Beweisbar sichere Verschlüsselung



Ähnliche Dokumente
Primzahlen und RSA-Verschlüsselung

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

Informationsblatt Induktionsbeweis

Güte von Tests. die Wahrscheinlichkeit für den Fehler 2. Art bei der Testentscheidung, nämlich. falsch ist. Darauf haben wir bereits im Kapitel über

Grundlagen der Theoretischen Informatik, SoSe 2008

Was meinen die Leute eigentlich mit: Grexit?

7 Rechnen mit Polynomen

Beweisbar sichere Verschlüsselung

Grundbegriffe der Informatik

Grundbegriffe der Informatik

Würfelt man dabei je genau 10 - mal eine 1, 2, 3, 4, 5 und 6, so beträgt die Anzahl. der verschiedenen Reihenfolgen, in denen man dies tun kann, 60!.

Wir machen neue Politik für Baden-Württemberg

Persönliche Zukunftsplanung mit Menschen, denen nicht zugetraut wird, dass sie für sich selbst sprechen können Von Susanne Göbel und Josef Ströbl

Was ist Sozial-Raum-Orientierung?

Papa - was ist American Dream?

Serienbrieferstellung in Word mit Kunden-Datenimport aus Excel

Abschlussprüfung Realschule Bayern II / III: 2009 Haupttermin B 1.0 B 1.1

Das Festkomitee hat die Abi-Seite neu konzipiert, die nun auf einem (gemieteten) Share Point Server

Lernerfolge sichern - Ein wichtiger Beitrag zu mehr Motivation

Webalizer HOWTO. Stand:

Musterlösungen zur Linearen Algebra II Blatt 5

Gutes Leben was ist das?

Simulation LIF5000. Abbildung 1

Kulturelle Evolution 12

4.4 AnonymeMärkteunddasGleichgewichtder"vollständigen Konkurrenz"

Anleitung über den Umgang mit Schildern

1 Mathematische Grundlagen

Erfahrungen mit Hartz IV- Empfängern

20. Algorithmus der Woche Online-Algorithmen: Was ist es wert, die Zukunft zu kennen? Das Ski-Problem

Welche Gedanken wir uns für die Erstellung einer Präsentation machen, sollen Ihnen die folgende Folien zeigen.

AutoCAD Dienstprogramm zur Lizenzübertragung

Geld Verdienen im Internet leicht gemacht

Die SPD und die Grünen machen im Niedersächsischen Landtag. Alle Menschen sollen in der Politik mitmachen können.

Was ist das Budget für Arbeit?

Mathematischer Vorbereitungskurs für Ökonomen

Warum reicht Zähneputzen nicht?

Viele Bilder auf der FA-Homepage

Platinen mit dem HP CLJ 1600 direkt bedrucken ohne Tonertransferverfahren

1 topologisches Sortieren

L10N-Manager 3. Netzwerktreffen der Hochschulübersetzer/i nnen Mannheim 10. Mai 2016

Professionelle Seminare im Bereich MS-Office

50 Fragen, um Dir das Rauchen abzugewöhnen 1/6

Statuten in leichter Sprache

Alle Schlüssel-Karten (blaue Rückseite) werden den Schlüssel-Farben nach sortiert und in vier getrennte Stapel mit der Bildseite nach oben gelegt.

Charakteristikum des Gutachtenstils: Es wird mit einer Frage begonnen, sodann werden die Voraussetzungen Schritt für Schritt aufgezeigt und erörtert.

ES GEHT NICHTS ÜBER EX-AZUBIS, Leiter der Fertigung, Produktbereich Blech, bei

Basis und Dimension. Als nächstes wollen wir die wichtigen Begriffe Erzeugendensystem und Basis eines Vektorraums definieren.

Spielmaterial. Hallo! Ich bin der kleine AMIGO und zeige euch, wie dieses Spiel funktioniert. Viel Spaß! von Liesbeth Bos

Dokumentenverwaltung im Internet

A Lösungen zu Einführungsaufgaben zu QueueTraffic

1. Man schreibe die folgenden Aussagen jeweils in einen normalen Satz um. Zum Beispiel kann man die Aussage:

Welche Bereiche gibt es auf der Internetseite vom Bundes-Aufsichtsamt für Flugsicherung?

Wenn wir also versuchen auf einen anderen PC zuzugreifen, dann können wir sowohl per Name als auch mit der Adresse suchen.

Qualität und Verlässlichkeit Das verstehen die Deutschen unter Geschäftsmoral!

ONLINE-AKADEMIE. "Diplomierter NLP Anwender für Schule und Unterricht" Ziele

Dieses erste Kreisdiagramm, bezieht sich auf das gesamte Testergebnis der kompletten 182 getesteten Personen. Ergebnis

Outlook. sysplus.ch outlook - mail-grundlagen Seite 1/8. Mail-Grundlagen. Posteingang

Modellbildungssysteme: Pädagogische und didaktische Ziele

Diese Prozesse und noch viele andere Tricks werden in der Digitalfotografie mit Hilfe von Bildbearbeitungsprogrammen, wie z. B. Gimp, bewältigt.

WLAN Konfiguration. Michael Bukreus Seite 1

ElGamal Verschlüsselungsverfahren (1984)

6.2 Perfekte Sicherheit

Info zum Zusammenhang von Auflösung und Genauigkeit

Alle gehören dazu. Vorwort

Tipp III: Leiten Sie eine immer direkt anwendbare Formel her zur Berechnung der sogenannten "bedingten Wahrscheinlichkeit".

Warum tun manche Menschen nicht das, was Sie als Führungskraft von ihnen erwarten?

Hinweise in Leichter Sprache zum Vertrag über das Betreute Wohnen

Lizenzierung von SharePoint Server 2013

Speicher in der Cloud

Lineare Gleichungssysteme

B: bei mir war es ja die X, die hat schon lange probiert mich dahin zu kriegen, aber es hat eine Weile gedauert.

Ist Fernsehen schädlich für die eigene Meinung oder fördert es unabhängig zu denken?

Elternzeit Was ist das?

Südbaden-Cup. Ausstieg Champions

Übung Theoretische Grundlagen

Nina. bei der Hörgeräte-Akustikerin. Musterexemplar

Mind Mapping am PC. für Präsentationen, Vorträge, Selbstmanagement. von Isolde Kommer, Helmut Reinke. 1. Auflage. Hanser München 1999

IT-SICHERHEIT IM UNTERNEHMEN Mehr Sicherheit für Ihre Entscheidung

predigt am , zu römer 16,25-27

Zahlenwinkel: Forscherkarte 1. alleine. Zahlenwinkel: Forschertipp 1

AutoTexte und AutoKorrektur unter Outlook verwenden

Kapitel 3: Etwas Informationstheorie

11.AsymmetrischeInformation

Terminabgleich mit Mobiltelefonen

DAVID: und David vom Deutschlandlabor. Wir beantworten Fragen zu Deutschland und den Deutschen.

Mehr Geld verdienen! Lesen Sie... Peter von Karst. Ihre Leseprobe. der schlüssel zum leben. So gehen Sie konkret vor!

Prozentrechnung. Wir können nun eine Formel für die Berechnung des Prozentwertes aufstellen:

Einstellungen der Deutschen gegenüber dem Beruf der Putzfrau

Professionelle Seminare im Bereich MS-Office

1. TEIL (3 5 Fragen) Freizeit, Unterhaltung 2,5 Min.

Bestandesaufnahme und Bedürfnisanalyse

Um Ihre Ziele durchzusetzen! Um Beziehungen zu knüpfen und zu pflegen! Um in Begegnungen mit anderen Ihre Selbstachtung zu wahren!

Info-Veranstaltung zur Erstellung von Zertifikaten

Sollsaldo und Habensaldo

2.1 Präsentieren wozu eigentlich?

Einführung in. Logische Schaltungen

50. Mathematik-Olympiade 2. Stufe (Regionalrunde) Klasse Lösung 10 Punkte

Mobile Intranet in Unternehmen

1. Adressen für den Serienversand (Briefe Katalogdruck Werbung/Anfrage ) auswählen. Die Auswahl kann gespeichert werden.

Wir gehen aus von euklidischen Anschauungsraum bzw. von der euklidischen Zeichenebene. Parallele Geraden schneiden einander nicht.

Transkript:

Beweisbar sichere Verschlüsselung ITS-Wahlpflichtvorlesung Dr. Bodo Möller Ruhr-Universität Bochum Horst-Görtz-Institut für IT-Sicherheit Lehrstuhl für Kommunikationssicherheit bmoeller@crypto.rub.de 6 $Id: bsv.ltx,v 1.40 2007/05/09 17:12:24 bm Exp $ Beweisbar sichere Verschlüsselung 6.1 Semantische Sicherheit Sicherheit von Verschlüsselungsschemen haben wir beschrieben durch Real-or-Random -, Left-or-Right - und Find-then-Guess -Angriffsspiele Sicher für RoR-OTCPA, LoR-OTCPA, RoR-CPA, LoR-CPA, FtG-CPA, wenn der Vorteil für jeden denkbaren Angreifer klein bleibt Anscheinend brauchbare Sicherheitsbegriffe sehen aber doch willkürlich aus Was sollten wir von sicherer Verschlüsselung eigentlich verlangen...?

Beweisbar sichere Verschlüsselung 6.2 Semantische Sicherheit (Forts.) Sichere Verschlüsselung intuitiv: Dem Ciphertext soll nichts über den Plaintext anzusehen sein (außer der Länge) Formalisierung als semantische Sicherheit Wir werden sehen: Auch das ist äquivalent zu den schon bekannten Begriffen! Aber schwerer zu handhaben: Gut vor allem für zusätzliches Verständnis, nicht zum Anwenden bei Sicherheitsbeweisen! In der Literatur im Detail große Unterschiede bei der Formalisierung der semantischen Sicherheit Hier nur ein Ansatz als Einblick (ohne die letzten Details) Beweisbar sichere Verschlüsselung 6.3 Semantische Sicherheit (Forts.) Angreifer und Vorteil auch hier, aber etwas anders als bisher! Bisher: Vorteil eines Angreifers Hier: Vorteil betrachtet Angreifer mit Simulator zusammen; sicher, wenn es zu jedem Angreifer einen Simulator gibt, so dass der Vorteil gering ist Vorteil soll hier beschreiben, was der Angreifer dem Ciphertext ansehen kann Simulator arbeitet ähnlich wie der Angreifer aber ohne Ciphertext! Idee: Wenn ein solcher Simulator den Angreifer gut nachbilden kann, konnte der Angreifer dem Ciphertext nichts Brauchbares ansehen

Beweisbar sichere Verschlüsselung 6.4 Semantische Sicherheit für Einmalverschlüsselung Definition hier für Einmalverschlüsselung: Sem-OTCPA (semantic security under one-time chosen plaintext attack) Angreifer A ist wieder ein probabilistischer Algorithmus mit Zugriff auf ein Orakel C( )... das ist eine Art Verschlüsselungsorakel, wieder mit einem geheimen Schlüssel K $ K, aber etwas anders als bisher! A übergibt dem Orakel C( ) die Beschreibung einer Plaintext-Verteilung als probabilistischen Algorithmus ( Programm ) M, das Orakel lässt m $ M laufen und verschlüsselt m: c $ E K (m), und c geht als Orakelantwort zurück an A Beweisbar sichere Verschlüsselung 6.5 Semantische Sicherheit für Einmalverschlüsselung (Forts.) A übergibt dem Orakel C( ) die Beschreibung einer Plaintext-Verteilung als probabilistischen Algorithmus ( Programm ) M, das Orakel lässt m $ M laufen und verschlüsselt m: c $ E K (m), und c geht als Orakelantwort zurück an A Einschränkung dabei: Alle Ausgaben von M müssen die gleiche Länge haben (denn nur für gleiche Längen erwarten wir sichere Verschlüsselung) A versucht sozusagen, dem Ciphertext c etwas über m anzusehen Ausgaben von A: eine Funktionsbeschreibung f und ein Wert y Test am Ende: Gilt? Soweit noch keine Aussage über Sicherheit möglich! A kann M und f so wählen, dass sich f(m) trivial vorhersagen lässt Deshalb kommt der Simulator S ins Spiel...

Beweisbar sichere Verschlüsselung 6.6 Semantische Sicherheit für Einmalverschlüsselung (Forts.) Simulator S ist wie A ein probabilistischer Algorithmus, soll A simulieren ohne Zugriff auf c! Dafür Orakel-Variante C( ): nimmt M entgegen und legt fest m $ M, gibt aber nichts zurück (c bleibt unbekannt) S ist gültiger Simulator für A, wenn seine Anfrage M an C( ) die gleiche Verteilung hat wie die Anfrage M an C( ) bei A und auch f die gleiche Verteilung hat wie bei A Das Verschlüsselungsschema (K, E, D) heißt semantisch sicher (unter OTCPA = one-time chosen plaintext attack), wenn es zu jedem Angreifer A einen gültigen Simulator S gibt, so dass der Vorteil (K,E,D),A,S = Pr $ A C( ) [ ] [ ] Pr $ S C( ) verschwindend gering ist! (Darin ist m der von C( ) bzw. C( ) gewählte Plaintext wie oben beschrieben.) Beweisbar sichere Verschlüsselung 6.7 Semantische Sicherheit für Einmalverschlüsselung (Forts.) Das Verschlüsselungsschema (K, E, D) heißt semantisch sicher (unter OTCPA = one-time chosen plaintext attack), wenn es zu jedem Angreifer A einen gültigen Simulator S gibt, so dass der Vorteil i h i (K,E,D),A,S hf(m) = Pr A $ = y Pr C( ) $ S C( ) verschwindend gering ist Das bedeutet (wie gewünscht): A kann nichts Konkretes sagen über den unbekannten Plaintext m hinter der Orakelantwort C( ); denn alles, was A weiß, weiß S schon ohne die Orakelantwort!

Beweisbar sichere Verschlüsselung 6.8 Sem-OTCPA und LoR-OTCPA Wir wollen zeigen, dass unsere bisherigen Sicherheitsbegriffe äquivalent sind zu semantischer Sicherheit. ( Zusätzliche Gewissheit, dass wir bisher schon die richtigen Sicherheitsbegriffe verwendet haben.) Also zeigen wir: Sem-OTCPA-Sicherheit impliziert LoR-OTCPA-Sicherheit oder gleichbedeutend: LoR-OTCPA-Unsicherheit impliziert Sem-OTCPA-Unsicherheit Und: LoR-OTCPA-Sicherheit impliziert Sem-OTCPA-Sicherheit oder gleichbedeutend: Sem-OTCPA-Unsicherheit impliziert LoR-OTCPA-Unsicherheit Beweisbar sichere Verschlüsselung 6.9 1. Ziel: LoR-OTCPA-Unsicherheit impliziert Sem-OTCPA-Unsicherheit Sei (erfolgreicher) LoR-OTCPA-Angreifer A gegeben Wir konstruieren einen (erfolgreichen) Sem-OTCPA-Angreifer B, also einen Angreifer, der sich nicht gut simulieren lässt Idee der Konstruktion: Beschreibe den LoR-Angriff mit den Mitteln, die das Modell der semantischen Sicherheit bietet Annahme: Wenn A eine Anfrage (m 1,m 0 ) an sein LoR-Orakel stellt, sei stets m 1 m 0 (andere Anfragen sind für A nutzlos könnte irgendetwas statt dessen fragen)

Beweisbar sichere Verschlüsselung 6.10 Sei (erfolgreicher) LoR-OTCPA-Angreifer A gegeben. Wir konstruieren einen (erfolgreichen) Sem-OTCPA-Angreifer B, also einen Angreifer, der sich nicht gut simulieren lässt Wenn A eine Anfrage (m 1,m 0 ) an sein LoR-Orakel stellt, lass B in M die Gleichverteilung auf {m 1,m 0 } beschreiben... und lass B die Funktion f so definieren, dass f(m) = 1 für m = m 1 und f(m) = 0 sonst... und lass B als y das Ausgabebit von A übernehmen. f(m) = 1 ist für A eine Linksverschlüsselung, f(m) = 0 eine Rechtsverschlüsselung B beschreibt also genau den LoR-Angriff von A:... Beweisbar sichere Verschlüsselung 6.11 B beschreibt genau den LoR-Angriff von A: [ ] ist also unser Pr $ B C( ) von früher (Folie 2.11 zu LoR-OTCPA) Aus dieser Gleichheit folgt Pr $ B C( ) denn (siehe Folie 2.11) [ Pr b $ {0,1} A E b (, ) b ] [ ] 1 = 2 AdvLoR-OTCPA (K,E,D),A + 1 2, Adv LoR-OTCPA (K,E,D),A = 2 Pr b $ {0,1}[ A E b (, ) b ] 1

Beweisbar sichere Verschlüsselung 6.12 Wir haben also Pr $ B C( ) [ ] bestimmt; für (K,E,D),A,S fehlt noch [ ] Pr $ S C( ) Für jeden gültigen Simulator S zu unserem B muss gelten Pr $ S C( ) [ ] = 1 2, denn f(m) ist hier (beim nachgebauten LoR) gleichverteilt auf {0,1} und S erhält keinerlei Hinweis darauf! Beweisbar sichere Verschlüsselung 6.13 Also (K,E,D),A,S = Pr $ A C( )[ ] Pr $ S C( ) [ ] = 1 2 AdvLoR-OTCPA (K,E,D),A + 1 2 1 2 = 1 2 AdvLoR-OTCPA (K,E,D),A, und das für jeden gültigen Simulator S zu B. Ist A erfolgreich und das Verschlüsselungsschema LoR-OTCPA-unsicher, so ist (K,E,D),A,S nicht verschwindend gering, das Verschlüsselungsverfahren also auch Sem-OTCPA-unsicher, q.e.d.! Damit haben wir gezeigt (Kontraposition): Sem-OTCPA-Sicherheit impliziert LoR-OTCPA-Sicherheit.

Beweisbar sichere Verschlüsselung 6.14 2. Ziel: Sem-OTCPA-Unsicherheit impliziert LoR-OTCPA-Unsicherheit Sei (K, E, D) nicht sicher im Sinne von Sem-OTCPA, es gebe also einen Angreifer A, zu dem der Vorteil (K,E,D),A,S für keinen gültigen Simulator S verschwindend gering ist. Wir nehmen ein gegebenes A und geben dazu ein S an. Laut Voraussetzung ist der Vorteil zwangsläufig groß (genauer: nicht verschwindend gering), egal, wie wir S konstruieren, solange es nur ein gültiger Simulator zu A ist! Beweisbar sichere Verschlüsselung 6.15 Wir nehmen ein gegebenes A und geben dazu ein S an. Laut Voraussetzung ist der Vorteil zwangsläufig groß S baut auf A auf: lässt A dessen gewünschte Plaintextverteilung M wählen; schickt M an das eigene Orakel C( ) (das nie etwas antwortet); erzeugt selbst K $ K und m 0 $ M; setzt c $ E K (m 0 ) und gibt c als Orakelantwort an A zurück; übernimmt schließlich die Ausgabe von A. Das ist ein gültiger Simulator! (Nämlich gleiche Verteilung von M und f wie A.) Den Vorteil (K,E,D),A,S = Pr $ A C( )[ ] Pr $ S C( ) [ ] können wir hier umdeuten:...

Beweisbar sichere Verschlüsselung 6.16 Den Vorteil [ ] [ ] (K,E,D),A,S = Pr $ Pr A C( ) $ S C( ) können wir hier umdeuten: Bau aus A einen LoR-OTCPA-Angreifer B, der (m 1,m 0 ) beide gemäß M wählt und der schließlich 1 ausgibt, falls f(m 1 ) = y (und 0 sonst). [ ] Wahrscheinlichkeit, dass B im Left -Fall 1 ausgibt: Pr $ A C( ) [ ] Wahrscheinlichkeit, dass B im Right -Fall 1 ausgibt: Pr $ S C( ) Also (K,E,D),A,S = Pr [ B E 1(, ) 1 ] Pr [ B E 0(, ) 1 ] = Adv LoR-OTCPA (K,E,D),B Beweisbar sichere Verschlüsselung 6.17 Wir haben erhalten: (K,E,D),A,S = Adv LoR-OTCPA (K,E,D),B Laut Voraussetzung (Verschlüsselungsschema ist Sem-OTCPA-unsicher) ist der Sem-OTCPA-Vorteil nicht verschwindend gering, also ist der LoR-OTCPA-Vorteil nicht verschwinden gering d.h., das Verschlüsselungsschema ist LoR-OTCPA-unsicher; q.e.d.! Damit haben wir gezeigt (Kontraposition): LoR-OTCPA-Sicherheit impliziert Sem-OTCPA-Sicherheit.

Beweisbar sichere Verschlüsselung 6.18 Semantische Sicherheit für Mehrfachverschlüsselung Semantische Sicherheit kann man ganz ähnlich auch für Mehrfachverschlüsselung definieren: Adv Sem-CPA (K,E,D),A,S Sicher, wenn es zu jedem A einen gültigen Simulator S gibt, für den dieser Vorteil verschwindend gering ist... aber sehr viele Details in der formalen Darstellung (lassen wir hier aus) Ohne Beweis halten wir fest: Auch Sem-CPA und LoR-CPA sind äquivalent zueinander! Beweisbar sichere Verschlüsselung 6.19 Sicherheitsbegriffe für symmetrische Verschlüsselung Die Sicherheitsbegriffe mit passivem Angreifer im Überblick: Sem-CPA-sicher LoR-CPA-sicher RoR-CPA-sicher FtG-CPA-sicher Sem-OTCPA-sicher LoR-OTCPA-sicher RoR-OTCPA-sicher

Beweisbar sichere Verschlüsselung 6.20 zu Aufgabe 2.5 Erster Schritt zur Lösung: Blockchiffre E K komplett ersetzen durch gleichverteilt zufällige Abbildung f : {0,1} l {0,1} l. Welche obere Schranke für den RoR-CPA-Vorteil beliebiger Angreifer können wir dann angeben (abhängig von q # und q B )?

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback