III. Perfekte Geheimhaltung

Transkript

1 III. erfekte Geheimhaltung - perfekte Geheimhaltung als Formalisierung absolut sicherer Verschlüsselungsverfahren - eingeführt von Claude Shannon C.Shannon zeigte auch Existenz von Verfahren mit perfekter Geheimhaltung - perfekt geheime Verschlüsselungsverfahren müssen ineffizient sein - perfekte Geheimhaltung garantiert nur Sicherheit gegen passive Angriffe 1

2 III.1 Diskrete Wahrscheinlichkeiten Definition 3.1 Sei S eine endliche Menge. Eine Wahrscheinlichkeitsverteilung r auf S ist eine Abbildung r : (S), die die folgenden drei Eigenschaften besitzt 1. r(a) 0 für alle A S, 2. r(s) = 1, 3. r(a B) = r(a) + r(b) für alle A,B mit A B =. A S heißt Ereignis. a S heißt Elementarereignis, r(a) = r({a}). 2

3 Wahrscheinlichkeiten - Eigenschaften 1. r ( ) = 0; 2. r ( A) r ( B) für A B; 3. 0 r ( A) 1 für alle A S; 4. r ( S \ A) = 1 r ( A); ( m ) m = r A i=1 i=1 i 5. r A i für alle i,j,i j. ( ) für A i S mit A i A j = 3

4 Bedingte Wahrscheinlichkeiten Definition 3.2 A,B seien Ereignisse mit r ( B) > 0. Die Wahrscheinlichkeit "A unter der Bedingung B" ist definiert als ( ) = r ( A B ) r ( B) r A B. Definition 3.3 Zwei Ereignisse A,B heißen unabhängig, falls r ( A B) = r ( A) r ( B). Äquivalent r ( A B) = r ( A). (Übung) 4

5 Satz von Bayes Satz 3.4 Sind A,B Ereignisse mit r ( A), r ( B) > 0, so gilt r ( B) r ( A B) = r ( A) r ( B A). Satz 3.5 Seien A ein Ereignis und B 1,,B n eine disjunkte Zerlegung von S. Dann gilt ( ) = r ( A B ) i r A n i=1 r ( B i ). 5

6 III.2 erfekte Geheimhaltung Szenario - Alice und Bob benutzen Verfahren (,C,,E,D). - Eve kann nur eine Nachricht abfangen und lesen (Ciphertext-Only Angriff). - Schlüsselpaare (e,d) von der Form (k,k). - Verteilung r auf lartexten. - Verteilung r auf Schlüsseln, d.h. Alice wählt Schlüssel k gemäß Verteilung r. - Verteilung r auf S = durch r(p,k) = r (p) r (k), d.h. Verteilungen auf und sind unabhängig. 6

7 erfekte Geheimhaltung - Ereignisse p, Ereignis p k, Ereignis k c C, Ereignis c {( p,k) : k } {( p,k) : p } {( p,k) : E ( k p) = c} r p ( ) = r ( p,k) k k = r p r k ( p) = r p r k = r k 7

8 erfekte Geheimhaltung - Ereignisse p, Ereignis p k, Ereignis k c C, Ereignis c {( p,k) : k } {( p,k) : p } {( p,k) : E ( k p) = c} r k ( ) = r ( p,k) p p = r p r k ( k) = r k r p = r p 8

9 erfekte Geheimhaltung - Ereignisse p, Ereignis p k, Ereignis k c C, Ereignis c {( p,k) : k } {( p,k) : p } {( p,k) : E ( k p) = c} r c ( ) r ( p,k) = {( p,k ):E ( p) = c} k = {( p,k ):E ( p) = c} k r p r k 9

10 Ereignisse - Beispiel { } { } { } = 0,1 ;C= a,b ; = X,Y r 0 = 1 4, r 1 = 3 4. r X = 3 8, r Y = 5 8. E 0 1 X a b Y b a r ( a) = 9 16, r ( b) =

11 erfekte Geheimhaltung - Definition Idee Eve darf aus dem Chiffretext c nichts Neues über den lartext p lernen. Definition 3.6 Ein Verschlüsselungsverfahren (,C,,E,D) mit Verteilungen r und r heißt perfekt geheim, wenn für alle p und alle c C gilt r ( p c) = r ( p). ( ) = (( )) ( ) r p c r p,c r c = { k:e ( p) = c} k ( ) r p r k r c 11

12 Ereignisse - Beispiel { } { } { } = 0,1 ;C= a,b ; = X,Y r 0 = 1 4, r 1 = 3 4. r X = 3 8, r Y = 5 8. E 0 1 X a b Y b a r ( a) = 9 16, r ( b) = r ( 0 a) = 3 18, r ( 1 a) = r ( 0 b) = 5 14 r ( 1 b) = 9 14 Verfahren ist nicht perfekt geheim! 12

13 erfekte Geheimhaltung Satz von Shannon Satz 3.7 Sei(,C,,E,D) ein Verschlüsselungsverfahren mit = C = < und mit Verteilungen r und r. Ferner gelte r ( p) > 0 für alle p. Das Verschlüsselungsverfahren ist genau dann perfekt geheim, wenn gilt 1. r ist die Gleichverteilung; 2. Für jeden lartext p und jeden Chiffetext c existiert genau ein Schlüssel k mit E k ( p) = c. Beobachtung Bis auf die Bedingung Charakterisierung unabhängig von r. r (p) > 0 ist diese 13

14 erfekte Geheimhaltung - Ereignisse p, Ereignis p k, Ereignis k c C, Ereignis c {( p,k) : k } {( p,k) : p } {( p,k) : E ( k p) = c} r c ( ) r ( p,k) = {( p,k ):E ( p) = c} k = {( p,k ):E ( p) = c} k r p r k 14

15 erfekte Geheimhaltung One-time-pad Beispiel Wird beim One-time-pad die Gleichverteilung auf den Schlüsseln aus { 0,1} n verwendet, so ist das One-time-pad perfekt geheim, solange r ( p) > 0 für alle p gilt. OT: = C = = { 0,1} n E k ( p) = p k 15

16 Zusammenfassung Es existieren perfekt sichere ryptosysteme, bei denen ein Angreifer aus dem Chiffretext c nichts über die Nachricht p lernt (Beispiel: One-time-pad) Wegen der notwendigen Bedingung sind perfekt sichere ryptosysteme stets ineffizient erfekt sichere ryptosysteme nur sicher gegen passive Angreifer (Ciphertext-only), vgl. One-time-pad 16