Ununterscheidbarkeit von Chiffretexten

Ähnliche Dokumente
Ununterscheidbarkeit von Chiffretexten

Ununterscheidbarkeit von Chiffretexten

Prinzipien der modernen Kryptographie Sicherheit

Prinzip 2 Präzisierung der Annahmen

Prinzipien der modernen Kryptographie Sicherheit

Prinzipien der modernen Kryptographie Sicherheit

Stromchiffre. Algorithmus Stromchiffre

Stromchiffre. Algorithmus Stromchiffre

Kryptographie I Symmetrische Kryptographie

Kryptographie I Symmetrische Kryptographie

Kryptographie I Symmetrische Kryptographie

Hybride Verschlüsselungsverfahren

Kryptographie I Symmetrische Kryptographie

Kryptographie I Symmetrische Kryptographie

How To Play The Game Of "Privk

CPA-Sicherheit ist ungenügend

Konstruktion CPA-sicherer Verschlüsselung

Hardcore-Prädikat. Definition Hardcore-Prädikat. Ziel: Destilliere Komplexität des Invertierens auf ein Bit.

Sicherheit von ElGamal

Definition Message Authentication Code (MAC) Ein Message Authentication Code (MAC) bzgl. des Nachrichtenraumen M besteht aus den ppt Alg.

Homomorphe Verschlüsselung

Einwegfunktionen Ziel: CPA-sichere Verschlüsselung aus Trapdoor-Einwegpermutation Später: CCA-sichere Verschlüsselung aus Trapdoor-Einwegperm.

Existenz von Einwegfunktionen

Sicherheit von hybrider Verschlüsselung

Kryptographie I Symmetrische Kryptographie

Asymmetrische Verschlüsselungsverfahren

Asymmetrische Verschlüsselungsverfahren

Rabin Verschlüsselung 1979

Hashfunktionen und Kollisionen

Kryptographie I Symmetrische Kryptographie

Kryptographie I Symmetrische Kryptographie

ElGamal Verschlüsselungsverfahren (1984)

Ziel: Zertifiziere Pfad von Wurzel zu m mittels Signaturen. Signieren Public-Keys auf Pfad inklusive der Nachbarknoten.

Kryptographie I Symmetrische Kryptographie

Beliebige Anzahl von Signaturen

Merkle-Damgard Transformation

Sicherheit von ElGamal Intuitiv: Eve soll c 2 = m g ab nicht von c 2 R G unterscheiden können.

Sicherheit von Merkle Signaturen

Effizienten MAC-Konstruktion aus der Praxis: NMAC Idee von NMAC:

Kryptographie II Asymmetrische Kryptographie

Voll homomorpe Verschlüsselung

Sicherer MAC für Nachrichten beliebiger Länge

13. Woche: NP-Vollständigkeit Satz von Cook-Levin Anwendungen in der Kryptographie

RSA Full Domain Hash (RSA-FDH) Signaturen

Kryptographie II Asymmetrische Kryptographie

Kryptographie I Symmetrische Kryptographie

Wann sind Codes eindeutig entschlüsselbar?

Asymmetrische Verschlüsselungsverfahren

Informationsgehalt einer Nachricht

Erinnerung Blockchiffre

Das Rucksackproblem. Definition Sprache Rucksack. Satz

Kryptographie II Asymmetrische Kryptographie

Erinnerung Blockchiffre

Einwegfunktionen. Problemseminar. Komplexitätstheorie und Kryptographie. Martin Huschenbett. 30. Oktober 2008

Definition Information I(p)

Der komplexitätstheoretische Zugang zur Kryptographie

RSA Parameter öffentlich: N = pq mit p, q prim und e Z RSA Parameter geheim: d Z φ(n)

RSA Full Domain Hash (RSA-FDH) Signaturen

Kryptographie II Asymmetrische Kryptographie

Definition Information I(p)

Vorlesung Sicherheit

2. Woche Eindeutige Entschlüsselbarleit, Sätze von Kraft und McMillan, Huffmancodierung

Homomorphe Verschlüsselung

Das Generalized Birthday Problem

Institut für Theoretische Informatik Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Klausur. Lösung

Digitale Signaturen. RSA-FDH & das Random Oracle Model Jiaxin Pan (Slides from Björn Kaidel and Gunnar Hartung)

Erinnerung Blockchiffre

Kryptographie. Vorlesung 3: Sicherheit. Babeş-Bolyai Universität, Department für Informatik, Cluj-Napoca

Vorlesung Sicherheit

Digitale Signaturen. GHR-und Chamäleon-Signaturen Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Sicherheit von Π MAC2

Anzahl der Generatoren

Naiver Algorithmus für Hamiltonkreis

Asymmetrische Verschlüsselungsverfahren

Digitale Signaturen. Einmalsignaturen Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Zahlentheorie. Alexander May. Fakultät für Mathematik Ruhr-Universität Bochum. Sommersemester 2015

Die Hamming-Distanz definiert eine Metrik.

Satz von Euler. Satz von Euler. Korollar 1. Korollar 2 Kleiner Fermat. Sei (G, ) eine endl. abelsche Gruppe. Dann gilt a G = 1 für alle a G.

Satz von Euler. Satz von Euler. Korollar 1. Korollar 2 Kleiner Fermat. Sei (G, ) eine endl. abelsche Gruppe. Dann gilt a G = 1 für alle a G.

Bsp: Die kleinsten Carmichael-Zahlen sind 561, 1105, 1729, Es gibt unendlich viele Carmichael-Zahlen (Beweis 1994).

Primzahltest für Mersenne-Primzahlen

Digitale Signaturen. RSA-FDH & das Random Oracle Model Björn Kaidel (mit Folien von Gunnar Hartung)

= 1. Falls ( a n. ) r i. i=1 ( b p i

Vorlesung Sicherheit

Probabilistische Pfadsuche

Digitale Signaturen. Sicherheitsdefinitionen Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Das Zweikinderproblem

Isomorphismus. Definition Gruppen-Isomorphismus. Seien (G, +) und (G, ) Gruppen. Die Abbildung f : G G heißt Gruppen-Isomorphismus, falls gilt

Ferien-Übungsblatt 8 Lösungsvorschläge

Die Größe A(n, d) und optimale Codes

Übung zur Vorlesung Sicherheit Übungsblatt 3. Björn Kaidel 1 / 52

III. Perfekte Geheimhaltung

Digitale Signaturen. Sicherheitsdefinitionen Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Digitale Signaturen. Anwendung von Einmalsignaturen Gunnar Hartung, Björn Kaidel.

Asymmetrische Verschlüsselungsverfahren

VI.4 Elgamal. - vorgestellt 1985 von Taher Elgamal. - nach RSA das wichtigste Public-Key Verfahren

Digitale Signaturen. Anwendung von Einmalsignaturen Gunnar Hartung, Björn Kaidel.

Transkript:

Ununterscheidbarkeit von Chiffretexten Spiel Ununterscheidbarkeit von Chiffretexten PrivK eav A,Π (n) Sei Π ein Verschlüsselungsverfahren und A ein Angreifer. 1 (m 0, m 1 ) A. 2 k Gen(1 n ). 3 Wähle b R {0, 1}. b A(Enc k (m b )). { 4 PrivKA,Π eav(n) = 1 für b = b. 0 sonst Anmerkungen: A wählt die zu verschlüsselnden Nachrichten m 0, m 1 selbst. A gewinnt das Spiel, d.h. b = b, durch Raten von b mit Ws 1 2. Wir bezeichnen Ws[PrivKA,Π eav(n) = 1] 1 2 als Vorteil von A. Krypto I - Vorlesung 03-22.10.2012 Ununterscheidbarkeit Chiffretexte, Computational Security, Reduktionsbeweis 20 / 169

Ununterscheidbarkeit von Chiffretexten PrivK eav A,Π (n) k Gen(1 n ) b R {0,1} c Enc k (m b ) Ausgabe: { 1 falls b = b = 0 sonst 1 n (m 0,m 1 ) c b A m 0,m 1 M b {0,1} Krypto I - Vorlesung 03-22.10.2012 Ununterscheidbarkeit Chiffretexte, Computational Security, Reduktionsbeweis 21 / 169

Raten ist optimal Satz Perfekte Sicherheit und PrivK eav A,Π Ein Verschlüsselungsverfahren Π ist perfekt sicher gdw für alle (unbeschränkten) Angreifer A gilt Ws[PrivK eav A,Π (n) = 1] = 1 2. Beweis: " ": Sei Π nicht perfekt sicher. Dann existieren m 0, m 1 M und c C mit Ws[C = c M = m 0 ] Ws[C = c M = m 1 ]. OBdA Ws[C = c M = m 0 ] > Ws[C = c M = m 1 ]. Wir definieren den folgenden Angreifer A für das Spiel PrivK eav A,Π. Krypto I - Vorlesung 03-22.10.2012 Ununterscheidbarkeit Chiffretexte, Computational Security, Reduktionsbeweis 22 / 169

Algorithmus Angreifer A Algorithmus Angreifer A EINGABE: 1 n, m 0, m 1, c 1 Berechne m 0, m 1, c mit Ws[C = c M = m 0 ] >Ws[C = c M = m 1 ]. 2 Versende Nachrichten m 0, m 1. Erhalte c Enc k (m b ). 3 Falls c = c, setze b = 0. Sonst setze b R {0, 1}. AUSGABE: b PrivK eav A,Π (n) k Gen(1 n ) 1 n b R {0,1} (m 0,m 1 ) c Enc k (m b ) c Ausgabe: { 1 falls b = b = 0 sonst b A Berechne m 0,m 1,c. Falls c = c, setze b = 0. Sonst setze b R {0,1}. Krypto I - Vorlesung 03-22.10.2012 Ununterscheidbarkeit Chiffretexte, Computational Security, Reduktionsbeweis 23 / 169

Nicht perfekt sicher Vorteil Beweis (Fortsetzung): Es gilt Ws[PrivK eav A,Π (n) = 1] = Ws[A(Enc(m b)) = b] = 1 2 Ws[C c]+ws[m = m 0 C = c] Ws[C = c] = 1 2( 1 Ws[C = c] ) + Ws[M = m0 C = c] Ws[C = c]. Falls Ws[M = m 0 C = c] > 1 2, so folgt Ws[PrivK eav A,Π = 1] > 1 2. Es gilt Ws[M = m 0 C = c] 1 2 {}}{ Ws[C = c M = m 0 ] Ws[M = m 0 ] = 1 i=0 Ws[C = c M = m i] Ws[M = m i ] }{{} 1 2 Ws[C = c M = m = 0 ] > 1 Ws[C = c M = m 0 ]+Ws[C = c M = m 1 ] 2. }{{} <2 Ws[C=c M=m 0 ] Krypto I - Vorlesung 03-22.10.2012 Ununterscheidbarkeit Chiffretexte, Computational Security, Reduktionsbeweis 24 / 169

Perfekt sicher kein Vorteil Beweis (Fortsetzung): Perfekt sicher Ws[PrivK eav A,Π = 1] = 1 2 Sei Π perfekt sicher. Dann gilt für alle m 0, m 1 M, c C Ws[C = c M = m 0 ] = Ws[C = c] = Ws[C = c M = m 1 ]. D.h. es gilt {c c Enc k (m)} = C für alle m M. Daraus folgt Ws[PrivK eav A,Π = 1] = Ws[A(Enc(m b) = b)] = Ws[b = 0] Ws[A(Enc(m 0 )) = 0]+Ws[b = 1] Ws[A(Enc(m 1 ) = 1] = 1 2 Ws[A(c) = 0 C = c] Ws[C = c] c Enc(m 0 ) + Ws[A(c) = 1 C = c] Ws[C = c] }{{} c Enc(m 1 ) 1 Ws[A(c)=0 C=c] = 1 Ws[C = c] = 1 2 2. c C Krypto I - Vorlesung 03-22.10.2012 Ununterscheidbarkeit Chiffretexte, Computational Security, Reduktionsbeweis 25 / 169

Computational Security Perfekte Sicherheit: Liefert Sicherheit im informationstheoretischen Sinn, d.h. der Angreifer erhält nicht genügend Information, um zu entschlüsseln. Benötigen Schlüssel der Länge aller zu verschlüsselnden Nachrichten. Dies ist unpraktikabel in der Praxis. Computational Security Ansatz: Wir verwenden kurze Schlüssel (z.b. 128 Bit). Liefert Sicherheit nur gegenüber ppt Angreifern. Unbeschränkte Angreifer können bei KPA-Angriff K durchsuchen. Seien (m 1, c 1 ),...,(m n, c n ) die Plaintext/Chiffretext Paare. Mit hoher Ws existiert eindeutiges k mit m i = Dec k (c i ), i [n]. Mit obigem KPA-Angriff kann der Angreifer in Polynomial-Zeit auch ein einzelnes k K raten, dieses ist korrekt mit Ws 1 K. D.h. ppt Angreifer besitzen nur vernachlässigbare Erfolgsws im Sicherheitsparameter. Krypto I - Vorlesung 03-22.10.2012 Ununterscheidbarkeit Chiffretexte, Computational Security, Reduktionsbeweis 26 / 169

Vernachlässigbare Wahrscheinlichkeit Definition Vernachlässigbare Wahrscheinlichkeit Eine Funktion f : N R heißt vernachlässigbar, falls für jedes Polynom p ein N N existiert, so dass für alle n N gilt f(n) < 1 p(n). Notation: f(n) = negl(n). Bsp: Vernachlässigbare Funktionen: 1 2 n, 1 2 n, 1, 1 2 log2 n log n n log log n Nicht vernachlässigbare Funktionen: 1 n 2, 1 log n, 1 2 O(log n).. Korollar Komposition vernachlässigbarer Funktionen Seien f 1, f 2 vernachlässigbare Funktionen. Dann ist 1 f 1 + f 2 vernachlässigbar. 2 q(n) f 1 vernachlässigbar für jedes Polynom q. Krypto I - Vorlesung 03-22.10.2012 Ununterscheidbarkeit Chiffretexte, Computational Security, Reduktionsbeweis 27 / 169

Sicherheitsbeweis per Reduktion Annahme: Problem X lässt sich in ppt nur mit Ws negl(n) lösen. Sei Π ein Krypto-Verfahren mit Sicherheitsparameter n. Sei A ein ppt Angreifer auf Π mit Erfolgsws ǫ(n). Wir konstruieren eine polynomielle Reduktion A für X p A. (Erinnerung: Diskrete Mathematik II) Algorithmus Reduktion A für X p A EINGABE: Instanz x des Problems X 1 Konstruieren aus x Instanz von Π, senden diese an A. 2 Sofern As Angriff eine Interaktion erfordert (z.b. bei CCA), wird diese von der Reduktion A simuliert. As Sicht soll dabei identisch zu einem realen Angriff sein. 3 A bricht schließlich Π mittels Ausgabe y mit Ws ǫ(n). 4 Verwenden y, um eine Lösung y für die Instanz x zu berechnen. AUSGABE: Lösung y für x Krypto I - Vorlesung 03-22.10.2012 Ununterscheidbarkeit Chiffretexte, Computational Security, Reduktionsbeweis 28 / 169

Sicherheitsbeweis per Reduktion Alle Schritte der Reduktion laufen in polynomial-zeit. Angenommen Schritt 4 besitze Erfolgws 1 p(n) für ein Polynom p(n). Dann besitzt die Reduktion insgesamt Erfolgsws ǫ(n) p(n). Nach Annahme lässt sich X nur mit Ws negl(n) lösen. D.h. ǫ(n) p(n) negl(n), und damit folgt ǫ(n) negl(n). Damit besitzt jeder Angreifer A vernachlässigbare Erfolgws. Krypto I - Vorlesung 03-22.10.2012 Ununterscheidbarkeit Chiffretexte, Computational Security, Reduktionsbeweis 29 / 169

Reduktionsbeweis bildlich Instanz x Lösung y Reduktion A Transformiere Instanz x für X in eine Instanz x für Π Transformiere y in eine Lösung y für X Instanz x Interaktion Lösung y Angreifer A Berechne Lösung y für Π Krypto I - Vorlesung 03-22.10.2012 Ununterscheidbarkeit Chiffretexte, Computational Security, Reduktionsbeweis 30 / 169

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback