• Keine Ergebnisse gefunden

DDH Problem

N/A
N/A
Protected

Academic year: 2022

Aktie "DDH Problem"

Copied!
17
0
0

Wird geladen.... (Jetzt Volltext ansehen)

Volltext

(1)

DDH Problem

Definition Decisional Diffie-Hellman (DDH) Annahme

Das Decisional Diffie-Hellman Problem ist hart bezüglichG, falls für alle ppt AlgorithmenAgilt

|Ws[A(g,q,gx,gy,gxy) =1]−Ws[A(g,q,gx,gy,gz) =1]| ≤negl.

Wsraum: zufällige Wahl von x,y,zRZq, interne Münzwürfe vonA,G.

DDH Annahme: Das DDH Problem ist hart bezüglichG.

Unter der DDH-Annahme kann Eve den DH-Schlüssel gxy nicht von einem zufälligen Gruppenelement unterscheiden.

(2)

Sicherheitsbeweis des DH-Protokolls

Satz Sicherheit des Diffie-Hellman Protokolls

Unter der DDH-Annahme ist das DH-ProtokollΠsicher gegen passive AngreiferA.

Beweis: Es giltWs[KEA,Π(n) =1]

= 1

2·Ws[KEA,Π(n) =1|b=0] + 1

2·Ws[KEA,Π(n) =1|b=1]

= 1

2·Ws[A(G,g,q,gx,gy,gxy) =0] + 1

2·Ws[A(G,g,q,gx,gy,gz) =1]

= 1

2·(1Ws[A(G,g,q,gx,gy,gxy) =1]) +1

2Ws[A(G,g,q,gx,gy,gz) =1]

= 1

2+1

2·(Ws[A(G,g,q,gx,gy,gz) =1]Ws[A(G,g,q,gx,gy,gxy) =1])

1 2+1

2· |Ws[A(G,g,q,gx,gy,gxy) =1]Ws[A(G,g,q,gx,gy,gz) =1]|

(3)

Public-Key Verschlüsselung

Szenario: Asymmetrische/Public Key Verschlüsselung

Schlüsselpaar (pk,sk ) aus öffentlichem/geheimem Schlüssel.

Verschlüsselung Encpk ist Funktion des öffentlichen Schlüssels.

Entschlüsselung Decsk ist Funktion des geheimen Schlüssels.

pk kann veröffentlicht werden, z.B. auf Webseite, Visitenkarte.

pk kann über öffentlichen (authentisierten) Kanal verschickt werden.

Vorteile:

Löst Schlüsselverteilungsproblem.

Erfordert die sichere Speicherung eines einzigen Schlüssels.

Nachteil:

Heutzutage deutlich langsamer als sym. Verschlüsselung.

(4)

Public-Key Verschlüsselung

Definition Public-Key Verschlüsselung

Ein Public-Key Verschlüsselungsverfahren ist ein 3-Tupel Π = (Gen,Enc,Dec)von ppt Algorithmen mit

1 Gen:(pk,sk)←Gen(1n), wobei pk der öffentliche und sk der geheime Schlüssel ist. Beide Schlüssel besitzen Länge mind. n.

2 Enc: Für eine Nachricht m∈ Mund Schlüssel pk berechne cEncpk(m).

3 Dec: Für einen Chiffretext c ∈ C und Schlüssel sk berechne m:=Decsk(c).

Es giltWs[Decsk(Encpk(m)) =m] =1−negl(n).

(5)

Ununterscheidbarkeit von Chiffretexten

Spiel CPA Ununterscheidbarkeit von Chiffretexten PubKA,Πcpa(n) SeiΠein PK-Verschlüsselungsverfahren undAein Angreifer.

1 (pk,sk)Gen(1n)

2 (m0,m1)← A(pk)

3 Wähle bR {0,1}. b ← A(Encpk(mb)).

4 PubKA,Πcpa(n) =

(1 fürb=b 0 sonst

Man beachte, dassAOrakelzugriff auf Encpk besitzt.

D.h.Akann sich beliebig gewählte Klartexte verschlüsseln lassen.

(chosen plaintext attack = CPA)

(6)

CPA-Spiel

PubKcpaA,Π(n)

(pk, sk)Gen(1n) (1n, pk) bR{0,1}

c=Encpk(mb) c

Ausgabe:

=

(1 fallsb=b 0 sonst

A m0, m1∈ M (m0, m1)

b ∈ {0,1}

b

(7)

CPA Sicherheit

Definition CPA Sicherheit von Verschlüsselung

Ein PK-VerschlüsselungsverfahrenΠ = (Gen,Enc,Dec)heißt

CPA-sicher, d.h.Πbesitzt ununterscheidbare Verschlüsselungen unter CPA, falls für alle pptAgilt

Ws[PubKA,Πcpa(n) =1]≤ 12+negl(n).

Übung: UnbeschränkteAkönnen das Spiel PubKA,Πcpa(n)mit Ws 1−negl(n)gewinnen.

(8)

Unsicherheit deterministischer Verschlüsselung

Satz Deterministische Verschlüsselung

Deterministische PK-Verschlüsselung ist unsicher gegenüber CPA.

Beweis:

Akann sich Encpk(m0)und Encpk(m1)selbst berechnen.

D.h. ein AngreiferAgewinnt PubKA,Πcpa(n)mit Ws 1.

(9)

Mehrfache Verschlüsselung

Spiel Mehrfache Verschlüsselung PubKA,Πmult(n)

SeiΠein PK-Verschlüsselungsverfahren undAein Angreifer.

1 (pk,sk)Gen(1n)

2 (M0,M1)← A(pk), wobei Mi = (mi1, . . . ,mit),i =0,1 und

|m0j|=|m1j|für j ∈[t].

3 Wähle bR {0,1}. b ← A(Encpk(m1b), . . . ,Encpk(mbt)).

4 PubKA,Πmult(n) =

(1 fürb =b 0 sonst .

Definition CPA Sicherheit von mehrfacher Verschlüsselung Ein PK-VerschlüsselungsverfahrenΠ = (Gen,Enc,Dec)heißt mult-CPA sicher, d.h. besitzt ununterscheidbare mehrfache Verschlüsselungen unter CPA, falls für alle pptAgilt Ws[PubKA,Πmult(n) =1]≤ 12+negl(n).

(10)

multCPA-Spiel

PubKmult−cpaA,Π (n)

(pk, sk)Gen(1n) (1n, pk) bR{0,1}

cj=Encpk

mjb

C= (c1,· · ·, ct) C Ausgabe:

=

(1 fallsb=b 0 sonst

A

Mi= (m1i,· · ·, mti), i= 0,1

mj0

=

mj1

∀j, mji ∈ M (M0, M1)

b∈ {0,1}

b

(11)

Sicherheit mehrfacher Verschlüsselung

Satz Sicherheit mehrfacher Verschlüsselung (analog zu Krypto I) SeiΠein PK-Verschlüsselungsschema.Πist mult-CPA sicher gdwΠ CPA sicher ist.

Beweis “⇐”: Für t=2.

Ein AngreiferAgewinnt das Spiel PubKA,Πmult(n)mit Ws

1

2Ws[A(Encpk(m10),Encpk(m02)) =0] +1

2Ws[A(Encpk(m11),Encpk(m21)) =1].

Daraus folgtWs[PubKA,Πmult(n)] + 12 =

1

2Ws[A(Encpk(m10),Encpk(m02)) =0] +1

2Ws[A(Encpk(m11),Encpk(m21)) =1]

+ 1

2

Ws[A(Encpk(m10),Encpk(m21)) =0] +Ws[A(Encpk(m10),Encpk(m21)) =1]

Ziel: Zeigen, dassWs[PubKA,Πmult(n)] + 12 ≤1+negl(n).

(12)

Betrachten der Hybride

Lemma

1

2Ws[A(Encpk(m10),Encpk(m02)) =0] +12Ws[A(Encpk(m10),Encpk(m21)) =1]12+negl(n).

Beweis: SeiAAngreifer für einfache Verschlüsselungen.

A versucht mittelsAdas Spiel PubKAcpa(n)zu gewinnnen.

Strategie von Angreifer A

1 A gibt pk anAweiter.

2 (M0,M1)← A(pk)mit M0= (m10,m20)und M1= (m11,m21).

3 A gibt(m20,m12)aus.A erhält Chiffretext c(b) =Encpk(m2b).

4 b← A(Encpk(m01),c(b)).

5 A gibt Bit b aus.

(13)

Strategie des Angreifers bei Hybriden

PubKcpaA,Π(n)

(pk, sk)Gen(1n) (1n, pk) bR{0,1}

c=Encpk m2b

c Ausgabe:

=

(1 fallsb=b 0 sonst

A

(1n, pk) (m20, m21)

c:=Encpk m10

(c, c)

b

A

M0= (m10, m20) M1= (m11, m21) mji ∈ M, ∀i, j (M0, M1)

b∈ {0,1}

b

(14)

Fortsetzung Hybridtechnik

Beweis(Fortsetzung):

CPA Sicherheit vonΠbei einzelnen Nachrichten impliziert 1

2+negl(n) ≥ Ws[PubKAcpa(n) =1]

= 1

2Ws[A(Encpk(m20)) =0] +1

2Ws[A(Encpk(m21)) =1

= 1

2Ws[A((Encpk(m01),Encpk(m02)) =0] + 1

2Ws[A((Encpk(m01),Encpk(m12)) =1] Lemma

Analog kann gezeigt werden, dass 1

2+negl(n) ≥ 1

2Ws[A((Encpk(m10),Encpk(m21)) =0] + 1Ws[A((Enc (m1),Enc (m2)) =1]

(15)

Von fester zu beliebiger Nachrichtenlänge

Beweistechnik für allgemeines t: Definiere für i ∈[t]Hybride C(i)= (Encpk(m01), . . . ,Encpk(mi0),Encpk(m1i+1), . . . ,Encpk(mt1)).

Ws[PubKA,Πmult(n) =1] = 12·Ws[A(C(t)) =0] +12·Ws[A(C(0)=1].

A unterscheidet Encpk(m0i)und Encpk(m1i)für zufälliges i ∈[t].

Entspricht dem Unterscheiden von C(i)und C(i−1). Liefert Pr[PubKA,Πmult(n)]≤ 12+t·negl(n) Satz.

Von fester zu beliebiger Nachrichtenlänge

SeiΠein Verschlüsselungsverfahren mit Klartexten aus{0,1}n. Splitte m∈ {0,1}auf in m1, . . .mt mit mi ∈ {0,1}n.

DefiniereΠ mittels Encpk (m) =Encpk(m1). . .Encpk(mt).

Aus vorigem Satz folgt:Π ist CPA-sicher, fallsΠCPA-sicher ist.

(16)

Hybride Verschlüsselungsverfahren

Ziel: Flexibilität von asym. Verfahren und Effizienz von sym. Verfahren.

Szenario:

SeiΠ = (Gen,Enc,Dec)ein PK-Verschlüsselungsverfahren undΠ= (Gen,Enc,Dec)ein SK-Verschlüsselungsverfahren.

Berechne(pk,sk)←Gen(1n).

Algorithmus Hybride Verschlüsselung Eingabe: m, pk

1 Wähle kR {0,1}n.

2 Verschlüssele c1Encpk(k)mit asym. Verschlüsselung.

3 Verschlüssele c2Enck(m)mit sym. Verschlüsselung.

Ausgabe: Chiffretext c = (c1,c2)

(17)

Hybride Entschlüsselung

Algorithmus Hybride Entschlüsselung Eingabe: c = (c1,c2), sk

1 Entschlüssele kDecsk(c1).

2 Entschlüssele mDeck(c2).

Ausgabe: Klartext m

Effizienzgewinn für|m| ≫n, sofernΠ effizienter isalsΠ.

Frage: Ist hybride Verschlüsselung sicher, fallsΠ,Π sicher?

Referenzen

ÄHNLICHE DOKUMENTE

Zur Person von Karadiic sei noch einmal daran erinnert, daß der als Sohn eines Schuhmachers in Montene- gro 1945 Geborene erst mit 15 Jahren nach Sarajevo übersiedelte, sich nach

Lebenszeit auch mehr in der Mitte der Bauchhöhle anzutreffen i s t , und dann nur den dritten T h e i l der Bauchhöhle durchläuft, biegt er sich vorne um die rechte Seite des

Diesen „Full-Service" wird es bei allen Versicherungsträgern und für alle Versicherte allerdings erst Ende der 70er Jahre geben, wenn sämtliche Versichertenjahrgänge

Unmittelbar an den öffentlichen Hafen schliesst sich ein Privat- hafen der Zeche Friedrich der Grosse an.. Die Kohlenverladung erfolgt jetzt noch fast ausnahmslos von dieser Zeche

Dieser intrinsische thermoelektrische Effekt des Kanals ist hierbei stärker als der entgegengesetzte thermodynamische Effekt der Reservoire: Durch Heizen des einen Reservoirs nimmt

Dann verschl ¨usselt sie die Nachricht mit Alice’s ¨offentlichem Schl ¨ussel und schickt dies an Alice. • Weder Bob noch Alice sch

F ¨ur konkret gegebene Gruppen gibt es keine (sinnvollen) unteren Schranken f ¨ur die Laufzeit, ein DLP zu l ¨osen.. Solche neu berechneten Werte werden zu L

Index Calculus Algorithmen basieren auf der Tatsache, daß gewisse Gruppen Faktorgruppen von Ringen (oder auch Gruppen) mit Primfaktorisierung und endlich vielen Primelementen