Probeklausur Aufgabe 2

Moderator: Einführung in die Kryptographie

ElGamal
Nichts ist wie es scheint
Beiträge: 23
Registriert: 19. Dez 2011 20:56

Probeklausur Aufgabe 2

Beitrag von ElGamal » 5. Feb 2012 12:03

Hallo Zusammen,

beim Rechnen der Probeklausur bin ich bei Aufgabe 2 auf zwei Fragen gestoßen:

1.) In der Musterlösung berechnet sich der Angreifer zur gewählten Nachricht m* einfach \(\tau\)* = MAC*(k,m*). Wieso darf der Angreifer auf das MAC-Verfahren als Teil des Signaturverfahrens zugreifen? Widerspricht dies nicht der Definition des EUF-CMA des MACs (die Signatur muss verschieden zu allen vorher getesteten Signaturen sein)?

2.) Wir haben bei den verschiedenen Sicherheitsdefinitionen (teilweise) zugelassen, dass der Angreifer mehrfach die Boxen anfragen darf. In der Lösung zu Aufgabe 2 wird angenommen, dass der Schlüssel k aus dem MAC-Verfahren im zweiten Durchlauf unverändert bleibt. Ist es generell so, dass der Schlüsselerzeugungsalgorithmus KGen einen Schlüssel zu Beginn generiert, der aber im Laufe des Angriffs, also für die z.B. für die Enc-Box, unverändert bleibt (ähnlich wie das geheime Bit b)?

Viele Grüße und frohes Lernen :wink:

Benutzeravatar
olg
Sonntagsinformatiker
Sonntagsinformatiker
Beiträge: 297
Registriert: 1. Okt 2008 19:24

Re: Probeklausur Aufgabe 2

Beitrag von olg » 5. Feb 2012 12:11

ElGamal hat geschrieben: 1.) In der Musterlösung berechnet sich der Angreifer zur gewählten Nachricht m* einfach \(\tau\)* = MAC*(k,m*). Wieso darf der Angreifer auf das MAC-Verfahren als Teil des Signaturverfahrens zugreifen? Widerspricht dies nicht der Definition des EUF-CMA des MACs (die Signatur muss verschieden zu allen vorher getesteten Signaturen sein)?
Es wird allgemein angenommen, dass das verwendete Verfahren bekannt ist. Daher kennt der Angreifer auch das Verfahren MAC*. Durch die Konstruktion des Verfahrens kennt er auch den Schlüssel k, da es Teil der Signatur ist. Also kann er sich beliebig MAC*(k,m) selbst berechnen.

Er darf allerdings keine Signatur ausgeben, die er sich von seinem Orakel/seiner Funktionsbox hat ausgeben lassen. Da er sich beliebige \(\tau \leftarrow MAC^*(k,m^*)\) berechnen kann, braucht er diesen Zugriff nicht mal.

ElGamal hat geschrieben: 2.) Wir haben bei den verschiedenen Sicherheitsdefinitionen (teilweise) zugelassen, dass der Angreifer mehrfach die Boxen anfragen darf. In der Lösung zu Aufgabe 2 wird angenommen, dass der Schlüssel k aus dem MAC-Verfahren im zweiten Durchlauf unverändert bleibt. Ist es generell so, dass der Schlüsselerzeugungsalgorithmus KGen einen Schlüssel zu Beginn generiert, der aber im Laufe des Angriffs, also für die z.B. für die Enc-Box, unverändert bleibt (ähnlich wie das geheime Bit b)?
Ich bin da mangels Quelle gerade auch nicht ganz sicher. Ich ging bisher allerdings davon aus, dass die Funktionsboxen / Orakel mit den relevanten Werten [Sicherheitsparameter bzw. je nach Verfahren Schlüssel] initiiert und diese für den Verlauf eines Angriffes nicht geändert werden.
"To Perl, or not to Perl, that is the kvetching." ~Larry Wall

Benutzeravatar
Maeher
Sonntagsinformatiker
Sonntagsinformatiker
Beiträge: 282
Registriert: 14. Okt 2007 23:02
Kontaktdaten:

Re: Probeklausur Aufgabe 2

Beitrag von Maeher » 5. Feb 2012 12:25

zu 1. hat olg vollkommen Recht. Da der Schlüssel \(k\) bekannt ist, kann der Angreifer MACs für beliebige Nachrichten einfach selbst berechnen.

zu 2., ja, die Eingaben der Orakel sind immer fix für den ganzen Angriff.
Gerade bei EUF-CMA ist das ja wichtig, denn der Angreifer soll ja eine Fälschung unter genau diesem Schlüssel ausgeben.
Wenn der Schlüssel sich also ändern würde, wäre es fraglich, wie man eine gültige Fälschung definieren wollte.


Zusammenfassend:

Immer daran denken, dass das Verfahren einem Angreifer immer bekannt ist. Nur der Schlüssel ist geheim.
Die Eingaben aller Orakel, außer denen die vom Angreifer kommen, werden vor Beginn des Angriffs fixiert.

ElGamal
Nichts ist wie es scheint
Beiträge: 23
Registriert: 19. Dez 2011 20:56

Re: Probeklausur Aufgabe 2

Beitrag von ElGamal » 5. Feb 2012 12:45

Maeher hat geschrieben:zu 1. hat olg vollkommen Recht. Da der Schlüssel \(k\) bekannt ist, kann der Angreifer MACs für beliebige Nachrichten einfach selbst berechnen.
Ich stand wohl bezüglich des Schlüssels k auf dem Schlauch^^ Aber jetzt habe ich es verstanden. Danke Euch!
Maeher hat geschrieben: zu 2., ja, die Eingaben der Orakel sind immer fix für den ganzen Angriff.
Gerade bei EUF-CMA ist das ja wichtig, denn der Angreifer soll ja eine Fälschung unter genau diesem Schlüssel ausgeben.
Wenn der Schlüssel sich also ändern würde, wäre es fraglich, wie man eine gültige Fälschung definieren wollte.
Mir erschien das eigentlich auch ganz sinnvoll es so zu definieren. Allerdings sind wir - soweit ich mich erinnern kann - in der Vorlesung nicht explizit darauf eingegangen. Ich hatte mir das mit Hilfe des OTP hergeleitet. Wäre der Schlüssel jedesmal neu, würde der Angriff aus der Vorlesung gegen das OTP nicht funktionieren und der ganze Umweg über die PRFs nicht nötig...

fischlin
Moderator
Moderator
Beiträge: 54
Registriert: 11. Mai 2006 17:14

Re: Probeklausur Aufgabe 2

Beitrag von fischlin » 6. Feb 2012 09:33

Maeher hat geschrieben: zu 2., ja, die Eingaben der Orakel sind immer fix für den ganzen Angriff.
Gerade bei EUF-CMA ist das ja wichtig, denn der Angreifer soll ja eine Fälschung unter genau diesem Schlüssel ausgeben.
Wenn der Schlüssel sich also ändern würde, wäre es fraglich, wie man eine gültige Fälschung definieren wollte.
Mir erschien das eigentlich auch ganz sinnvoll es so zu definieren. Allerdings sind wir - soweit ich mich erinnern kann - in der Vorlesung nicht explizit darauf eingegangen. Ich hatte mir das mit Hilfe des OTP hergeleitet. Wäre der Schlüssel jedesmal neu, würde der Angriff aus der Vorlesung gegen das OTP nicht funktionieren und der ganze Umweg über die PRFs nicht nötig...
Prinzipiell ist es nicht festgelegt, was bei den Boxen fix ist und was nicht; das hängt vom Spiel/Sicherheitsbegriff
ab. Beispiel IND-CPA für symmetrische Verschlüsselung: dort ist das zu ratende Bit b fix, der Schlüssel k, aber die
Randomness, mit der verschlüsselt wird, wird jedesmal neu gewählt (sofern das Verfahren wirklich probabilistisch ist). Bei EUF-UNF für MACs+Sigs wird eben immer der geheime Schlüssel in der Box fixiert - wie oben bereits gesagt, soll man Tags/Unterschriften unter diesem Schlüssel sehen dürfen und soll dann eine Fälschung unter diesem Schlüssel (bzw. dem passenden pk im Fall von Sigs) erzeugen.

Antworten

Zurück zu „Einführung in die Kryptographie“