CPA Sicherheit

(1)

CPA Spiel

Szenario:Wir betrachten aktive Angriffe.

D.h.Adarf sich Nachrichten nach Wahl verschlüsseln lassen.

Aerhält dazu Zugriff auf ein VerschlüsselungsorakelEnc_k(·).

Notation für die Fähigkeit des Orakelzugriffs:A^Enc^k^(·).

SpielCPA Ununterscheidbarkeit von Chiffretexten PrivK_A,Π^cpa(n) SeiΠein Verschlüsselungsverfahren undAein Angreifer.

1 k ←Gen(1ⁿ).

2 (m₀,m₁)← A^Enc^k^(·)(1ⁿ), d.h.AdarfEnc_k(m)für beliebigem anfragen.

3 Wähleb∈_R {0,1}und verschlüsselec ←Enc_k(m_b).

4 b⁰← A^Enc^k^(·)(c), d.h.AdarfEnc_k(m)für beliebigemanfragen.

5 PrivK_A,Π^cpa(n) =

(1 fürb=b⁰ 0 sonst .

(2)

CPA Spiel

PrivK^cpa_A,Π(n) k←Gen(1ⁿ)

1ⁿ

c⁰₁=Enc_k(m⁰₁)

c⁰_i =Enck(m⁰_i) b∈R{0,1}

c=Enck(mb)

c⁰_i+1=Enck m⁰_i+1 c⁰_q =Enc_k m⁰_q Ausgabe:

=

(1 fallsb=b⁰ 0 sonst

A m⁰₁∈ M m⁰₁

c⁰₁ ...

m⁰_i∈ M m⁰_i

c⁰_i

m₀, m₁∈ M mit|m0|=|m1| (m₀, m₁)

c

m⁰_i+1∈ M m⁰_i+1

c⁰_i+1 ...

m⁰_q ∈ M m⁰_q

c⁰_q

b⁰∈ {0,1}

b⁰

(3)

CPA Sicherheit

DefinitionCPA Sicherheit

Ein VerschlüsselungsschemaΠ = (Gen,Enc,Dec)besitztununter- scheidbare Chiffretexte gegenüber CPAfalls für alle pptA:

Ws[PrivK_A,Π^cpa(n) =1]≤ ¹₂+negl(n).

Der Wsraum ist definiert über die Münzwürfe vonAundPrivK_A,Π^cpa. Notation: Wir bezeichnenΠalsCPA sicher.

(4)

CPA-Unsicherheit deterministischer Verschlüsselung

SatzUnsicherheit deterministischer Verschlüsselung SeiΠ = (Gen,Enc,Dec)ein Verschlüsselungsschema mit deterministischemEnc. Dann istΠnichtCPA-sicher.

Beweis:Konstruieren folgenden CPA AngreiferA.

Algorithmus CPA AngreiferA EINGABE: 1ⁿ

1 Sende(m₀,m₁)für beliebige verschiedenem₀,m₁∈ M.

2 Erhaltec :=Enc_k(m_b)fürb∈_R {0,1}.

3 Stelle Orakelanfragec₀:=Enc_k(m₀).

AUSGABE:b⁰ =

(0 fallsc =c⁰ 1 sonst .

(5)

CPA Angreifer für deterministische Verschlüsselungen

PrivK^cpa_A,Π(n)

k←Gen(1ⁿ) 1ⁿ

b∈R{0,1}

c=Enck(mb)

c0=Enck(m0) Ausgabe:

=

A

m0, m1∈ M (m0, m1)

c m₀ c0

b⁰= 0, fallsc=c0

b⁰= 1, fallsc6=c₀ b⁰

Es giltWs[PrivK_A,Π^cpa(n) =1] =1.

(6)

Mult-CPA Spiel

Wie CPA-Spiel, nur dass mehrfache Verschlüsselungen erlaubt sind.

SpielMehrfache VerschlüsselungPrivK_A,Π^mult^−cpa(n) SeiΠein Verschlüsselungsverfahren undAein Angreifer.

1 (M₀,M₁)← A^Enc^k^(·)(1ⁿ)mitM₀= (m₀¹, . . . ,m^t₀),M₁= (m₁¹, . . . ,m^t₁) und|m₀ⁱ|=|m₁ⁱ|für allei∈[t].

2 k ←Gen(1ⁿ).

3 Wähleb∈_R {0,1}.b⁰ ← A^Enc^k^(·)((Enc_k(m_b¹), . . . ,Enc_k(m^t_b)).

4 PrivK_A,Π^mult−cpa(n) =

(1 fürb=b⁰ 0 sonst .

DefinitionMult-CPA Sicherheit

Πheißtmult-CPAsicher, falls für alle pptAgilt

Ws[PrivK_A,Π^mult^−cpa(n) =1]≤ ¹₂+negl(n).

(7)

Mult-CPA Spiel

PrivK^mult−cpa_A,Π (n) k←Gen(1ⁿ) ˆ

ci=Enck( ˆmi)

b∈R{0,1}

c^j=Enck

m^j_b C= (c¹,· · ·, c^t)

Ausgabe:

=

1ⁿ

ˆ mi

ˆ ci

(M0, M1) C

ˆ m_i ˆ ci

AngreiferA W¨ahlemˆ_i∈ M f¨uri= 1, . . . , q.

W¨ahleM0= (m¹₀,· · ·, m^t₀) und M1= (m¹₁,· · ·, m^t₁) mit|m^j₀|=|m^j₁|.

b⁰∈ {0,1}

b⁰

(8)

CPA-Sicherheit mehrfacher Verschlüsselung

SatzCPA-Sicherheit mehrfacher Verschlüsselung

SeiΠein Verschlüsselungsschema. Dann istΠCPA-sicher gdwΠ mult-CPA sicher ist.

Beweis “⇒”:Fürt=2. Rückrichtung ist trivial.

Ein beliebiger AngreiferAgewinntPrivK_A,Π^mult−cpa(n)mit Ws

1

2Ws[A(Enck(m¹₀),Enck(m₀²)) =0] +1

2Ws[A(Enck(m₁¹),Enck(m²₁)) =1].

Daraus folgtWs[PrivK_A,Π^mult^−cpa(n) =1] +¹₂ =

1

2Ws[A(Enck(m₀¹),Enck(m²₀)) =0] +1

2Ws[A(Enck(m¹₁),Enck(m²₁)) =1]

+ 1

2

Ws[A(Enck(m¹₀),Enck(m₁²)) =0] +Ws[A(Enck(m¹₀),Enck(m²₁)) =1]

Ziel:Zeigen, dassWs[PrivK_A,Π^mult−cpa(n) =1] + ¹₂ ≤1+2negl(n).

(9)

Betrachten der Hybride

Lemma

1

2Ws[A(Enc_k(m₀¹),Enck(m₀²)) =0] +¹₂Ws[A(Enc_k(m¹₀),Enck(m²₁)) =1]≤¹

2+negl(n).

Beweis:SeiA⁰ Angreifer füreinfacheVerschlüsselungen.

A⁰ versucht mittelsAdas SpielPrivK_A^cpa0,Π(n)zu gewinnnen.

Strategievon CPA AngreiferA⁰ EINGABE: 1ⁿund OrakelzugriffEnc_k(·)

1 A⁰ gibt 1ⁿund OrakelzugriffEnc_k(·)anAweiter.

2 (M₀,M₁)← A^Enc^k^(·)(1ⁿ)mitM₀= (m¹₀,m₀²)undM₁= (m¹₁,m₁²).

3 A⁰ gibt(m²₀,m₁²)aus.A⁰ erhält Chiffretextc :=Enc_k(m²_b).

4 b⁰← A(Enc_k(m¹₀),c).

AUSGABE:b⁰

Ws[A⁰(Enc_k(m₀²)) =0] =Ws[A((Enc_k(m¹₀),Enc_k(m₀²)) =0]und Ws[A⁰(Enc_k(m₁²)) =1] =Ws[A((Enc_k(m¹₀),Enc_k(m₁²)) =1].

(10)

Betrachten der Hybride

PrivK^cpa_A0,Π(n) k←Gen(1ⁿ) ˆ

c_i=Enc_k( ˆm_i) b∈R{0,1}

c=Enck(mb)

c¹₀=Enc_k m¹₀

Ausgabe:

=

1ⁿ ˆ m_i ˆ ci

(m0, m1) c m¹₀ c¹₀

ˆ mi

ˆ ci

b⁰

A⁰

m₀=m²₀ m1=m²₁ C= (c¹₀, c)

1ⁿ ˆ m_i ˆ ci

(M0, M1)

C

ˆ mi

ˆ ci

b⁰

A

F¨uri= 1, . . . , q:

ˆ m_i∈ M.

M₀= (m¹₀, m²₀) M1= (m¹₁, m²₁)

b⁰ ∈ {0,1}

(11)

Fortsetzung Hybridtechnik

Beweis(Fortsetzung):

CPA Sicherheit vonΠbei einzelnen Nachrichten impliziert 1

2+negl(n) ≥ Ws[PrivK_A^cpa0,Π(n) =1]

= 1

2Ws[A⁰(Enc_k(m₀²)) =0] +1

2Ws[A⁰(Enc_k(m₁²)) =1]

= 1

2Ws[A((Enc_k(m¹₀),Enc_k(m²₀)) =0] + 1

2Ws[A((Enc_k(m¹₀),Enc_k(m²₁)) =1] Lemma

Analog kann gezeigt werden, dass 1

2 +negl(n) ≥ 1

2Ws[A((Enc_k(m¹₀),Enc_k(m₁²)) =0] + 1

2Ws[A((Enc_k(m¹₁),Enc_k(m₁²)) =1]

Daraus folgtWs[PrivK_A,Π^mult^−cpa(n)] +¹₂ ≤1+negl(n). Satz fürt=2

(12)

Beweistechnik für allgemeines t

Definiere für 0≤i≤tHybride

C⁽ⁱ⁾= (Enc_k(m¹₀), . . . ,Enc_k(mⁱ₀),Enc_k(mⁱ⁺¹₁ ), . . . ,Enc_k(m^t₁)).

Ws[PrivK_A,Π^mult^−cpa(n) =1] = ¹₂·Ws[A(C^(t)) =0]+¹₂·Ws[A(C⁽⁰⁾=1].

Daraus folgtWs[PrivK_A,Π^mult^−cpa(n) =1] +^t⁻¹₂ =

1

2Ws[A(C^(t⁾) =0] +1

2Ws[A(C⁽⁰⁾) =1]

+

t−1

X

i=1

1 2

Ws[A(C⁽ⁱ⁾) =0] +1

2Ws[A(C⁽ⁱ⁾) =1]

=

t

X

i=1

1 2

Ws[A(C⁽ⁱ⁻¹⁾) =1] +Ws[A(C⁽ⁱ⁾) =0]

A⁰ unterscheidetEnc_k(mⁱ₀)undEnc_k(mⁱ₁)für zufälliges 0≤i≤t.

Entspricht dem Unterscheiden vonC⁽ⁱ⁾undC⁽ⁱ⁻¹⁾.

Liefert analogWs[PrivK_A,Π^mult^−cpa(n)]≤ ¹₂+t·negl(n) Satz.

(13)

Von fester zu beliebiger Nachrichtenlänge

Von fester zu beliebiger Nachrichtenlänge

SeiΠein Verschlüsselungsverfahren mit Klartexten aus{0,1}ⁿ. Splittem∈ {0,1}^∗ inm₁, . . .mt mitm_i ∈ {0,1}ⁿ.

DefiniereΠ⁰vermögeEnc_k⁰(m) =Enc_k(m₁). . .Enc_k(m_t).

Aus vorigem Satz folgt:Π⁰ ist CPA-sicher, fallsΠCPA-sicher ist.