Seite 1 von 1

Weihnachtsübung A4 b)

Verfasst: 6. Jan 2015 10:57
von jens1234
Ist der Key K im IND-CPA Sicherheitsspiel vom Orakel immer der gleiche bei jeder Anfrage von mo,m1?

Re: Weihnachtsübung A4 b)

Verfasst: 6. Jan 2015 15:23
von dominique.metz
Ich würde intuitiv "nein" sagen.
Dann würde es kein Problem sein, herauszufinden, ob \(b = 0\) oder \(b = 1\).

Schicke \(m_0\) und \(m_1\)
Bekomme \(c\)
Schicke \(m_0\) und \(m_0\)
Bekomme \(c'\)
Wenn \(c == c'\), dann \(b = 0\)
ansonsten \(b = 1\)

Ich gehe davon aus, dass \(b\) während des ganzen Spiels sich nicht verändert.

Re: Weihnachtsübung A4 b)

Verfasst: 6. Jan 2015 15:51
von jens1234
die frage war schlecht formuliert. dein vorgehen geht immer wenn man eine deterministische funktion hat. meine frage war eigentlich, ob das zufällige bei cbc der IV ist für die 1. Runde und ab dann f(k,m_i xor IV). wenn man dann nämlich wüsste wie der neue IV sich ändert, könnte man es ja erreichen das man den gleichen funktionswert f(k,.) bekommt. normalerweise kann man ja nichts über IV herausfinden. Es ist quasi die frage ob sich das k in den Folien welches wir jede Runde in CBC in f reintun gleichbleibt und das zufällige der neue IV ist.

Re: Weihnachtsübung A4 b)

Verfasst: 6. Jan 2015 16:05
von dominique.metz
Ah ok.
Ich sehe keinen Weg zu zeigen, dass dieses Verfahren nicht \(IND-CPA\) sicher ist, wenn der Schlüssel \(k\) bei jeder Anfrage neu gewählt wird.
Ich werde zur Bearbeitung jetzt annehmen, dass der Schlüssel am Anfang festgelegt wird.
Ein Statement von offizieller Seite wäre toll.

Re: Weihnachtsübung A4 b)

Verfasst: 8. Jan 2015 11:30
von R_Egert
Hallo,

Der Schlüssel k für eine PRF in Experimenten wie z.B. IND-CPA ist zufällig aber fix für eine Session des Experiments.

Viele Grüße,

Rolf

Re: Weihnachtsübung A4 b)

Verfasst: 14. Jan 2015 11:09
von Brian
dominique.metz hat geschrieben:Ich würde intuitiv "nein" sagen.
Dann würde es kein Problem sein, herauszufinden, ob \(b = 0\) oder \(b = 1\).

Schicke \(m_0\) und \(m_1\)
Bekomme \(c\)
Schicke \(m_0\) und \(m_0\)
Bekomme \(c'\)
Wenn \(c == c'\), dann \(b = 0\)
ansonsten \(b = 1\)

Ich gehe davon aus, dass \(b\) während des ganzen Spiels sich nicht verändert.
k und b sind fix. Du darfst aber jeden Wert (z.B. \(m_0\) und \(m_1\)) nur einmal schicken. Sonst ist das gesamte Verfahren witzlos...

Re: Weihnachtsübung A4 b)

Verfasst: 14. Jan 2015 12:45
von Visions
Brian hat geschrieben:
k und b sind fix. Du darfst aber jeden Wert (z.B. \(m_0\) und \(m_1\)) nur einmal schicken. Sonst ist das gesamte Verfahren witzlos...
Bist du dir mit der Aussage sicher? Meiner Meinung nach kann ich jede Nachricht beliebig oft schicken. Die Funktion der Verchlüsselung muss doch dafür sorgen, dass auch bei gleicher Nachricht m in jedem Fall ein anderer Ciphertext c zurückgeschickt wird. (Im Falle von CBC etc.ist dafür eig der IV verantwortlich)

Re: Weihnachtsübung A4 b)

Verfasst: 27. Jan 2015 19:43
von Seldon
Vielleicht etwas spät, aber nur zur Klarstellung: Bei IND-CPA darf man beliebige Nachrichten ohne Einschränkung schicken (nun, außer dass der Angreifer polynomielle Laufzeit hat). Der von dominique.metz gepostete Angriff ist die Motivation für Verschlüsselung unter Verwendung zufälliger Seeds, die mit ausgegeben werden.