher Das IND-CPA-Sicherheitsspiel Herausforderer Angreifer pk m 0, m 1, mit m 0 = m 1, m 0 = m 1 Welche beiden Nachrichten m 0, m 1 machen mir das Gewinnen am leichtesten? Angreifer gewinnt, wenn er errät, welche Nachricht in einem Chiffrat einer von zwei selbstgewählten Nachrichten steckt Alexander Koch Asymmetrische Verschlüsselungsverfahren

30 Sicherheit gegen passive Lauscher Das IND-CPA-Sicherheitsspiel Herausforderer Angreifer pk b {0, 1} c Enc pk (m b ) m 0, m 1, mit m 0 = m 1, m 0 = m 1 Angreifer gewinnt, wenn er errät, welche Nachricht in einem Chiffrat einer von zwei selbstgewählten Nachrichten steckt Alexander Koch Asymmetrische Verschlüsselungsverfahren

31 Sicherheit gegen passive Lauscher Das IND-CPA-Sicherheitsspiel Herausforderer Angreifer pk b {0, 1} c Enc pk (m b ) m 0, m 1, mit m 0 = m 1, m 0 = m 1 c Welche der beiden Nachrichten steckt wohl in c? Angreifer gewinnt, wenn er errät, welche Nachricht in einem Chiffrat einer von zwei selbstgewählten Nachrichten steckt Alexander Koch Asymmetrische Verschlüsselungsverfahren

32 Sicherheit gegen passive Lauscher Das IND-CPA-Sicherheitsspiel Herausforderer Angreifer pk b {0, 1} c Enc pk (m b ) m 0, m 1, mit m 0 = m 1, m 0 = m 1 c Welche der beiden Nachrichten steckt wohl in c? Ich vermute Nachricht m b... b Angreifer gewinnt, wenn er errät, welche Nachricht in einem Chiffrat einer von zwei selbstgewählten Nachrichten steckt Alexander Koch Asymmetrische Verschlüsselungsverfahren

33 Sicherheit gegen passive Lauscher Das IND-CPA-Sicherheitsspiel Herausforderer Angreifer pk b {0, 1} c Enc pk (m b ) m 0, m 1, mit m 0 = m 1, m 0 = m 1 c b b = b? Angreifer gewinnt, wenn er errät, welche Nachricht in einem Chiffrat einer von zwei selbstgewählten Nachrichten steckt. Also, wenn b = b Alexander Koch Asymmetrische Verschlüsselungsverfahren

34 Sicherheit gegen passive Lauscher Indistinguishability under Chosen-Plaintext Attacks Ein PKE-Schema ist sicher gegen Lauscher, bzw. IND-CPA-sicher, wenn für jeden effizienten Angreifer A der Gewinnvorteil gegenüber Raten (mit Fifty-fifty-Chance ) vernachlässigbar im Sicherheitsparameter n ist, d.h. Pr[A gewinnt] 1 2 f (n), für eine vernachlässigbare Funktion f Alexander Koch Asymmetrische Verschlüsselungsverfahren

35 Es gibt keine perfekte Sicherheit Im Gegensatz zur symmetrischen Verschlüsselung kann hier ein unbeschränkter Angreifer das System immer brechen. Wie? Alexander Koch Asymmetrische Verschlüsselungsverfahren

36 Es gibt keine perfekte Sicherheit Angriff durch unbeschränkten Angreifer Herausforderer Angreifer pk Alexander Koch Asymmetrische Verschlüsselungsverfahren

37 Es gibt keine perfekte Sicherheit Angriff durch unbeschränkten Angreifer Herausforderer Angreifer pk m 0, m 1, mit m 0 = m 1, m 0 = m 1 ruft Gen(1 n ) auf, bis (pk, sk) ausgegeben wird, wählt m 0, m 1 beliebig Alexander Koch Asymmetrische Verschlüsselungsverfahren

38 Es gibt keine perfekte Sicherheit Angriff durch unbeschränkten Angreifer Herausforderer Angreifer b {0, 1} c Enc pk (m b ) pk m 0, m 1, mit m 0 = m 1, m 0 = m 1 c ruft Gen(1 n ) auf, bis (pk, sk) ausgegeben wird, wählt m 0, m 1 beliebig Alexander Koch Asymmetrische Verschlüsselungsverfahren

39 Es gibt keine perfekte Sicherheit Angriff durch unbeschränkten Angreifer Herausforderer Angreifer b {0, 1} c Enc pk (m b ) pk m 0, m 1, mit m 0 = m 1, m 0 = m 1 c b ruft Gen(1 n ) auf, bis (pk, sk) ausgegeben wird, wählt m 0, m 1 beliebig m := Dec sk (c ), Ist m = m 0? ja: b := 0, nein: b := 1 b = b? Alexander Koch Asymmetrische Verschlüsselungsverfahren

40 Es gibt keine perfekte Sicherheit Angriff durch unbeschränkten Angreifer Herausforderer Angreifer b {0, 1} c Enc pk (m b ) pk m 0, m 1, mit m 0 = m 1, m 0 = m 1 c b ruft Gen(1 n ) auf, bis (pk, sk) ausgegeben wird, wählt m 0, m 1 beliebig m := Dec sk (c ), Ist m = m 0? ja: b := 0, nein: b := 1 b = b? Angreifer gewinnt immer, aber läuft vermutlich sehr lange Alexander Koch Asymmetrische Verschlüsselungsverfahren

41 Deterministische PKE sind unsicher Wenn der Enc-Algorithmus deterministisch ist, ist das Verfahren unsicher. Wieso? Alexander Koch Asymmetrische Verschlüsselungsverfahren

42 Deterministische PKE sind unsicher Herausforderer Angreifer pk Idee: Angreifer verschlüsselt einfach selbst die Nachrichten und vergleicht mit c Alexander Koch Asymmetrische Verschlüsselungsverfahren

43 Deterministische PKE sind unsicher Herausforderer Angreifer b {0, 1} c := Enc pk (m b ) pk m 0, m 1, mit m 0 = m 1, m 0 = m 1 c wählt m 0, m 1 beliebig Idee: Angreifer verschlüsselt einfach selbst die Nachrichten und vergleicht mit c Alexander Koch Asymmetrische Verschlüsselungsverfahren

44 Deterministische PKE sind unsicher Herausforderer Angreifer b {0, 1} c := Enc pk (m b ) pk m 0, m 1, mit m 0 = m 1, m 0 = m 1 c b wählt m 0, m 1 beliebig Ist c = Enc pk (m 0 )? ja: b := 0, nein: b := 1 b = b? Idee: Angreifer verschlüsselt einfach selbst die Nachrichten und vergleicht mit c Alexander Koch Asymmetrische Verschlüsselungsverfahren

45 Deterministische PKE sind unsicher Herausforderer Angreifer b {0, 1} c := Enc pk (m b ) pk m 0, m 1, mit m 0 = m 1, m 0 = m 1 c b wählt m 0, m 1 beliebig Ist c = Enc pk (m 0 )? ja: b := 0, nein: b := 1 b = b? Insbesondere: Das Lehrbuch-RSA-Schema ist nicht sicher! Alexander Koch Asymmetrische Verschlüsselungsverfahren

46 Sicherheit bei mehreren Chiffraten Was ist, wenn mehr als eine Nachricht verschlüsselt wird? Herausforderer Angreifer pk (m 1 0,..., mt 0 ), (m1 1,..., mt 1 ) Alexander Koch Asymmetrische Verschlüsselungsverfahren

47 Sicherheit bei mehreren Chiffraten Was ist, wenn mehr als eine Nachricht verschlüsselt wird? Herausforderer Angreifer pk b {0, 1} i : c i Enc pk (m i b ) (m 1 0,..., mt 0 ), (m1 1,..., mt 1 ) Alexander Koch Asymmetrische Verschlüsselungsverfahren

48 Sicherheit bei mehreren Chiffraten Was ist, wenn mehr als eine Nachricht verschlüsselt wird? Herausforderer Angreifer pk b {0, 1} i : c i Enc pk (m i b ) (m 1 0,..., mt 0 ), (m1 1,..., mt 1 ) C = (c 1,..., c t ) Alexander Koch Asymmetrische Verschlüsselungsverfahren

49 Sicherheit bei mehreren Chiffraten Was ist, wenn mehr als eine Nachricht verschlüsselt wird? Herausforderer Angreifer pk b {0, 1} i : c i Enc pk (m i b ) (m 1 0,..., mt 0 ), (m1 1,..., mt 1 ) C = (c 1,..., c t ) b b = b? Alexander Koch Asymmetrische Verschlüsselungsverfahren

50 Sicherheit bei mehreren Chiffraten Was ist, wenn mehr als eine Nachricht verschlüsselt wird? Herausforderer Angreifer pk b {0, 1} i : c i Enc pk (m i b ) (m 1 0,..., mt 0 ), (m1 1,..., mt 1 ) C = (c 1,..., c t ) b b = b? IND-CPA-sicher für mehrere Chiffrate: Für jeden effizienten Angreifer A ist Pr[A gewinnt] 2 1 vernachlässigbar in n Alexander Koch Asymmetrische Verschlüsselungsverfahren

51 Sicherheit für mehrere Chiffrate nicht stärker Proposition Ein IND-CPA-sicheres PKE-Schema ist auch IND-CPA-sicher für mehrere Chiffrate. Beweis. Per Reduktion: Aus einem beliebigen PPT-Angreifer A auf das IND-CPA-Sicherheitsexperiment für mehrere Chiffrate konstruieren wir einen PPT-Angreifer B auf die IND-CPA-Sicherheit (für einzelne Chiffrate). Reduktion auf nächster Folie und Tafel, bzw. Katz Lindell, Alexander Koch Asymmetrische Verschlüsselungsverfahren

52 Reduktion mit Hybridargument Herausforderer B pk pk A m i 0, mi 1, mit i {1,..., t} (m1 0,..., mt 0 ), (m1 1,..., mt 1 ) Alexander Koch Asymmetrische Verschlüsselungsverfahren

53 Reduktion mit Hybridargument Herausforderer B pk pk A b {0, 1} c i Enc pk (m i b ) m i 0, mi 1, mit i {1,..., t} (m1 0,..., mt 0 ), (m1 1,..., mt 1 ) Alexander Koch Asymmetrische Verschlüsselungsverfahren

54 Reduktion mit Hybridargument Herausforderer B pk pk A b {0, 1} c i Enc pk (m i b ) m i 0, mi 1, mit i {1,..., t} (m1 0,..., mt 0 ), (m1 1,..., mt 1 ) c i Alexander Koch Asymmetrische Verschlüsselungsverfahren

55 Reduktion mit Hybridargument Herausforderer B pk pk A b {0, 1} c i Enc pk (m i b ) m i 0, mi 1, mit i {1,..., t} (m1 0,..., mt 0 ), (m1 1,..., mt 1 ) c i Erzeuge fehlende c j 2(c 1,..., c t ) 2 für j < i, berechne c j Enc pk (m j 0 ); für j > i berechne c j Enc pk (m j 1 ) Alexander Koch Asymmetrische Verschlüsselungsverfahren

56 Reduktion mit Hybridargument Herausforderer B pk pk A b {0, 1} c i Enc pk (m i b ) m i 0, mi 1, mit i {1,..., t} (m1 0,..., mt 0 ), (m1 1,..., mt 1 ) c i Erzeuge fehlende c j 2(c 1,..., c t ) b b b = b? 2 für j < i, berechne c j Enc pk (m j 0 ); für j > i berechne c j Enc pk (m j 1 ) Alexander Koch Asymmetrische Verschlüsselungsverfahren

57 Bitverschlüsselung reicht aus Gegeben ein PKE-Schema Π = (Gen, Enc, Dec), dass Bits IND-CPA-sicher verschlüsselt, können wir daraus ein PKE-Schema Π = (Gen, Enc, Dec ) konstruieren, dass beliebige Nachrichten aus {0, 1} IND-CPA-sicher verschlüsseln kann: Enc pk (m) = Enc pk (m 1 ),..., Enc pk (m t ) Alexander Koch Asymmetrische Verschlüsselungsverfahren

58 Zusammenfassung 1 PKE-Schema: PPT-Algorithmen (Gen(1 n ), Enc pk (m), Dec sk (c)) 2 IND-CPA-Sicherheit: Kein effizienter Angreifer kann mit mehr als vernachlässigbarer Wahrscheinlichkeit Chiffrate zweier selbstgewählter, gleichlanger Nachrichten unterscheiden 3 Bei unbeschränktem Angreifer unsicher 4 Verschlüsseln zwingend probabilistisch 5 Sicherheit automatisch für viele Chiffrate Alexander Koch Asymmetrische Verschlüsselungsverfahren Quelle Bilder: XKCD

59 Zusammenfassung 1 PKE-Schema: PPT-Algorithmen (Gen(1 n ), Enc pk (m), Dec sk (c)) 2 IND-CPA-Sicherheit: Kein effizienter Angreifer kann mit mehr als vernachlässigbarer Wahrscheinlichkeit Chiffrate zweier selbstgewählter, gleichlanger Nachrichten unterscheiden 3 Bei unbeschränktem Angreifer unsicher 4 Verschlüsseln zwingend probabilistisch 5 Sicherheit automatisch für viele Chiffrate Vielen Dank für Ihre Aufmerksamkeit. Quelle: Katz Lindell exkl Alexander Koch Asymmetrische Verschlüsselungsverfahren Quelle Bilder: XKCD