Weihnachtsübung A4 b)

jens1234
Neuling
Neuling
Beiträge: 6
Registriert: 3. Jan 2015 11:54

Weihnachtsübung A4 b)

Beitrag von jens1234 » 6. Jan 2015 10:57

Ist der Key K im IND-CPA Sicherheitsspiel vom Orakel immer der gleiche bei jeder Anfrage von mo,m1?

dominique.metz
Erstie
Erstie
Beiträge: 14
Registriert: 28. Mai 2012 19:39

Re: Weihnachtsübung A4 b)

Beitrag von dominique.metz » 6. Jan 2015 15:23

Ich würde intuitiv "nein" sagen.
Dann würde es kein Problem sein, herauszufinden, ob \(b = 0\) oder \(b = 1\).

Schicke \(m_0\) und \(m_1\)
Bekomme \(c\)
Schicke \(m_0\) und \(m_0\)
Bekomme \(c'\)
Wenn \(c == c'\), dann \(b = 0\)
ansonsten \(b = 1\)

Ich gehe davon aus, dass \(b\) während des ganzen Spiels sich nicht verändert.

jens1234
Neuling
Neuling
Beiträge: 6
Registriert: 3. Jan 2015 11:54

Re: Weihnachtsübung A4 b)

Beitrag von jens1234 » 6. Jan 2015 15:51

die frage war schlecht formuliert. dein vorgehen geht immer wenn man eine deterministische funktion hat. meine frage war eigentlich, ob das zufällige bei cbc der IV ist für die 1. Runde und ab dann f(k,m_i xor IV). wenn man dann nämlich wüsste wie der neue IV sich ändert, könnte man es ja erreichen das man den gleichen funktionswert f(k,.) bekommt. normalerweise kann man ja nichts über IV herausfinden. Es ist quasi die frage ob sich das k in den Folien welches wir jede Runde in CBC in f reintun gleichbleibt und das zufällige der neue IV ist.

dominique.metz
Erstie
Erstie
Beiträge: 14
Registriert: 28. Mai 2012 19:39

Re: Weihnachtsübung A4 b)

Beitrag von dominique.metz » 6. Jan 2015 16:05

Ah ok.
Ich sehe keinen Weg zu zeigen, dass dieses Verfahren nicht \(IND-CPA\) sicher ist, wenn der Schlüssel \(k\) bei jeder Anfrage neu gewählt wird.
Ich werde zur Bearbeitung jetzt annehmen, dass der Schlüssel am Anfang festgelegt wird.
Ein Statement von offizieller Seite wäre toll.

R_Egert
Endlosschleifenbastler
Endlosschleifenbastler
Beiträge: 180
Registriert: 8. Sep 2009 23:27

Re: Weihnachtsübung A4 b)

Beitrag von R_Egert » 8. Jan 2015 11:30

Hallo,

Der Schlüssel k für eine PRF in Experimenten wie z.B. IND-CPA ist zufällig aber fix für eine Session des Experiments.

Viele Grüße,

Rolf
Tutor:
  • Einführung in Trusted Systems WS11/12, WS12/13, WS13/14, WS14/15
  • GDI II SS11, SS12, SS13, SS14
  • Einführung in die Kryptographie WS14/15

Brian
Erstie
Erstie
Beiträge: 15
Registriert: 10. Okt 2009 16:26

Re: Weihnachtsübung A4 b)

Beitrag von Brian » 14. Jan 2015 11:09

dominique.metz hat geschrieben:Ich würde intuitiv "nein" sagen.
Dann würde es kein Problem sein, herauszufinden, ob \(b = 0\) oder \(b = 1\).

Schicke \(m_0\) und \(m_1\)
Bekomme \(c\)
Schicke \(m_0\) und \(m_0\)
Bekomme \(c'\)
Wenn \(c == c'\), dann \(b = 0\)
ansonsten \(b = 1\)

Ich gehe davon aus, dass \(b\) während des ganzen Spiels sich nicht verändert.
k und b sind fix. Du darfst aber jeden Wert (z.B. \(m_0\) und \(m_1\)) nur einmal schicken. Sonst ist das gesamte Verfahren witzlos...

Visions
Neuling
Neuling
Beiträge: 4
Registriert: 14. Jan 2015 12:35

Re: Weihnachtsübung A4 b)

Beitrag von Visions » 14. Jan 2015 12:45

Brian hat geschrieben:
k und b sind fix. Du darfst aber jeden Wert (z.B. \(m_0\) und \(m_1\)) nur einmal schicken. Sonst ist das gesamte Verfahren witzlos...
Bist du dir mit der Aussage sicher? Meiner Meinung nach kann ich jede Nachricht beliebig oft schicken. Die Funktion der Verchlüsselung muss doch dafür sorgen, dass auch bei gleicher Nachricht m in jedem Fall ein anderer Ciphertext c zurückgeschickt wird. (Im Falle von CBC etc.ist dafür eig der IV verantwortlich)

Seldon
BASIC-Programmierer
BASIC-Programmierer
Beiträge: 119
Registriert: 19. Apr 2012 18:12

Re: Weihnachtsübung A4 b)

Beitrag von Seldon » 27. Jan 2015 19:43

Vielleicht etwas spät, aber nur zur Klarstellung: Bei IND-CPA darf man beliebige Nachrichten ohne Einschränkung schicken (nun, außer dass der Angreifer polynomielle Laufzeit hat). Der von dominique.metz gepostete Angriff ist die Motivation für Verschlüsselung unter Verwendung zufälliger Seeds, die mit ausgegeben werden.

Antworten

Zurück zu „Archiv“