Seite 1 von 2

Klausur

Verfasst: 9. Feb 2012 10:32
von yagami
Kann jemand die idee für die Lösung von der ersten Aufgabe geben? Ich könnte leider die Aufgabe nicht lösen...

Re: Klausur

Verfasst: 9. Feb 2012 10:57
von dgdmaster
Ja schicke 0^n 0^n hin, danach 1^n 1^n, damit hast du eine gültige Signatur für 0^n als 1. Block und 1^n als 2. Block und kannst eine Fälschung 0^n 1^n erstellen :)

Re: Klausur

Verfasst: 9. Feb 2012 19:21
von Alex0815
na dann, wer mag was zur zweiten sagen ;-) ?

Re: Klausur

Verfasst: 9. Feb 2012 20:06
von ElGamal
Alex0815 hat geschrieben:na dann, wer mag was zur zweiten sagen ;-) ?
Ich habe das ganze mit Hilfe das Transformationssatzes für ununterscheidbare Zufallsvariablen gezeigt. Da G ein PRG ist, weißt du, dass \(G(U_{n}) \approx U_{m}\) gilt. Wenn du nun die effiziente und deterministische Funktion G auf beiden Seiten darauf anwendest erhälst du \(G(G(U_{n})) \approx G(U_{m})\). Wenn du dann noch die Transitivität ausnutzt, hast du die Pseudozufälligkeit bewiesen. 8)

Re: Klausur

Verfasst: 9. Feb 2012 20:14
von fischlin
Ah, schön, der "elegante" Ansatz. Kann man natürlich auch zu Fuß lösen, aber so ist es hübscher
(wenn's natürlich dann auch richtig gemacht wurde).

Re: Klausur

Verfasst: 9. Feb 2012 20:19
von ElGamal
fischlin hat geschrieben:Ah, schön, der "elegante" Ansatz. Kann man natürlich auch zu Fuß lösen, aber so ist es hübscher
(wenn's natürlich dann auch richtig gemacht wurde).
Vielen Dank für die Blumen :lol:
Bin erstaunt, dass ich im Stress der Klausur da drauf gekommen bin^^ Ich hoffe, ich habe an alles Wichtige gedacht... :mrgreen:

Re: Klausur

Verfasst: 9. Feb 2012 20:31
von ElGamal
Zur Aufgabe 4:
Mein Angreifer wählt sich vier Nachrichten \(m_1 < m_2 < m_3 < m_4\) und schickt dann zuerst \((m_1,m_4)\) an die Enc-Box und erhält \(C_1\). Dann schickt er \((m_2,m_3)\) an die Box und erhält \(C_2\). Mit einem Vergleich von \(C_1\) und \(C_2\) kann er dann aufgrund der lexiographischen Ordnung der Ciphertexte entscheiden, ob die linke oder die rechte Nachricht verschlüsselt wurde.

Kann mir jemand sagen, ob der Ansatz funktioniert?^^ Bin mir immer noch nicht ganz sicher :|
Danke :wink:

Re: Klausur

Verfasst: 9. Feb 2012 21:50
von Lukas
Ich meine, dass der Ansatz richtig ist :)
Ich hab meinen Angreifer so gebaut, wie einen Angreifer für deterministische Verfahren: Zuerst wird (m0, m0) an Enc geschickt, und dann (m0,m1) mit m0<m1.
Dann kann man auch durch Vergleichen von C1 und C2 entscheiden ob die linke oder die rechte Nachricht verschlüsselt wurde.

Re: Klausur

Verfasst: 9. Feb 2012 21:56
von ElGamal
Lukas hat geschrieben:Ich meine, dass der Ansatz richtig ist :)
Ich hab meinen Angreifer so gebaut, wie einen Angreifer für deterministische Verfahren: Zuerst wird (m0, m0) an Enc geschickt, und dann (m0,m1) mit m0<m1.
Dann kann man auch durch Vergleichen von C1 und C2 entscheiden ob die linke oder die rechte Nachricht verschlüsselt wurde.
Ja das ist natürlich wesentlich einfacher :wink: Ich hatte nur erst nen Denkfehler, weshalb ich den Angriff nicht wählen konnte. Ich hoffe nicht, dass man den effizientesten Angreifer konstruieren musste, um die volle Punktzahl zu erhalten 8)

Re: Klausur

Verfasst: 9. Feb 2012 22:32
von Alex0815
Bleibt noch die Aufgabe mit den drei Hashfunktionen ;-)

Re: Klausur

Verfasst: 10. Feb 2012 11:00
von yagami
Lukas hat geschrieben:Ich meine, dass der Ansatz richtig ist :)
Ich hab meinen Angreifer so gebaut, wie einen Angreifer für deterministische Verfahren: Zuerst wird (m0, m0) an Enc geschickt, und dann (m0,m1) mit m0<m1.
Dann kann man auch durch Vergleichen von C1 und C2 entscheiden ob die linke oder die rechte Nachricht verschlüsselt wurde.
Was ist den Unterschied zwischen wenn die Verschlüsselung längererhaltend ist oder nicht?

Re: Klausur

Verfasst: 10. Feb 2012 13:30
von Lukas
Wenn die verschlüsselung längenerhaltend ist, dann ist es viel leichter das geheime Bit zu bestimmen. Es werden einfach zwei unterschiedlich lange Nachrichten an Enc geschickt. Anhand der Länge des Kryptotextes kann der Angreifer ganz leicht herausfinden, welche Nachricht verschlüsselt wurde.

Bei der Aufgabe mit dem Padding bin ich mir nicht sicher. Ich meine, dass alle Versionen kollisionsresistent, da durch keines der Paddings eine Kollision erzeugt werden kann, weil alle die Länge codiert haben (muss halt noch ausführlicher argumentiert werden). Da h kollisionsresisitent ist, muss dann auch H in allen Fällen resistent sein.

Re: Klausur

Verfasst: 10. Feb 2012 14:23
von dgdmaster
Nö das 2. Padding ist nicht koll-res, da die Länge nicht fälschungssicher kodiert wird, d.h. man kann nicht sicher sein ob man gerade noch die Nachrichtenlänge liest oder schon den Nachrichteninhalt. Am Ende werden nur 0en aufgefüllt, auch hier ist der Übung zw. Nachricht+Padding "fließend".

(Reicht natürlich nicht als Begründung, aber das konkrete Gegenbeispiel will ich jetzt nicht aufschreiben :)

Re: Klausur

Verfasst: 10. Feb 2012 14:44
von Lukas
Ah verstehe. Hatte mich schon gewundert, dass alle resistent sind.

Re: Klausur

Verfasst: 10. Feb 2012 15:04
von ElGamal
Lukas hat geschrieben:Wenn die verschlüsselung längenerhaltend ist, dann ist es viel leichter das geheime Bit zu bestimmen. Es werden einfach zwei unterschiedlich lange Nachrichten an Enc geschickt. Anhand der Länge des Kryptotextes kann der Angreifer ganz leicht herausfinden, welche Nachricht verschlüsselt wurde.
Aber fordern wir nicht immer, dass die Länge der beiden Nachrichten innerhalb einer Anfrage an die Enc-Box übereinstimmen muss? Ich bin in meiner Lösung nicht näher auf die Eigenschaft längenerhaltend oder nicht längenerhaltend eingegangen. Mir ist auch nicht ganz klar, was diese Angabe für einen Zweck hatte. Offensichtlich (nach Teil b der Aufgabe) benötigt man die Eigenschaft gar nicht... :wink: