CPA Spiel Szenario:

(1)

CPA Spiel

Szenario: Wir betrachten aktive Angriffe.

D.h.Adarf sich Nachrichten nach Wahl verschlüsseln lassen.

Aerhält dazu Zugriff auf ein Verschlüsselungsorakel Enc_k(·).

Notation für die Fähigkeit des Orakelzugriffs:A^Enc^k^(·).

Spiel CPA Ununterscheidbarkeit von Chiffretexten PrivK_A,Π^cpa(n) SeiΠein Verschlüsselungsverfahren undAein Angreifer.

1 k ←Gen(1ⁿ).

2 (m₀,m₁)← A^Enc^k^(·)(1ⁿ), d.h.Adarf Enc_k(m)für beliebige m anfragen.

3 Wähle b∈_R {0,1}und verschlüssele c ←Enc_k(m_b).

4 b^′← A^Enc^k^(·)(c), d.h.Adarf Enc_k(m)für beliebige m anfragen.

5 PrivK_A,Π^cpa(n) =

(1 fürb=b^′ 0 sonst .

(2)

CPA Spiel

PrivK^cpa_A,Π(n) k←Gen(1ⁿ)

1ⁿ

c^′₁=Enck(m^′₁)

c^′_i =Enck(m^′_i) b∈R {0,1}

c=Enck(m_b)

c^′_i+1=Enck m^′_i+1 c^′_q =Enck m^′_q Ausgabe:

=

(1 fallsb=b^′ 0 sonst

A m^′₁∈ M m^′₁

c^′₁ ...

m^′_i∈ M m^′_i

c^′_i

m0, m1∈ M mit|m0|=|m1| (m0, m1)

c

m^′_i+1∈ M m^′_i+1

c^′_i+1 ...

m^′_q ∈ M m^′_q

c^′_q

b^′∈ {0,1}

b^′

(3)

CPA Sicherheit

Definition CPA Sicherheit

Ein VerschlüsselungsschemaΠ = (Gen,Enc,Dec)besitzt ununter- scheidbare Chiffretexte gegenüber CPA falls für alle pptA:

Ws[PrivK_A,Π^cpa(n) =1]≤ ¹₂+negl(n).

Der Wsraum ist definiert über die Münzwürfe vonAund PrivK_A,Π^cpa. Notation: Wir bezeichnenΠals CPA sicher.

(4)

CPA-Unsicherheit deterministischer Verschlüsselung

Satz Unsicherheit deterministischer Verschlüsselung SeiΠ = (Gen,Enc,Dec)ein Verschlüsselungsschema mit deterministischem Enc. Dann istΠnicht CPA-sicher.

Beweis: Konstruieren folgenden CPA AngreiferA.

Algorithmus CPA AngreiferA EINGABE: 1ⁿ

1 Sende(m₀,m₁)für beliebige verschiedene m₀,m₁∈ M.

2 Erhalte c:=Enc_k(mb)für b∈R {0,1}.

3 Stelle Orakelanfrage c₀:=Enc_k(m₀).

AUSGABE: b^′ =

(0 fallsc =c^′ 1 sonst .

(5)

CPA Angreifer für deterministische Verschlüsselungen

PrivK^cpa_A,_Π(n)

k←Gen(1ⁿ) 1ⁿ

b∈R {0,1}

c=Enck(mb)

c0=Enck(m0) Ausgabe:

=

A

m0, m1∈ M,m06=m1

(m0, m1) c m0

c0

b^′= 0, fallsc=c0

b^′= 1, fallsc6=c0

b^′

Es giltWs[PrivK_A,Π^cpa(n) =1] =1.

(6)

Mult-CPA Spiel

Wie CPA-Spiel, nur dass mehrfache Verschlüsselungen erlaubt sind.

Spiel Mehrfache Verschlüsselung PrivK_A,Π^mult−cpa(n) SeiΠein Verschlüsselungsverfahren undAein Angreifer.

1 (M0,M₁)← A^Enc^k^(·)(1ⁿ)mit M₀= (m₀¹, . . . ,m^t₀), M1= (m₁¹, . . . ,m^t₁) und|m₀ⁱ|=|m₁ⁱ|für alle i ∈[t].

2 k ←Gen(1ⁿ).

3 Wähle b∈R {0,1}. b^′ ← A^Enc^k^(·)((Enck(m_b¹), . . . ,Enc_k(m^t_b)).

4 PrivK_A,Π^mult−cpa(n) =

(1 fürb=b^′ 0 sonst .

Definition Mult-CPA Sicherheit

Πheißt mult-CPA sicher, falls für alle pptAgilt

Ws[PrivK_A,Π^mult−cpa(n) =1]≤ ¹₂+negl(n).

(7)

Mult-CPA Spiel

PrivK^mult−cpa_A,Π (n) k←Gen(1ⁿ) c^′_i=Enck(m^′_i)

b∈R{0,1}

c^j=Enck

m^j_b C= (c¹,· · ·, c^t) Ausgabe:

=

1ⁿ m^′_i c^′_i (M0, M1)

C m^′_i c^′_i

AngreiferA W¨ahle m^′_i∈ M f¨uri= 1, . . . , q.

W¨ahle M0= (m¹0,· · ·, m^t₀) und M1= (m¹1,· · ·, m^t₁) mit|m^j₀|=|m^j₁|.

b^′∈ {0,1}

b^′

(8)

CPA-Sicherheit mehrfacher Verschlüsselung

Satz CPA-Sicherheit mehrfacher Verschlüsselung

SeiΠein Verschlüsselungsschema. Dann istΠCPA-sicher gdwΠ mult-CPA sicher ist.

Beweis “⇒”: Für t=2. Rückrichtung ist trivial.

SeiAein Angreifer für PrivK_A,Π^mult−cpa(n). Wir konstruieren einen AngreiferA^′ für PrivK_A^cpa′,Π(n).Agewinnt mit Ws

Ws[b=0]·Ws[A(Enck(m¹0),Enck(m²0)) =0]+Ws[b=1]·Ws[A(Enck(m¹1),Enck(m²1)) =1].

Daraus folgtWs[PrivK_A,Π^mult^−cpa(n) =1] +¹₂ =

1

2Ws[A(Enck(m0¹),Enck(m²0)) =0] +1

2Ws[A(Enck(m¹1),Enck(m²1)) =1]

+ 1

2

Ws[A(Enck(m¹0),Enck(m²1)) =0] +Ws[A(Enck(m¹0),Enck(m²1)) =1]

Ziel: Zeigen, dassWs[PrivK_A,Π^mult−cpa(n) =1] + ¹₂ ≤1+2negl(n).

(9)

Betrachten der Hybride

Lemma

1

2Ws[A(Enck(m¹₀),Enck(m²₀)) =0] +¹₂Ws[A(Enck(m¹₀),Enck(m²₁)) =1]≤¹₂+negl(n).

Beweis: SeiA^′Angreifer für einfache Verschlüsselungen.

A^′ versucht mittelsAdas Spiel PrivK_A^cpa′,Π(n)zu gewinnnen.

Strategie von CPA Angreifer A^′ EINGABE: 1ⁿ und Orakelzugriff Enc_k(·)

1 A^′ gibt 1ⁿund Orakelzugriff Enc_k(·)anAweiter.

2 (M₀,M₁)← A^Enc^k^(·)(1ⁿ)mit M₀= (m¹₀,m₀²)und M₁= (m¹₁,m₁²).

3 A^′ gibt(m²₀,m₁²)aus.A^′ erhält Chiffretext c :=Enc_k(m²_b).

4 b^′← A(Enck(m¹₀),c).

AUSGABE: b^′

Ws[A^′(Enck(m₀²)) =0] =Ws[A((Enck(m¹₀),Enc_k(m₀²)) =0]und Ws[A^′(Enc_k(m₁²)) =1] =Ws[A((Enc_k(m¹₀),Enc_k(m₁²)) =1].

(10)

Betrachten der Hybride

PrivK^cpa_A′,Π(n) k←Gen(1ⁿ) c^′_i=Enck(m^′_i) b∈R{0,1}

c=Enck(mb) c¹₀=Enck m¹₀

Ausgabe:

=

1ⁿ m^′_i c^′_i (m0, m1)

c m¹₀ c¹₀ m^′_i c^′_i

b^′

A^′

m0=m²₀ m1=m²₁ C= (c¹0, c)

1ⁿ m^′_i c^′_i

(M0, M1)

C m^′_i c^′_i

b^′

A F¨uri= 1, . . . , q:

m^′_i∈ M.

M0= (m¹₀, m²₀) M1= (m¹1, m²₁)

b^′ ∈ {0,1}

(11)

Fortsetzung Hybridtechnik

Beweis(Fortsetzung):

CPA Sicherheit vonΠbei einzelnen Nachrichten impliziert 1

2+negl(n) ≥ Ws[PrivK_A^cpa_′_,Π(n) =1]

= 1

2Ws[A^′(Enc_k(m₀²)) =0] +1

2Ws[A^′(Enc_k(m₁²)) =1]

= 1

2Ws[A((Enc_k(m¹₀),Enc_k(m²₀)) =0] + 1

2Ws[A((Enc_k(m¹₀),Enc_k(m²₁)) =1] Lemma

Analog kann gezeigt werden, dass 1

2 +negl(n) ≥ 1

2Ws[A((Enc_k(m¹₀),Enc_k(m₁²)) =0] + 1

2Ws[A((Enc_k(m¹₁),Enc_k(m₁²)) =1]

Daraus folgtWs[PrivK_A,Π^mult^−cpa(n)] +¹₂ ≤1+negl(n). Satz fürt=2

(12)

Von fester zu beliebiger Nachrichtenlänge

Beweistechnik für allgemeines t: Definiere für 0≤i≤t Hybride C⁽ⁱ⁾= (Enc_k(m¹₀), . . . ,Enc_k(mⁱ₀),Enc_k(mⁱ⁺¹₁ ), . . . ,Enc_k(m^t₁)).

Ws[PrivK_A,Π^mult^−cpa(n) =1] = ¹₂·Ws[A(C^(t)) =0]+¹₂·Ws[A(C⁽⁰⁾=1].

A^′ unterscheidet Enc_k(mⁱ₀)und Enc_k(mⁱ₁)für zufälliges 0≤i≤t.

Entspricht dem Unterscheiden von C⁽ⁱ⁾und C⁽ⁱ⁻¹⁾.

Liefert analogWs[PrivK_A,Π^mult−cpa(n)]≤ ¹₂+t·negl(n) Satz.

Von fester zu beliebiger Nachrichtenlänge

SeiΠein Verschlüsselungsverfahren mit Klartexten aus{0,1}ⁿ. Splitte m∈ {0,1}^∗in m₁, . . .mt mit m_i ∈ {0,1}ⁿ.

DefiniereΠ^′ vermöge Enc_k^′(m) =Enc_k(m1). . .Enc_k(mt).

Voriger Satz: FallsΠCPA-sicher ist, so ist auchΠ^′CPA-sicher.

(13)

Zufallsfunktionen

Definition Echte Zufallsfunktionen:

Sei Func_n={f |f :{0,1}ⁿ→ {0,1}ⁿ}. Wir bezeichnen f ∈R Func_nals echte Zufallsfunktion auf n Bits.

Anmerkungen:

Können f ∈Func_nmittels vollständiger Wertetabelle beschreiben.

Damit kann f als Bitstring der Länge n·2ⁿdargestellt werden:

n Bits pro f(x)für alle x ∈ {0,1}ⁿ.

Es gibt 2^n·2ⁿ Strings dieser Länge n·2ⁿ, d.h.|Func_n|=2^n·2ⁿ. Definition längenerhaltende, schlüsselabhängige Funktion Sei F ein pt Algorithmus. F heißt längenerhaltende, schlüsselabhängi- ge Funktion falls F eine Fkt.{0,1}^m× {0,1}ⁿ→ {0,1}ⁿberechnet.

Notation: F_k(x) :=F(k,x), wobei k der Schlüssel ist.

Anmerkung:

Zur Übersichtlichkeit der Notation verwenden wir stets m=n.

(14)

Pseudozufallsfunktion

Definition Pseudozufallsfunktion (PRF)

Sei F eine längenerhaltende, schlüsselabhängige Funktion. Wir bezeichnen F als Pseudozufallsfunktion (PRF), falls für alle ppt D gilt

Ws[D^F^k^(·)(1ⁿ) =1]−Ws[D^f^(·)(1ⁿ) =1]

≤negl(n), wobei k ∈R{0,1}ⁿund f ∈R Func_n.

Anmerkungen:

Die Beschreibungslänge von f ist n2ⁿBits, d.h. exponentiell in n.

Daher erhält ein ppt D nicht f , sondern Orakelzugriff auf f und F_k. D kann nur polynomiell viele Anfragen an sein Orakel stellen.

Danach muss D entscheiden, ob sein Orakel einer echten Zufallsfunktion oder einer Pseudozufallsfunktion entspricht.