Klausur

Moderator: Einführung in die Kryptographie

yagami
Mausschubser
Mausschubser
Beiträge: 72
Registriert: 5. Okt 2006 03:02

Klausur

Beitrag von yagami » 9. Feb 2012 10:32

Kann jemand die idee für die Lösung von der ersten Aufgabe geben? Ich könnte leider die Aufgabe nicht lösen...

dgdmaster
Erstie
Erstie
Beiträge: 20
Registriert: 24. Feb 2008 16:54

Re: Klausur

Beitrag von dgdmaster » 9. Feb 2012 10:57

Ja schicke 0^n 0^n hin, danach 1^n 1^n, damit hast du eine gültige Signatur für 0^n als 1. Block und 1^n als 2. Block und kannst eine Fälschung 0^n 1^n erstellen :)

Alex0815
Erstie
Erstie
Beiträge: 21
Registriert: 6. Feb 2012 16:55

Re: Klausur

Beitrag von Alex0815 » 9. Feb 2012 19:21

na dann, wer mag was zur zweiten sagen ;-) ?

ElGamal
Nichts ist wie es scheint
Beiträge: 23
Registriert: 19. Dez 2011 20:56

Re: Klausur

Beitrag von ElGamal » 9. Feb 2012 20:06

Alex0815 hat geschrieben:na dann, wer mag was zur zweiten sagen ;-) ?
Ich habe das ganze mit Hilfe das Transformationssatzes für ununterscheidbare Zufallsvariablen gezeigt. Da G ein PRG ist, weißt du, dass \(G(U_{n}) \approx U_{m}\) gilt. Wenn du nun die effiziente und deterministische Funktion G auf beiden Seiten darauf anwendest erhälst du \(G(G(U_{n})) \approx G(U_{m})\). Wenn du dann noch die Transitivität ausnutzt, hast du die Pseudozufälligkeit bewiesen. 8)

fischlin
Moderator
Moderator
Beiträge: 54
Registriert: 11. Mai 2006 17:14

Re: Klausur

Beitrag von fischlin » 9. Feb 2012 20:14

Ah, schön, der "elegante" Ansatz. Kann man natürlich auch zu Fuß lösen, aber so ist es hübscher
(wenn's natürlich dann auch richtig gemacht wurde).

ElGamal
Nichts ist wie es scheint
Beiträge: 23
Registriert: 19. Dez 2011 20:56

Re: Klausur

Beitrag von ElGamal » 9. Feb 2012 20:19

fischlin hat geschrieben:Ah, schön, der "elegante" Ansatz. Kann man natürlich auch zu Fuß lösen, aber so ist es hübscher
(wenn's natürlich dann auch richtig gemacht wurde).
Vielen Dank für die Blumen :lol:
Bin erstaunt, dass ich im Stress der Klausur da drauf gekommen bin^^ Ich hoffe, ich habe an alles Wichtige gedacht... :mrgreen:

ElGamal
Nichts ist wie es scheint
Beiträge: 23
Registriert: 19. Dez 2011 20:56

Re: Klausur

Beitrag von ElGamal » 9. Feb 2012 20:31

Zur Aufgabe 4:
Mein Angreifer wählt sich vier Nachrichten \(m_1 < m_2 < m_3 < m_4\) und schickt dann zuerst \((m_1,m_4)\) an die Enc-Box und erhält \(C_1\). Dann schickt er \((m_2,m_3)\) an die Box und erhält \(C_2\). Mit einem Vergleich von \(C_1\) und \(C_2\) kann er dann aufgrund der lexiographischen Ordnung der Ciphertexte entscheiden, ob die linke oder die rechte Nachricht verschlüsselt wurde.

Kann mir jemand sagen, ob der Ansatz funktioniert?^^ Bin mir immer noch nicht ganz sicher :|
Danke :wink:

Lukas
Neuling
Neuling
Beiträge: 5
Registriert: 18. Jan 2011 16:33

Re: Klausur

Beitrag von Lukas » 9. Feb 2012 21:50

Ich meine, dass der Ansatz richtig ist :)
Ich hab meinen Angreifer so gebaut, wie einen Angreifer für deterministische Verfahren: Zuerst wird (m0, m0) an Enc geschickt, und dann (m0,m1) mit m0<m1.
Dann kann man auch durch Vergleichen von C1 und C2 entscheiden ob die linke oder die rechte Nachricht verschlüsselt wurde.

ElGamal
Nichts ist wie es scheint
Beiträge: 23
Registriert: 19. Dez 2011 20:56

Re: Klausur

Beitrag von ElGamal » 9. Feb 2012 21:56

Lukas hat geschrieben:Ich meine, dass der Ansatz richtig ist :)
Ich hab meinen Angreifer so gebaut, wie einen Angreifer für deterministische Verfahren: Zuerst wird (m0, m0) an Enc geschickt, und dann (m0,m1) mit m0<m1.
Dann kann man auch durch Vergleichen von C1 und C2 entscheiden ob die linke oder die rechte Nachricht verschlüsselt wurde.
Ja das ist natürlich wesentlich einfacher :wink: Ich hatte nur erst nen Denkfehler, weshalb ich den Angriff nicht wählen konnte. Ich hoffe nicht, dass man den effizientesten Angreifer konstruieren musste, um die volle Punktzahl zu erhalten 8)

Alex0815
Erstie
Erstie
Beiträge: 21
Registriert: 6. Feb 2012 16:55

Re: Klausur

Beitrag von Alex0815 » 9. Feb 2012 22:32

Bleibt noch die Aufgabe mit den drei Hashfunktionen ;-)

yagami
Mausschubser
Mausschubser
Beiträge: 72
Registriert: 5. Okt 2006 03:02

Re: Klausur

Beitrag von yagami » 10. Feb 2012 11:00

Lukas hat geschrieben:Ich meine, dass der Ansatz richtig ist :)
Ich hab meinen Angreifer so gebaut, wie einen Angreifer für deterministische Verfahren: Zuerst wird (m0, m0) an Enc geschickt, und dann (m0,m1) mit m0<m1.
Dann kann man auch durch Vergleichen von C1 und C2 entscheiden ob die linke oder die rechte Nachricht verschlüsselt wurde.
Was ist den Unterschied zwischen wenn die Verschlüsselung längererhaltend ist oder nicht?

Lukas
Neuling
Neuling
Beiträge: 5
Registriert: 18. Jan 2011 16:33

Re: Klausur

Beitrag von Lukas » 10. Feb 2012 13:30

Wenn die verschlüsselung längenerhaltend ist, dann ist es viel leichter das geheime Bit zu bestimmen. Es werden einfach zwei unterschiedlich lange Nachrichten an Enc geschickt. Anhand der Länge des Kryptotextes kann der Angreifer ganz leicht herausfinden, welche Nachricht verschlüsselt wurde.

Bei der Aufgabe mit dem Padding bin ich mir nicht sicher. Ich meine, dass alle Versionen kollisionsresistent, da durch keines der Paddings eine Kollision erzeugt werden kann, weil alle die Länge codiert haben (muss halt noch ausführlicher argumentiert werden). Da h kollisionsresisitent ist, muss dann auch H in allen Fällen resistent sein.

dgdmaster
Erstie
Erstie
Beiträge: 20
Registriert: 24. Feb 2008 16:54

Re: Klausur

Beitrag von dgdmaster » 10. Feb 2012 14:23

Nö das 2. Padding ist nicht koll-res, da die Länge nicht fälschungssicher kodiert wird, d.h. man kann nicht sicher sein ob man gerade noch die Nachrichtenlänge liest oder schon den Nachrichteninhalt. Am Ende werden nur 0en aufgefüllt, auch hier ist der Übung zw. Nachricht+Padding "fließend".

(Reicht natürlich nicht als Begründung, aber das konkrete Gegenbeispiel will ich jetzt nicht aufschreiben :)

Lukas
Neuling
Neuling
Beiträge: 5
Registriert: 18. Jan 2011 16:33

Re: Klausur

Beitrag von Lukas » 10. Feb 2012 14:44

Ah verstehe. Hatte mich schon gewundert, dass alle resistent sind.

ElGamal
Nichts ist wie es scheint
Beiträge: 23
Registriert: 19. Dez 2011 20:56

Re: Klausur

Beitrag von ElGamal » 10. Feb 2012 15:04

Lukas hat geschrieben:Wenn die verschlüsselung längenerhaltend ist, dann ist es viel leichter das geheime Bit zu bestimmen. Es werden einfach zwei unterschiedlich lange Nachrichten an Enc geschickt. Anhand der Länge des Kryptotextes kann der Angreifer ganz leicht herausfinden, welche Nachricht verschlüsselt wurde.
Aber fordern wir nicht immer, dass die Länge der beiden Nachrichten innerhalb einer Anfrage an die Enc-Box übereinstimmen muss? Ich bin in meiner Lösung nicht näher auf die Eigenschaft längenerhaltend oder nicht längenerhaltend eingegangen. Mir ist auch nicht ganz klar, was diese Angabe für einen Zweck hatte. Offensichtlich (nach Teil b der Aufgabe) benötigt man die Eigenschaft gar nicht... :wink:

Antworten

Zurück zu „Einführung in die Kryptographie“