dlog Problem

(1)

dlog Problem

DefinitionDiskrete Logarithmus (dlog) Annahme

DasDiskrete Logarithmus Problemist hart bezüglichG, falls für alle ppt AlgorithmenAgilt

|Ws[A(G,q,g,g^x) =x]| ≤negl(n).

Der Wsraum ist definiert bezüglich(G,q,g)← G(1ⁿ), der zufälligen Wahl vonx ∈_R Zqund der internen Münzwürfe vonAundG.

dlog Annahme: Das dlog Problem ist hart bezüglichG.

Unter der dlog Annahme können die geheimen Schlüsselx,y bei Diffie-Hellman nur mit vernachlässigbarer Ws berechnet werden.

D.h. die dlog Annahme ist eine notwendige Sicherheitsannahme.

Problem: Die Berechnung vong^xy ausg^x,g^y könnte einfach sein.

(2)

CDH Problem

DefinitionComputational Diffie-Hellman (CDH) Annahme DasComputational Diffie-Hellman Problemist hart bezüglichG, falls für alle ppt AlgorithmenAgiltWs[A(G,q,g,g^x,g^y) =g^xy]≤negl(n).

Wsraum: zufällige Wahl vonx,y ∈_RZq, Münzwürfe vonA,G(1ⁿ).

CDH Annahme:Das CDH Problem ist hart bezüglichG.

Unter der CDH-Annahme kann ein DH-Angreifer Eve den Schlüsselk_A=g^xy nur mit vernachlässigbarer Ws berechnen.

Problem:

Sei CDH schwer, so dass Angreifer Evek_Anicht berechnen kann.

Benötigen aber, dassk_Aein zufälliges Gruppenelement inGist.

Unterscheiden vong^xy undg^z,z ∈_RZq könnte einfach sein. (Bsp:

G=Z^∗pfürp=prim.)

(3)

DDH Problem

DefinitionDecisional Diffie-Hellman (DDH) Annahme

DasDecisional Diffie-Hellman Problemist hart bezüglichG, falls für alle ppt AlgorithmenAgilt

|Ws[A(g,q,g^x,g^y,g^xy) =1]−Ws[A(g,q,g^x,g^y,g^z) =1]| ≤negl.

Wsraum: zufällige Wahl vonx,y,z ∈_R Zq, interne Münzwürfe vonA,G.

DDH Annahme:Das DDH Problem ist hart bezüglichG.

Unter der DDH-Annahme kann Eve den DH-Schlüsselg^xy nicht von einem zufälligen Gruppenelement unterscheiden.

(4)

Sicherheitsbeweis des DH-Protokolls

SatzSicherheit des Diffie-Hellman Protokolls

Unter der DDH-Annahme ist das DH-ProtokollΠsicher gegen passive AngreiferA.

Beweis:Es giltWs[KEA,Π(n) =1]

= 1

2·Ws[KEA,Π(n) =1|b=0] + 1

2·Ws[KEA,Π(n) =1|b=1]

= 1

2·Ws[A(G,g,q,g^x,g^y,g^xy) =0] + 1

2·Ws[A(G,g,q,g^x,g^y,g^z) =1]

= 1

2·(1−Ws[A(G,g,q,g^x,g^y,g^xy) =1]) +1

2Ws[A(G,g,q,g^x,g^y,g^z) =1]

= 1

2+1

2·(Ws[A(G,g,q,g^x,g^y,g^z) =1]−Ws[A(G,g,q,g^x,g^y,g^xy) =1])

≤ 1 2+1

2· |Ws[A(G,g,q,g^x,g^y,g^xy) =1]−Ws[A(G,g,q,g^x,g^y,g^z) =1]|

≤ 1 2+1

2·negl(n) =1

2 +negl(n) nach DDH-Annahme.

(5)

Public-Key Verschlüsselung

Szenario:Asymmetrische/Public Key Verschlüsselung

Schlüsselpaar (pk,sk) aus öffentlichem/geheimem Schlüssel.

VerschlüsselungEnc_pk ist Funktion des öffentlichen Schlüssels.

EntschlüsselungDec_sk ist Funktion des geheimen Schlüssels.

pk kann veröffentlicht werden, z.B. auf Webseite, Visitenkarte.

pk kann über öffentlichen (authentisierten) Kanal verschickt werden.

Vorteile:

Löst Schlüsselverteilungsproblem.

Erfordert die sichere Speicherung eines einzigen Schlüssels.

Nachteil:

Heutzutage deutlich langsamer als sym. Verschlüsselung.

(6)

Public-Key Verschlüsselung

DefinitionPublic-Key Verschlüsselung

EinPublic-Key Verschlüsselungsverfahrenist ein 3-Tupel Π = (Gen,Enc,Dec)von ppt Algorithmen mit

1 Gen:(pk,sk)←Gen(1ⁿ), wobeipk der öffentliche undsk der geheime Schlüssel ist. Beide Schlüssel besitzen Länge mind.n.

2 Enc:Für eine Nachrichtm∈ Mund Schlüsselpk berechne c ←Enc_pk(m).

3 Dec:Für einen Chiffretextc ∈ C und Schlüsselsk berechne m⁰:=Dec_sk(c).

Es giltWs[Dec_sk(Enc_pk(m)) =m] =1−negl(n).

(7)

Ununterscheidbarkeit von Chiffretexten

SpielCPA Ununterscheidbarkeit von Chiffretexten PubK_A,Π^cpa(n) SeiΠein PK-Verschlüsselungsverfahren undAein Angreifer.

1 (pk,sk)←Gen(1ⁿ)

2 (m₀,m₁)← A(pk)

3 Wähleb∈_R {0,1}.b⁰ ← A(Enc_pk(m_b)).

4 PubK_A,Π^cpa(n) =

(1 fürb=b⁰ 0 sonst

Man beachte, dassA(implizit) Orakelzugriff aufEnc_pk besitzt.

D.h.Akann sich beliebig gewählte Klartexte verschlüsseln lassen.

(chosen plaintext attack = CPA)

(8)

CPA-Spiel

PubK^cpa_A,Π(n)

(pk, sk)←Gen(1ⁿ) (1ⁿ, pk) b∈R{0,1}

c=Enc_pk(m_b) c

Ausgabe:

=

(1 fallsb=b⁰ 0 sonst

A m0, m1∈ M (m₀, m₁)

b⁰ ∈ {0,1}

b⁰

(9)

CPA Sicherheit

DefinitionCPA Sicherheit von Verschlüsselung

Ein PK-VerschlüsselungsverfahrenΠ = (Gen,Enc,Dec)heißt

CPA-sicher, d.h.Πbesitzt ununterscheidbare Verschlüsselungen unter CPA, falls für alle pptAgilt

Ws[PubK_A,Π^cpa(n) =1]≤ ¹₂+negl(n).

Übung:UnbeschränkteAkönnen das SpielPubK_A,Π^cpa(n)mit Ws 1−negl(n)gewinnen.

(10)

Unsicherheit deterministischer Verschlüsselung

SatzDeterministische Verschlüsselung

Deterministische PK-Verschlüsselung ist unsicher gegenüber CPA.

Beweis:

Akann sichEnc_pk(m₀)undEnc_pk(m₁)selbst berechnen.

D.h. ein AngreiferAgewinntPubK_A,Π^cpa(n)mit Ws 1.

(11)

Mehrfache Verschlüsselung

SpielMehrfache VerschlüsselungPubK_A,Π^mult(n)

SeiΠein PK-Verschlüsselungsverfahren undAein Angreifer.

1 (pk,sk)←Gen(1ⁿ)

2 (M₀,M₁)← A(pk), wobeiM_i = (m_i¹, . . . ,m^t_i),i =0,1 und

|m₀^j|=|m₁^j|fürj ∈[t].

3 Wähleb∈_R {0,1}.b⁰ ← A(Enc_pk(m¹_b), . . . ,Enc_pk(m^t_b)).

4 PubK_A,Π^mult(n) =

(1 fürb =b⁰ 0 sonst .

DefinitionCPA Sicherheit von mehrfacher Verschlüsselung Ein PK-VerschlüsselungsverfahrenΠ = (Gen,Enc,Dec)heißt mult-CPA sicher, d.h. besitzt ununterscheidbare mehrfache Verschlüsselungen unter CPA, falls für alle pptAgilt Ws[PubK_A,Π^mult(n) =1]≤ ¹₂+negl(n).

(12)

multCPA-Spiel

PubK^mult−cpa_A,Π (n)

(pk, sk)←Gen(1ⁿ) (1ⁿ, pk) b∈R{0,1}

c^j=Encpk

m^j_b

C= (c¹,· · ·, c^t) C Ausgabe:

=

A

M_i= (m¹_i,· · ·, m^t_i), i= 0,1

m^j₀

=

m^j₁

∀j, m^j_i ∈ M (M0, M1)

b⁰∈ {0,1}

b⁰

(13)

Sicherheit mehrfacher Verschlüsselung

SatzSicherheit mehrfacher Verschlüsselung(analog zu Krypto I) SeiΠein PK-Verschlüsselungsschema.Πist mult-CPA sicher gdwΠ CPA sicher ist.

Beweis “⇐”:

SeiAein Angreifer im SpielPubK_A,Π^mult(n). Füri ∈ {0, . . . ,t}

definiere die Hybride

C⁽ⁱ⁾= (Enc_pk(m¹₁), . . . ,Enc_pk(m₁ⁱ),Enc_pk(mⁱ⁺¹₀ ), . . . ,Enc_pk(m^t₀)).

Es gilt:Ws[PubK_A,Π^mult(n) =1]−¹₂

= 1

2Ws[A(C⁽⁰⁾) =0] +1

2Ws[A(C^(t)) =1]−1 2+t1

2−t1 2

= 1

2Ws[A(C⁽⁰⁾) =0] +1

2Ws[A(C^(t)) =1]−1 2 +

t

X

i=1

1

2(Ws[A(C⁽ⁱ⁾) =1] +Ws[A(C⁽ⁱ⁾) =0])−t1 2

=

t

X(1

2Ws[A(C⁽ⁱ⁾) =0] +1

2Ws[A(C⁽ⁱ⁺¹⁾) =1]−1 2)

(14)

Betrachten der Hybride

Lemma

Für allei:¹₂Ws[A(C⁽ⁱ⁾) =0] + ¹₂Ws[A(C⁽ⁱ⁺¹⁾) =1]≤¹₂+negl(n).

Beweis (t=2,i=0):SeiA⁰ Angreifer füreinfacheVerschl.

A⁰ versucht mittelsAdas SpielPubK_A^cpa0,Π(n)zu gewinnnen.

Strategievon Angreifer A⁰

1 A⁰ gibtpk anAweiter.

2 (M₀,M₁)← A(pk)mitM₀= (m¹₀,m²₀)undM₁= (m¹₁,m²₁).

3 A⁰ gibt(m¹₀,m₁¹)aus.A⁰ erhält Chiffretextc(b) =Enc_pk(m¹_b).

4 b⁰← A(c(b),Enc_pk(m²₀)).

5 A⁰ gibt Bitb⁰ aus.

Ws[A⁰(Enc_pk(m¹₀)) =0] =Ws[A(C⁽⁰⁾) =0]und Ws[A⁰(Enc_pk(m¹₁)) =1] =Ws[A(C⁽¹⁾) =1].

(15)

Strategie des Angreifers bei Hybriden

PubK^cpa_A0,Π(n)

(pk, sk)←Gen(1ⁿ) (1ⁿ, pk) b∈_R{0,1}

c=Enc_pk m¹_b

c Ausgabe:

=

A⁰

(1ⁿ, pk) (m¹₀, m¹₁)

c⁰:=Enc_pk m²₀ (c⁰, c) b⁰

A

M₀= (m¹₀, m²₀) M₁= (m¹₁, m²₁) m^j_i ∈ M, ∀i, j (M₀, M₁)

b⁰∈ {0,1}

b⁰

(16)

Fortsetzung Hybridtechnik

Beweis (Fortsetzung):

CPA Sicherheit vonΠbei einzelnen Nachrichten impliziert 1

2+negl(n) ≥ Ws[PubK_A^cpa0,Π(n) =1]

= 1

2Ws[A⁰(Enc_pk(m¹₀)) =0]

+1

2Ws[A⁰(Enc_pk(m¹₁)) =1]

= 1

2Ws[A(C⁽⁰⁾) =0] + 1

2Ws[A(C⁽¹⁾) =1] Lemma

Beweis für allgemeinet,i analog

Aus Lemma folgtWs[PubK_A,Π^mult(n) =1]−¹₂ ≤t·negl(n).

(17)

Von fester zu beliebiger Nachrichtenlänge

Von fester zu beliebiger Nachrichtenlänge

SeiΠein Verschlüsselungsverfahren mit Klartexten aus{0,1}ⁿ. Splittem∈ {0,1}^∗ auf inm₁, . . .mt mitm_i ∈ {0,1}ⁿ.

DefiniereΠ⁰mittelsEnc_pk⁰ (m) =Enc_pk(m₁). . .Enc_pk(m_t).

Aus vorigem Satz folgt:Π⁰ ist CPA-sicher, fallsΠCPA-sicher ist.