EtS und IND-CCA Security

Moderator: Einführung in die Kryptographie

jm1035
Mausschubser
Mausschubser
Beiträge: 44
Registriert: 28. Okt 2005 09:26

EtS und IND-CCA Security

Beitrag von jm1035 »

Hi, (ich schon wieder...)

ich hänge gerade an Folie 28 des 10. Foliensatzes.
Theorem 10.14 lautet: "EtS is outsider IND-CCA secure if \sigma is strongly unforgeable"

Dazu habe ich zwei Fragen:
Angenommen, \sigma wäre nicht stark fälschungsresistent, sondern "nur" EUF-CMA sicher - wie könnte dann ein Outsider einen erfolgreichen Angriff durchführen?
Weiter unten ist beschrieben, wie ein Insider einen Angriff durchführen kann: Er erstellt eine gültige Signatur für den Cyphertext die von der gegebenen Signatur für diesen Cyphertext verschieden ist. Was ich nicht verstehe: Ist nicht das genau das, was ein stark fälschungsresistentes Signaturverfahren unmöglich macht?

Steven
Kernelcompilierer
Kernelcompilierer
Beiträge: 425
Registriert: 2. Sep 2008 10:00
Wohnort: Frankfurt am Main

Re: EtS und IND-CCA Security

Beitrag von Steven »

jm1035 hat geschrieben:Weiter unten ist beschrieben, wie ein Insider einen Angriff durchführen kann: Er erstellt eine gültige Signatur für den Cyphertext die von der gegebenen Signatur für diesen Cyphertext verschieden ist. Was ich nicht verstehe: Ist nicht das genau das, was ein stark fälschungsresistentes Signaturverfahren unmöglich macht?
Das Problem ist, dass der Insider den Signaturschlüssel kennt und die Signatur Informationen über die verschlüsselten Daten (den Ciphertext) verrät. Mit dem Ciphertext alleine würde es nicht klappen.
Die Idee hinter dem Angriff ist folgende: Ich vermute, die Nachricht sei b. Also lasse ich mb vom Orakel verschlüsseln und signieren. Wenn ich mit meiner Annahme, es sei b, Recht hatte, gilt jede Signatur für das verschlüsselte mb auch für den von außen erhaltenen Original-Ciphertext c. Also signiere ich mb - den Schlüssel habe ich als Insider ja - und nehme diese Signatur zusammen mit dem Original-Ciphertext c für die Verifikation. Die klappt jetzt gdw. c und meine neue Signatur zusammenpassen gdw. meine Annahme stimmte. Also kann ich anhand des VerDec-Ergebnisses entscheiden, ob der Input c jetzt ma oder mb war -> IND-CCA gebrochen.

jm1035
Mausschubser
Mausschubser
Beiträge: 44
Registriert: 28. Okt 2005 09:26

Re: EtS und IND-CCA Security

Beitrag von jm1035 »

Verstehe ich nicht.

Wenn ich dich richtig verstehe, kann ich einen Klartext beliebig oft verschlüsseln und die Signatur, die für den einen Cyphertext passt, passt auch für jeden anderen, solange der Klartext der selbe ist? Das ist bei E&S offensichtlich so. Aber bei EtS kann ich das nicht nachvollziehn. Es sei denn, die Verschlüsselung wäre deterministisch, was aber der IND-CPA Sicherheit widersprechen würde. Die Signatur verrät hier doch nichts über den Klartext sondern nur über den Cyphertext und der ist jedes mal anders. Warum sollte also eine Signatur für einen Cyphertext auch für einen anderen Cyphertext gelten, nur weil beide den selben Klartext verschlüsseln?

Weiterhin setzen wir doch ein stark fälschungsresistentes Signaturverfahren voraus. Mit der von dir genannten Methode hätten wir für ein und denselben Cyphertext zwei gültige Signaturen erstellt, was mit einem solchen Signaturverfahren gar nicht möglich ist.

manulis
Dozentin/Dozent
Beiträge: 53
Registriert: 25. Feb 2009 12:55

Re: EtS und IND-CCA Security

Beitrag von manulis »

Bei EtS kann ein Insider, der den Signaturschlüssel kennt, eine neue Signatur erstellen (wir nehmen an, dass Sign probabilistisch ist) und dann VerDec-Orakel abfragen. Somit kann für EtS keine insider IND-CCA-Sicherheit erreicht werden.
Bei einem Outsider, der keinen Signaturschlüssel kennt, ist dieser Angriff nicht möglich, wenn das Signaturverfahren SUF-CMA-Sicherheit bietet.

jm1035
Mausschubser
Mausschubser
Beiträge: 44
Registriert: 28. Okt 2005 09:26

Re: EtS und IND-CCA Security

Beitrag von jm1035 »

:idea: Ah, jetzt ja.
Mein Problem war, dass ich "Strong Unforeability of \(\Sigma\)" so verstanden hatte, dass Sign eben gerade nicht probabilistisch ist. Also dass es für ein (m, \(\sigma\)) kein (m, \(\sigma '\)) gibt mit \(\sigma \not = \sigma '\). Dabei heißt das ja einfach nur, dass in dem Game die Antwort (m, \(\sigma '\)) eine gültige Antwort ist, obwohl der Angreifer Sign(sk, m) mit dem Ergebnis (m, \(\sigma\)) angefragt hatte.
Damit erklärt sich dann auch, wie ein Outsider Angriff aussieht, wenn die Signatur nur EUF-CMA sicher ist.

Danke :)

Antworten

Zurück zu „Einführung in die Kryptographie“