Beweisbar sichere Kryptographie - IKS - KIT

Beweisbar sichere Kryptographie 

Dennis Hofheinz ∗ 

Wintersemester 2012/2013, Karlsruher Institut für Technologie 

Notation 

Für n ∈ N schreiben wir [n] := {1, . . . , n}. Für einen Bitstring x ∈ {0, 1} ∗ bezeichnet |x| die 

Bitlänge von x. Für n ∈ N bezeichnet 1 n den String von n Einsen. Für eine Menge S bezeichnet 

s ← S gleichverteiltes Ziehen von s aus S. Für einen probabilistischen Algorithmus M bezeichnet 

y ← M(x), daß y die Ausgabe von M bei Eingabe x ist. Um den von M verwendeten Zufall r 

explizit zu machen, schreiben wir auch y = M(x; r). 

1 Motivation 

Szenario: sichere Nachrichtenübermittlung. Angenommen, Alice möchte Bob eine geheimzuhaltende 

Nachricht über eine unsichere Datenleitung schicken. Mit unsicherer“ Datenleitung sei 

” 

hier zunächst gemeint, daß ein hypothetischer Angreifer alle über die Leitung gesendeten Signale 

mithört. Will man erreichen, daß der Angreifer die zu versendene Nachricht nicht erfährt, ist also zu 

vermeiden, die Nachricht im Klartext zu senden. Stattdessen sollten Maßnahmen ergriffen werden, 

die Nachricht vor dem Transport über die unsichere Leitung geeignet zu schützen. Dies kann durch 

Verschlüsseln der Nachricht erreicht werden. 

Secret-Key-Verschlüsselung. Bei Nutzung eines Secret-Key-Verschlüsselungsschemas (kurz: 

eines SKE-Schemas) verfügen Alice und Bob über einen gemeinsamen Schlüssel K ∈ {0, 1} ∗ . Sowohl 

der Verschlüsselungs- als auch der Entschlüsselungsalgorithmus erfordern K als Eingabe. Der 

Schlüssel K ist dabei geheimzuhalten – wird er veröffentlicht, kann ein Angreifer selbst ein gesendetes 

Chiffrat entschlüsseln. SKE-Schemata haben den Nachteil, daß durch die benötigten geheimen 

Schlüssel K eine Schlüsselverteilung benötigt wird. Zudem gibt es bei einem Kommunikationssystem 

mit n teilnehmenden Parteien n(n−1)/2 Schlüssel, wobei wir davon ausgehen, daß jedes Paar 

von Parteien über einen eigenen Schlüssel verfügt. 

Public-Key-Verschlüsselung. Um diesem Mißstand entgegenzuwirken, kann Public-Key-Verschlüsselung 

(PKE) verwendet werden. Bei einem PKE-Schema wird eine Nachricht M unter einem 

öffentlichen Schlüssel pk verschlüsselt: 

∗ Dennis.Hofheinz@kit.edu 

C ← Enc(pk, M). 

1

Um ein Chiffrat C zu entschlüsseln, muß dabei ein passender geheimer Schlüssel sk genutzt werden: 

M ← Dec(sk, C). 

Der öffentliche Schlüssel pk allein erlaubt keine Entschlüsselung. Damit ist es prinzipiell möglich, 

daß pk veröffentlicht wird. Insbesondere kann pk von allen Sendern genutzt werden, die Nachrichten 

an den Besitzer von sk verschlüsseln und senden möchten. Es sind also bei n Parteien im System 

nur n Schlüsselpaare nötig. 

2 Überblick 

In dieser Vorlesung sollen folgende Themen behandelt werden: 

Definitionen. Wir werden nach einer sinnvollen und nützlichen Definition von PKE-Schemata 

und ihrer Sicherheit suchen. Dabei werden wir Wert darauf legen, Konzepte wie asymptotische 

Sicherheit und die Unterscheidung verschiedener Bedrohungsarten zu motivieren und zu 

erklären. 

Konstruktionen. Wir werden Beispiele für sichere und effiziente Konstruktionen von PKE-Systemen 

angeben. Hierbei soll Wert darauf gelegt werden, die Sicherheit der Systeme – in einem 

festgelegten Rahmen und unter vereinbarten Annahmen und Definitionen – mathematisch zu 

beweisen. 

Techniken. Wir werden Techniken kennenlernen, um Sicherheitsbeweise – damit sind hier Reduktionsbeweise 

im Sinne der Komplexitätstheorie gemeint – zu führen. 

Dreh- und Angelpunkt unserer Betrachtungen werden PKE-Schemata sein. Jedoch werden wir 

gelegentlich auch andere, verwandte kryptographische Systeme betrachten, etwa digitale Signaturschemata. 

Insbesondere können im Umfeld von PKE-Schemata entwickelte Techniken auch in 

anderen Kontexten als sehr nützlich erkannt werden. 

3 Definition von Public-Key-Verschlüsselungsschemata 

Ein erster Versuch. Zunächst wollen wir das Objekt unserer Untersuchungen definieren. Beginnen 

wir dazu zunächst mit einem Definitionsversuch: 

Definition 3.1 (PKE-Schema, erster Versuch). Ein PKE-Schema PKE mit Nachrichtenraum M ⊆ 

{0, 1} ∗ besteht aus drei probabilistischen Algorithmen (Gen, Enc, Dec): 

Schlüsselgenerierung. Gen(ε) gibt bei leerer Eingabe ε ein Schlüsselpaar (pk, sk) aus. 

Verschlüsselung. Enc(pk, M) gibt bei Eingabe eines öffentlichen Schlüssels pk und einer Nachricht 

M ∈ M ein Chiffrat C aus. 

Entschlüsselung. Dec(sk, C) gibt bei Eingabe eines geheimen Schlüssels sk und eines Chiffrats C 

eine Nachricht M ∈ M aus. 

Wir fordern Korrektheit in dem Sinne, daß für alle M ∈ M, alle (pk, sk) im Bild von Gen, und 

alle C im Bild von Enc(pk, M) immer Dec(sk, C) = M gilt. 

Definition 3.1 wäre nicht mit ” 

erster Versuch“ annotiert, wenn sie der Weisheit letzter Schluß 

wäre. Um die Probleme zu verstehen, die Definition 3.1 verbunden sind, halten wir zunächst fest, 

daß kein PKE-Schema im Sinne von Definition 3.1 uneingeschränkt sicher sein kann: 

2

Lemma 3.2 (PKE-Unsicherheit gegen unbeschränkte Angreifer). Sei PKE = (Gen, Enc, Dec) ein 

PKE-Schema im Sinne von Definition 3.1. Dann existiert ein deterministischer Algorithmus A, 

der 

M ← A(pk, C) 

für alle M ∈ M und alle möglichen (pk, sk) ← Gen(ε) und C ← Enc(pk, M) erfüllt. 

Beweis. A sucht mit vollständiger Suche nach M ′ ∈ M, R ′ ∈ {0, 1} ∗ mit C = Enc(pk, M ′ ; R ′ ) und 

gibt das erste so gefundene M ′ aus. Bei Eingabe (pk, C) wie im Lemma existieren solche M ′ , R ′ ; 

der Algorithmus terminiert also. Andererseits impliziert 

Enc(pk, M ′ ; R ′ ) = C = Enc(pk, M; R) (1) 

wegen der angenommenen Korrektheit von PKE schon M ′ = M. (Um dies einzusehen, wende man 

Dec(sk, ·) auf (1) an.) 

Selbstverständlich ist der Angreifer A aus Lemma 3.2 alles andere als effizient. Es bleibt also 

zu hoffen, daß man ein PKE-Schema angeben kann, daß sicher zumindest gegen effiziente Angriffe 

ist. Aber auch hier ist etwas Vorsicht geboten: 

Lemma 3.3 (PKE-Unsicherheit mit kleiner Wahrscheinlichkeit). Sei PKE = (Gen, Enc, Dec) ein 

PKE-Schema im Sinne von Definition 3.1. Dann existiert ein probabilistischer Algorithmus A mit 

etwa derselben Laufzeit wie Enc, der 

A(pk, C) ∈ {⊥, M} und Pr [M ← A(pk, C)] > 0 

für alle M ∈ M und alle möglichen (pk, sk) ← Gen(ε) und C ← Enc(pk, M) erfüllt. 

Beweis. Man betrachte das A aus dem Beweis von Lemma 3.2; statt jedoch eine vollständige Suche 

über M ′ , r ′ durchzuführen rate man M ′ ∈ M, r ′ ∈ {0, 1} ∗ . (Hierzu kann eine beliebige Verteilung 

X mit Pr [X = x] > 0 für alle x ∈ {0, 1} ∗ verwendet werden.) 

Asymptotische Sicherheit. Es existieren also generische – allerdings entweder ineffiziente oder 

nur selten erfolgreiche – Angriffe auf PKE-Schemata. Wir können also nur auf eine Sicherheitsaussage 

der Form 

Jeder effiziente Angriff gegen PKE hat höchstens mit kleiner Wahrscheinlichkeit Erfolg. 

hoffen. Hierbei ist noch zu definieren, was ” 

effiziente“ Angriffe und ” 

kleine Wahrscheinlichkeiten“ 

sind. Eine Möglichkeit hierzu wäre etwa, 

Effiziente Angreifer := Algorithmen mit Laufzeit ≤ 2 80 

Kleine Wahrscheinlichkeiten := Wahrscheinlichkeiten ≤ 2 −80 

zu setzen. Ein Schema, daß in diesem Sinne sicher wäre, dürfte man wohl als ” 

intuitiv sicher“ 

bezeichnen können. Allerdings hat eine solche Sicherheitsdefinition Nachteile: 

3

Mangelnde Skalierbarkeit. Durch algorithmische Fortschritte verändern sich Komplexitätsabschätzungen. 

Beispielsweise wurde 1977 geschätzt, daß die Faktorisierung einer 429-Bit-Zahl 

mehrere Millionen Jahre beanspruchen würde. 1994 wurden erstmals Zahlen dieser Größe 

durch verteilte Berechnungen faktorisiert. Das heißt auch, daß heute noch aktuelle konkrete 

Abschätzungen für die Erfolgswahrscheinlichkeit eines Angriffs oder die Komplexität einer 

Berechnung in absehbarer Zukunft veraltet sein könnten. Aus diesem Grund scheint es gewagt, 

konkrete Schranken für die Sicherheit eines Schemas (und die Klassifikation von ” 

sicheren“ 

Schemata) anzugeben. 

Mangelnde technische Handhabbarkeit. Bezeichnet man ein Schema genau dann als ” 

sicher“, 

wenn es keine Angriffe mit Erfolgswahrscheinlichkeit größer als 2 −80 zuläßt, so könnte eine 

Kombination von zwei Instanzen eines sicheren Schemas unsicher werden. (Man nehme etwa 

an, daß ein Angriff auf jede einzelne Instanz die Erfolgswahrscheinlichkeit 2 −80 hat. Dann ist 

die Wahrscheinlichkeit, daß ein Angriff auf mindestens eine von zwei Instanzen des Schemas 

funktioniert, 2 −79 − 2 −160 > 2 −80 . 

Aus diesem Grund werden wir nicht versuchen, ” 

effizient“ und ” 

kleine Wahrscheinlichkeit“ wie oben 

konkret zu definieren. Stattdessen werden wir PKE-Schemata als komplexitätstheoretische Objekte 

auffassen, die einen expliziten, unär kodierten Sicherheitsparameter 1 k (mit k ∈ N) als Eingabe 

erhalten. Mit größerem Sicherheitsparameter soll – intuitiv gesprochen – mehr Sicherheit garantiert 

werden. Das bedeutet, daß 

• das Schema selbst eine Zeitkomplexität haben darf, die polynomiell in k ist, 

• Angriffe polynomiell in k sein dürfen (aber nicht aufwendiger), 

• der Erfolg eines Angriffs – als Funktion in k – ” 

klein“ sein muß. 

Als ” 

kleine“ Funktionen (um einen Angriffserfolg zu beschränken) bieten sich verschiedene Möglichkeiten 

an: Man könnte fordern, daß eine Funktion f(k) ” 

klein“ ist, wenn lim k→∞ f(k) = 0 oder gar 

f(k) ≤ 2 −k ist. Wir werden uns hier für die derzeit gängigste Formalisierung ” 

kleiner“ Funktionen 

entscheiden: 

Definition 3.4 (Vernachlässigbare Funktion). Eine Funktion f : N → R ist vernachlässigbar, 

wenn gilt: 

∀c ∈ N ∃k 0 ∈ N ∀k > k 0 : |f(k)| < 1 k c . 

Eine vernachlässigbare Funktion verschwindet also asymptotisch schneller als jedes Polynom. 

Es ist beispielsweise k − log k vernachlässigbar, k −1000 allerdings nicht. 

Weiter definieren wir 

Definition 3.5 (PPT). Ein probabilistischer Algorithmus ist PPT (für probabilistic polynomialtime), 

wenn er polynomielle Zeitkomplexität in der Länge der ersten Eingabe hat. 

So ausgestattet können wir nun unsere Definition eines PKE-Schemas leicht verfeinern (unterlegt 

dabei die Veränderungen gegenüber Definition 3.1): 

Definition 3.6 (PKE-Schema). Ein PKE-Schema PKE mit Nachrichtenraum M k ⊆ {0, 1} ∗ besteht 

aus drei PPT-Algorithmen (Gen, Enc, Dec): 

Schlüsselgenerierung. Gen(1 k ) gibt bei Eingabe 1 k ein Schlüsselpaar (pk, sk) aus. 

Verschlüsselung. Enc(pk, M) gibt bei Eingabe eines öffentlichen Schlüssels pk und einer Nachricht 

M ∈ M k ein Chiffrat C aus. 

4

Entschlüsselung. Dec(sk, C) gibt bei Eingabe eines geheimen Schlüssels sk und eines Chiffrats C 

eine Nachricht M ∈ M k ∪ {⊥} aus. 

Wir fordern Korrektheit in dem Sinne, daß für alle k ∈ N, alle M ∈ M k , alle (pk, sk) im Bild von 

Gen(1 k ), und alle C im Bild von Enc(pk, M) immer Dec(sk, C) = M gilt. 

Die spezielle Ausgabe ⊥ von Dec signalisiert hierbei, daß die Entschlüsselung fehlgeschlagen ist. 

4 Sicherheitsdefinitionen 

Vorbemerkungen. Tasten wir uns nun vor zu einer ersten Sicherheitsdefinition. Wir haben 

bereits festgehalten: 

• Angriffe sollten effizient, also PPT sein, und 

• Angriffserfolge sollten vernachlässigbar sein. 

Es ist aber noch nicht klar, was das Ziel eines Angriffs sein soll. Mehrere Ziele sind denkbar: 

• Den geheimen Schlüssel (und damit eine universelle Methode, um zu entschlüsseln) aus dem 

öffentlichen Schlüssel berechnen. 

• Ein gegebenes Chiffrat entschlüsseln (also die zugehörige Nachricht finden). 

• (Möglicherweise begrenzte) Informationen über die verschlüsselte Nachricht bei gegebenem 

Chiffrat finden. 

Man beachte hierbei, daß diese Ziele in absteigender Reihenfolge der Schwierigkeit angegeben sind. 

Findet man beispielsweise einen geheimen Schlüssel, so ist es damit auch möglich, jedes gegebene 

Chiffrat zu entschlüsseln. Je nach Einsatzzweck können auch speziellere Anforderungen existieren. 

(Wir werden diesbezüglich noch ein konkretes Beispiel kennenlernen.) Generell werden wir aber 

daran interessiert sein, eine möglichst universelle Sicherheitsdefinition zu finden, die Angriffe in 

einer Vielzahl von Szenarien ausschließt. Anders gesagt: wir sind daran interessiert, die Sicherheit 

eines Schemas unabhängig vom Einsatzzweck zu analysieren. 

Einwegeigenschaft der Verschlüsselung. 

schwachen Definition: 

Beginnen wir zunächst mit einer vergleichsweise 

Definition 4.1 (OW-CPA). Sei PKE = (Gen, Enc, Dec) ein PKE-Schema mit für jedes k endlichem 

Nachrichtenraum M k . Sei A ein PPT-Algorithmus. Sei 

[ 

] 

Adv ow-cpa 

PKE,A (k) := Pr Exp ow-cpa 

PKE,A (k) = 1 , 

wobei das Experiment Exp ow-cpa 

PKE,A 

wie folgt definiert ist: 

Experiment Exp ow-cpa 

PKE,A (k) 

(pk, sk) ← Gen(1 k ) 

M ∗ ← M k 

C ∗ ← Enc(pk, M ∗ ) 

M ′ ← A(1 k , pk, C ∗ ) 

if M ∗ = M ′ then return 1 

else return 0 

PKE ist OW-CPA-sicher (für one-way under chosen-plaintext attacks“), falls für jeden PPT- 

” 

Algorithmus A die Funktion Adv ow-cpa 

PKE,A 

(k) vernachlässigbar ist. 

5

Es ist sofort klar, wo das Problem dieser Definition liegt: Die Auswahl der ” 

Zielnachricht“ M ∗ 

erfolgt relativ willkürlich: M ∗ wird gleichverteilt aus M k gezogen. Es sind PKE-Schemata denkbar, 

die zwar Definition 4.1 erfüllen, die jedoch einige feste Nachrichten wie ” 

ja“ oder ” 

nein“ immer 

unsicher verschlüsseln. (Man denke etwa an ein Schema, bei dem immer ja ← Enc(pk, ja) und 

nein ← Enc(pk, nein) gilt.) Dennoch wird sich später Definition 4.1 als nützliches Hilfsmittel 

erweisen, um leistungsfähigere PKE-Schemata zu konstruieren. 

OW-CPA-Sicherheit und die Größe des Nachrichtenraums. Eine erste Beobachtung zeigt, 

daß Definition 4.1 überdies nur bei hinreichend großem Nachrichtenraum Sinn ergibt: 

Lemma 4.2 (OW-CPA-Unmöglichkeit bei kleinem Nachrichtenraum). Sei PKE ein PKE-Schema 

mit Nachrichtenraum M k ⊆ {0, 1} k , so daß 1/|M k | als Funktion in k nicht-vernachlässigbar ist. 

Dann ist PKE nicht OW-CPA-sicher. 

Beweis. Der Angreifer A, der unabhängig von der Eingabe M ′ ← M k wählt, erzielt 

was nach Annahme nicht-vernachlässigbar ist. 

Adv ow-cpa 

PKE,A (k) = Pr [ M = M ′] = 1 

|M k | , 

Selbstverständlich hätten wir auch Adv ow-cpa 

PKE,A 

anders definieren können, beispielsweise durch 

[ 

] 

Adv ow-cpa 

PKE,A (k) := Pr Exp ow-cpa 

PKE,A (k) = 1 − 1/|M k |. In diesem Fall könnte man auch hoffen, OW- 

CPA-Sicherheit bei kleinem Nachrichtenraum zu erreichen. (In der Tat würde dann das noch einzuführende 

Lemma 4.4 auch bei kleinem Nachrichtenraum gelten.) Wir haben uns in Definition 4.1 

für eine OW-CPA-Formulierung ohne Korrekturterm“ 1/|M ” k | entschieden, da eine solche Formulierung 

intuitiv naheliegender erscheint und eine absolute“ Sicherheit unabhängig von der Größe 

” 

des Nachrichtenraums garantiert. 

Ununterscheidbarkeit von Chiffraten. Es stellt sich die Frage, wie eigentlich die Nachricht 

M ∗ gewählt wird, deren Chiffrat A schließlich entschlüsseln soll. In einer konkreten Anwendung 

wird diese Nachricht einer bestimmten, anwendungsspezifischen Verteilung genügen. Überdies kann 

es in einigen Anwendungen ausreichen, sagen wir, die erste Hälfte von M ∗ zu finden, um die Anwendung 

zu schädigen. (Man denke an Nachrichten der Form Leider müssen wir Ihnen mitteilen, 

” 

...“ bzw. Wir freuen uns, Ihnen mitteilen zu dürfen, ...“.) 

” 

Einen Ausweg bietet hier die Möglichkeit, A selbst die zu verschlüsselnde Nachricht M ∗ wählen 

zu lassen. Natürlich kann dann nicht mehr das Angriffsziel sein, M ∗ zu finden. Vielmehr soll A nun 

zwischen den Chiffraten von zwei selbstgewählten Nachrichten unterscheiden: 

Definition 4.3 (IND-CPA). Sei PKE = (Gen, Enc, Dec) ein PKE-Schema. Sei A ein PPT-Algorithmus. 

Sei 

[ 

] 

Adv ind-cpa 

PKE,A (k) := Pr Exp ind-cpa 

PKE,A (k) = 1 − 1 2 , 

wobei das Experiment Exp ind-cpa 

PKE,A 


6

Experiment Exp ind-cpa 

PKE,A (k) 

(pk, sk) ← Gen(1 k ) 

(M 0 , M 1 , state) ← A(1 k , find, pk) 

b ← {0, 1} 

C ∗ ← Enc(pk, M b ) 

b ′ ← A(1 k , attack, state, C ∗ ) 

if b = b ′ then return 1 

else return 0 

A heißt gültig, wenn es in Exp ind-cpa 

PKE,A 

immer |M 0| = |M 1 | garantiert. PKE ist IND-CPA-sicher 

(für indistinguishable under chosen-plaintext attacks“), falls für jedes gültige A die Funktion 

” 


Adv ind-cpa 

PKE,A 

Man beachte, daß Definition 4.3 nicht von einem PKE-Schema mit deterministischer Verschlüsselung 

Enc (und nichttrivialem Nachrichtenraum) erfüllt werden kann. Ein IND-CPA-Angreifer 

A könnte bei deterministischer Verschlüsselung zwei beliebige verschiedene, aber gleich lange Nachrichten 

M 0 , M 1 wählen und bei attack-Eingabe das erhaltene Chiffrat mit Enc(pk, M 0 ) und Enc(pk, M 1 ) 

vergleichen. 

Universalität der Definition. Ein gewichtiger Vorteil der IND-CPA-Definition ist ihre Universalität: 

Es existieren eine Reihe von äquivalenten Sicherheitsdefinitionen für PKE-Schemata. Beispielsweise 

fordert ROR-CPA-Sicherheit, daß kein effizienter Angreifer ein Verschlüsselungsorakel 

(das also bei Eingabe M immer Enc(pk, M) liefert) unterscheiden kann von einem Orakel, das bei 

Eingabe M immer Enc(pk, R) liefert, für zufälliges R ∈ {0, 1} |M| derselben Länge wie M. Es kann 

dabei einfach eingesehen werden, daß ROR-CPA-Sicherheit und IND-CPA-Sicherheit äquivalent 

sind. Ähnliches gilt für semantische Sicherheit; semantische Sicherheit fordert, daß jede Funktion 

f(M) einer Nachricht M unter Kenntnis eines Chiffrats von M nicht signifikant besser approximiert 

werden kann als ohne Kenntnis dieses Chiffrats. Dies soll für beliebige Nachrichtendistributionen, 

beliebige (selbst nicht-berechenbare) Funktionen f, und selbst wenn beliebige zusätzliche Information 

h(M) über M zur Verfügung steht. 

Zum Verbergen der Nachrichtenlänge. Wir lassen in Definition 4.3 nur Angreifer zu, die 

versuchen, Chiffrate von gleich langen Nachrichten (|M 0 | = |M 1 |) zu unterscheiden. Es wird also 

geduldet, daß beispielsweise Chiffrate von Nachrichten der Länge k unterschieden werden können 

von Chiffraten der Länge k + 1. (Anders gesagt: Wir fordern nicht, daß Verschlüsseln die Länge 

einer Nachricht verbirgt.) Diese Einschränkung der Sicherheit ergibt sich aus einer praktischen 

Notwendigkeit: Ein (mittels Gen erzeugter) öffentlicher Schlüssel pk und ein (mittels Enc(pk, ·) 

erzeugtes) Chiffrat C legen schon eindeutig eine Nachricht fest. Es gibt also mindestens so viele 

Chiffrate wie Nachrichten. Ein Abzählargument liefert, daß also zwischen Nachrichtenlänge und 

Chiffratlänge ein Zusammenhang bestehen muß. Anders gesagt: Die Länge eines Chiffrats läßt – 

in einem gewissen Umfang – Rückschlüsse auf die Länge der verschlüsselten Nachricht zu. Es kann 

also die Nachrichtenlänge zumindest nicht vollständig verborgen werden. 

Zusammenhang zwischen OW-CPA und IND-CPA-Sicherheit. Es ist relativ einfach einzusehen, 

daß IND-CPA-Sicherheit schon OW-CPA-Sicherheit impliziert (sofern Lemma 4.2 dies 

zuläßt): 

7

Lemma 4.4 (IND-CPA ⇒ OW-CPA). Sei PKE ein PKE-Schema mit Nachrichtenraum M k ⊆ 

{0, 1} k , so daß 1/|M k | als Funktion in k vernachlässigbar ist. Ist dann PKE IND-CPA-sicher, so 

ist PKE auch OW-CPA-sicher. 

Beweis. Sei also PKE = (Gen, Enc, Dec) IND-CPA-sicher. Um zu zeigen, daß PKE auch OW- 

CPA-sicher ist, müssen wir für einen beliebigen PPT-Algorithmus A zeigen, daß Adv ow-cpa 

PKE,A 

(k) vernachlässigbar 

ist. Sei also A gegeben. Wir konstruieren einen PPT-Algorithmus B aus A wie folgt: 

Algorithmus B(1 k , find, pk) 

M 0 ← M k 

M 1 ← (M k \ {M 0 }) 

state := (M 0 , M 1 ) 

return (M 0 , M 1 , state) 

Algorithmus B(1 k , attack, state, C ∗ ) 

parse state =: (M 0 , M 1 ) 

M ← A(1 k , pk, C ∗ ) 

if M = M 0 then return 0 

elseif M = M 1 then return 1 

else return 0 

Zunächst ist offenbar |M 0 | = |M 1 | = k, und deshalb B gültig im Sinne von Definition 4.3. Nach 

Annahme ist also Adv ind-cpa 

PKE,B 

(k) vernachlässigbar. Wie wir sogleich zeigen werden, gilt weiter 

Adv ind-cpa 

PKE,B 

(k) ≥ Advow-cpa 

PKE,A (k)/2 − 1/|M k| (2) 

für hinreichend großes k, woraus das Lemma folgt. Es genügt also, (2) zu zeigen. Sei invert das 

Ereignis, daß A bei einer Ausführung von B tatsächlich C ∗ invertiert, also die Nachricht M mit 

M = Dec(sk, C ∗ ) findet. Weil sowohl M 0 als auch M 1 für sich genommen gleichverteilt über M k 

sind, gilt ε := Pr [invert] = Adv ow-cpa 

PKE,A 

(k). Weiter ist 

Adv ind-cpa 

PKE,B (k) + 1/2 = Pr [ b = b ′] 

Nun gilt wiederum 

Pr [ b = b ′ | ¬invert ] = 1 2 

= Pr [ b = b ′ | invert ] Pr [invert] + Pr [ b = b ′ | ¬invert ] Pr [¬invert] 

= 1 · ε + Pr [ b = b ′ | ¬invert ] (1 − ε). 

( 

Pr 

[ 

b = b ′ | ¬invert, b = 0 ] + Pr [ b = b ′ | ¬invert, b = 1 ]) 

= 1 2 (Pr [M ≠ M 1 | ¬invert, b = 0] + 0) 

(∗) 

≥ 1 ( 

) 

1 

1 − 

, 

2 |M k | − 1 

wobei (∗) nutzt, das M 1 selbst bei bekanntem M 0 gleichverteilt über einer Menge der Kardinalität 

|M k | − 1 ist. Einsetzen ergibt 

Adv ind-cpa 

PKE,B (k) ≥ ε + 1 ( 

) 

1 

1 − 

(1 − ε) − 1 2 |M k | − 1 

2 = ε 2 − 1 − ε 

2|M k | − 2 , 

was wiederum (2) für hinreichend großes k zeigt. 

8

5 Annahmen und erste Reduktionen 

PKE-Sicherheit braucht Annahmen. Man könnte nun hoffen, ein PKE-Schema zusammen 

mit einem Beweis seiner IND-CPA-Sicherheit anzugeben. Es ist allerdings problematisch, einen 

solchen Beweis angeben zu wollen, ohne weitere Annahmen zu machen: 

Lemma 5.1 (Notwendigkeit von Annahmen für PKE-Sicherheit). Angenommen, es existiert ein 

PKE-Schema, welches OW-CPA-sicher ist. Dann folgt P ≠ NP. 

Beweis. Betrachten wir die Sprache 

L PKE := { (pk, C, M) | C = Enc(pk, M; R) für ein R und einen Präfix M von M } . 

Offenbar gilt L PKE ∈ NP: Ein passender Zeuge für (pk, C, M) ∈ L PKE ist (M, R) mit C = 

Enc(pk, M; R). Nehmen wir nun zum Widerspruch an, daß L PKE ∈ P ist; wir zeigen, daß dies 

der OW-CPA-Sicherheit von PKE widerspricht. Sei genauer D ein Polynomialzeit-Algorithmus, der 

L PKE entscheidet. Bei gegebenen pk und C = Enc(pk, M; R) kann mittels D durch bitweise Suche 

M gefunden werden. Es läßt sich so aus D ein PPT-Algorithmus A mit 

Adv ow-cpa 

PKE,A (k) = 1 

konstruieren, was der OW-CPA-Sicherheit von PKE widerspricht. 

Es ist nicht realistisch, zu hoffen, daß beim Sicherheitsbeweis eines PKE-Schemas ” 

nebenbei“ 

P ≠ NP bewiesen wird. Deshalb können wir nur auf Sicherheitsaussagen der Form 

Wenn ein geeignetes Problem schwierig ist, dann ist Schema PKE IND-CPA-sicher. 

hoffen. Im folgenden sollen einige ” 

geeignete Berechenbarkeitsprobleme“ vorgestellt werden. (Es 

erübrigt sich beinahe, zu erwähnen, daß die Schwierigkeit jedes dieser Probleme schon P ≠ NP 

impliziert.) 

Faktorisierungsbasierte Probleme. Als eine der nützlichsten mathematischen Plattformen für 

kryptographische Anwendungen haben sich Ringe der Form Z N := Z/NZ ( Rechnung modulo N“) 

” 

für ein Produkt N = P Q für zwei hinreichend große Primzahlen P, Q erwiesen. Wir nehmen hierfür 

einen geeigneten PPT-Algorithmus GenN an, der bei Eingabe 1 k verschiedene Primzahlen P > 2 

und Q > 2 wählt und N, P, Q für N = P Q ausgibt. (Beispielsweise könnte man P und Q als 

gleichverteilt gewählte k-Bit-Primzahlen setzen.) 

Verbunden mit Z N ergeben sich folgende Annahmen. 

Faktorisierungsannahme. Es ist schwierig, N zu faktorisieren. Genauer nehmen wir an, daß für 

jeden PPT-Algorithmus A die Funktion 

[ 

] 

Adv fac 

GenN,A (k) := Pr Exp fac 

GenN,A (k) = 1 

vernachlässigbar ist. 

RSA-Annahme. Es ist schwierig, bei gegebenen N, e ∈ Z ∗ (P −1)(Q−1) und y ∈ Z N ein x ∈ Z N 

mit y = x e mod N zu finden. Genauer nehmen wir an, daß für jeden PPT-Algorithmus A die 

Funktion 

Adv rsa 

GenN,A (k) := Pr [ Exp rsa 

GenN,A (k) = 1] 


9

Starke RSA-Annahme. Es ist schwierig, bei gegebenen N und y ∈ Z N ein Tupel (x, e) mit 

x ∈ Z N und e ≥ 2 zu finden, das x e = y mod N erfüllt. Genauer nehmen wir an, daß für 

jeden PPT-Algorithmus A die Funktion 

Adv srsa 

GenN,A (k) := Pr [ Exp srsa 

GenN,A (k) = 1] 


Die verwendeten Experimente sind dabei wie folgt definiert: 

Experiment Exp fac 

GenN,A (k) 

(N, P, Q) ← GenN(1 k ) 

D ← A(1 k , N) 

if D ∈ {P, Q} then return 1 

else return 0 

Experiment Exp rsa 

GenN,A (k) 

(N, P, Q) ← GenN(1 k ) 

e ← Z ∗ (P −1)(Q−1) 

y ← Z N 

x ← A(1 k , N, e, y) 

if x e = y mod N then return 1 

else return 0 

Experiment Exp srsa 

GenN,A (k) 

(N, P, Q) ← GenN(1 k ) 

y ← Z N 

(x, e) ← A(1 k , N, y) 

if x e = y mod N 

and e ≥ 2 then return 1 

else return 0 

Offenbar impliziert die starke RSA-Annahme die RSA-Annahme, welche wiederum die Faktorisierungsannahme 

impliziert. Unglücklicherweise ist aber nicht bekannt, ob die RSA-Annahme von der 

Faktorisierungsannahme impliziert wird. 

Ein Beispiel für ein PKE-Schema in Z N . Das ursprünglich von Rivest, Shamir und Adleman 

vorgeschlagene RSA-Schema PKE RSA = (Gen RSA , Enc RSA , Dec RSA ) mit Nachrichtenraum M = Z N 

ist wie folgt definiert: 

Algorithmus Gen RSA (1 k ) 

(N, P, Q) ← GenN(1 k ) 

e ← Z ∗ (P −1)(Q−1) 

d := 1/e mod (P − 1)(Q − 1) 

(pk, sk) := ((N, e), (N, d)) 

return (pk, sk) 

Algorithmus Enc RSA (pk, M) 

parse pk =: (N, e) 

C := M e mod N 

return C 

Algorithmus Dec RSA (sk, C) 

parse sk =: (N, d) 

M := C d mod N 

return M 

Wir nehmen dabei eine geeignete Kodierung von Elementen M ∈ Z N als Bitstrings an. Die Korrektheit 

von PKE RSA kann mittels des Chinesischen Restesatzes (Rechnung modulo P bzw. Rechnung 

modulo Q) eingesehen werden. 

Theorem 5.2 (Sicherheit von PKE RSA ). PKE RSA ist OW-CPA-sicher genau dann wenn die RSA- 

Annahme gilt. 

Beweis. Ein OW-CPA-Angreifer A auf PKE RSA kann direkt als A wie in der RSA-Annahme betrachtet 

werden. 

Insbesondere ist momentan nicht bekannt, ob die Faktorisierungsannahme schon die OW-CPA- 

Sicherheit von PKE RSA impliziert. 

Theorem 5.3 (Unsicherheit von PKE RSA ). PKE RSA ist nicht IND-CPA-sicher. 

Beweis. Man beachte, daß Enc RSA deterministisch ist. Ein geeigneter IND-CPA-Angreifer A kann 

somit die Verschlüsselungen zweier verschiedener gleich langer Nachrichten M 0 , M 1 ∈ Z N durch 

Vergleich mit den (eindeutig bestimmten) Enc(pk, M 0 ) bzw. Enc(pk, M 1 ) unterscheiden. 

10

Probleme in zyklischen Gruppen. Als weitere sehr nützliche mathematische Plattform haben 

sich zyklische Gruppen erwiesen. Sei also (G k ) k∈N eine Familie von nichttrivialen endlichen 

zyklischen Gruppen. (Man beachte: Um von asymptotisch schweren Problemen zu reden, ist hier 

wieder der Begriff des Sicherheitsparameters nötig.) Der Einfachheit halber werden wir im folgenden 

den Index k unterdrücken und G statt G k schreiben. Wir setzen die jeweilige Gruppenordnung 

q := |G| > 1 als bekannt voraus. Gens G ⊆ G bezeichnet die Menge der Generatoren von G; wir 

setzen voraus, daß die Gleichverteilung auf Gens G effizient berechenbar ist. 

Es ergeben sich die folgende Annahmen. 

Diskreter-Logarithmus-(DLog-)Annahme. Es ist schwierig, x aus g x zu berechnen. Genauer: 

für jeden PPT-Algorithmus A ist die Funktion 

] 

Adv dlog 

G,A 

[A(1 (k) := Pr k , g, g x ) = x | g ← Gens G , x ← [q] 


Computational-Diffie-Hellman-(CDH-)Annahme. Es ist schwierig, bei gegebenen g, g x , g y 

das Element g xy zu berechnen. Genauer nehmen wir an, daß für jeden PPT-Algorithmus A 

die Funktion 

[ 

] 

Adv cdh 

G,A(k) := Pr A(1 k , g, g x , g y ) = g xy | g ← Gens G , x, y ← [q] 


Decisional-Diffie-Hellman-(DDH-)Annahme. Es ist schwierig, bei gegebenen g, g x , g y das 

Element g xy von einem zufälligen Gruppenelement zu unterscheiden. Genauer nehmen wir 

an, daß für jeden PPT-Algorithmus A die Funktion 

[ 

] 

Adv ddh 

G,A(k) := Pr Exp ddh 

G,A(k) = 1 − 1 2 


Hierbei ist das Experiment Exp ddh 

G,A wie folgt definiert: 

Experiment Exp ddh 

G,A (k) 

g ← Gens G 

x, y, z ← [q] 

b ← {0, 1} 

(g 0 , g 1 ) := (g xy , g z ) 

b ′ ← A(1 k , g, g x , g y , g b ) 


else return 0 

Es ist einfach einzusehen, daß die CDH-Annahme die DLog-Annahme impliziert. Immer noch relativ 

einfach kann auch eingesehen werden, daß die DDH-Annahme die CDH-Annahme impliziert. 

(Hier ergibt sich die Schwierigkeit, daß die Korrektheit einer CDH-Lösung nicht unbedingt effizient 

verifiert werden kann. Deshalb unterscheide man hier die Fälle 1/|G| vernachlässigbar“ und 1/|G| 

” ” 

nicht vernachlässigbar“. Im ersten Fall kann wie in Lemma 4.4 verfahren werden, und im zweiten 

Fall kann eingesehen werden, daß die DDH-Annahme – genauso wie die CDH-Annahme – nicht 

gilt.) Weiter ist einfach einzusehen und im Verlauf nützlich, daß 

Adv ddh 

G,A(k) = 1 2 

( 

Pr 

[ 

A(1 k , g, g x , g y , g z ) = 1 

11 

] 

− Pr 

[ 

A(1 k , g, g x , g y , g xy ) = 1 

]) 

(3)

gilt, wobei wie in Exp ddh 

G,A die Variablen g ∈ Gens G und x, y, z ∈ [q] gleichverteilt gezogen werden. 

(Um (3) einzusehen, konditioniere man die Definition von Adv ddh 

G,A auf b = 0 bzw. b = 1.) 

Mögliche Instanziierungen. Es gibt Kandidaten für Gruppen G, in denen die oben genannenten 

Annahmen gelten. Die zwei populärsten dieser Kandidaten sollen kurz besprochen werden. 

Multiplikative Untergruppen von endlichen Körpern. G kann als (echte) Untergruppe der 

multiplikativen Gruppe Z ∗ p eines endlichen Körpers Z p (mit primem p) gewählt werden. Hierbei 

ist zu beachten, daß zum einen p hinreichend groß gewählt werden sollte, so daß Zahlen 

in der Größenordnung von p nicht effizient faktorisiert werden können. (Andernfalls können 

mittels des Index-Calculus-Algorithmus effizient diskrete Logarithmen berechnet werden.) p 

sollte also nach derzeitigem Kenntnisstand eine Bitlänge von mehr als 1024 haben. Zudem 

sollte der Fall G = Z ∗ p (also die Verwendung der gesamten multiplikativen Gruppe) vermieden 

werden, da dann die DDH-Annahme verletzt ist: 

Lemma 5.4. In Gruppen der Form G = Z ∗ p gilt die DDH-Annahme nicht. 

Beweis. Man betrachte den Angreifer A, der bei Eingabe (1 k , g, g x , g y , g b ) die Legendre- 

Symbole 

( ) 

( ) 

( ) 

g 

x 

:= (g x ) (p−1)/2 g 

y 

mod p, := (g y ) (p−1)/2 gb 

mod p, := g (p−1)/2 

p 

p 

p 

b 

mod p 

berechnet. Für unsere Zwecke reicht es, über Legendre-Symbole das folgende zu wissen: 

( ( ) ( ) g g 

x g x 

∀g ∈ G, x ∈ Z : 

∈ {−1, 1}, 

= ; 

p) 

p p 

weiter ist (für p > 2) für genau die Hälfte aller Elemente g ∈ G das Legendre-Symbol ( g p ) = 1. 

Unser Angreifer A gibt schließlich 1 aus genau dann wenn gilt: 

( ( ) ( ) ) ( ) 

g 

x 

g 

y 

gb 

= 1 ∨ = 1 ∧ = −1. 

p 

p 

p 

Intuitiv sagt A mit einer 1-Ausgabe aus, daß g b nicht den Regeln genügt, den ein g xy genügen 

müßte. Etwa aus ( gx gxy 

p 

) = 1 würde ( 

p ) = ( gx p )y = 1 folgen. Offenbar gibt demnach A immer 

0 aus, falls g b = g xy = (g x ) y = (g y ) x ist. Falls aber g b = g z für unabhängiges z ∈ [q] ist, so 

gibt A mit Wahrscheinlichkeit 3/4 · 1/2 = 3/8 eine 1 aus. Insgesamt gilt also 

Adv ddh 

G,A(k) (3) 

= 1 ( [ 

] [ 

]) 

Pr A(1 k , g, g x , g y , g z ) = 1 − Pr A(1 k , g, g x , g y , g xy ) = 1 = 3 

2 

16 , 

was die Behauptung zeigt. 

Andererseits sind Gruppen 

G := 

{ ( } g 

g ∈ Z ∗ p | = 1 

p) 

(für geeignetes p) durchaus populäre Kandidaten für Gruppen, in denen die DDH-Annahme 

nach heutigem Stand gilt. 

12

Elliptische Kurven. G kann als geeignete Untergruppe einer elliptischen Kurve gewählt werden. 

(Hier soll jedoch nicht auf die Definition oder Konstruktion von elliptischen Kurven 

eingegangen werden.) Dies hat den Vorteil, das in einer solchen Struktur kein Äquivalent des 

Index-Calculus-Algorithmus existiert, weshalb Gruppen sehr viel kleinerer Ordnung und Darstellung 

(im Vergleich zu G ⊆ Z ∗ p) gewählt werden können. Auf diese Weise können Gruppen 

gewählt werden, bei denen nach heutigem Stand die DDH-Annahme gilt und deren Elemente 

durch etwa 200 Bits repräsentiert werden können. 

Eine wichtige Bemerkung hierzu: es ist gängig, zyklische Gruppen G einer primen Ordnung q zu 

wählen. Dies hat den Vorteil, daß jedes Element g ∈ G \ {1} schon G generiert. 

Ein Beispiel für ein PKE-Schema in zyklischen Gruppen. Nehmen wir eine Familie von 

Gruppen G wie oben an. Das von ElGamal vorgeschlagene und nach ihm benannte PKE-Schema 

PKE ElG = (Gen ElG , Enc ElG , Dec ElG ) mit Nachrichtenraum M = G ist wie folgt definiert: 

Algorithmus Gen ElG (1 k ) 

g ← Gens G 

x ← [q] 

(pk, sk) := ((g, g x ), x) 


Algorithmus Enc ElG (pk, M) 

parse pk =: (g, X) 

y ← [q] 

C := (g y , X y · M) 

return C 

Algorithmus Dec ElG (sk, C) 

set x := sk 

parse C =: (Y, Z) 

M := Z/Y x 

return M 

Wir nehmen dabei eine geeignete Kodierung von Elementen M ∈ G als Bitstrings an. Korrektheit 

von PKE ElG gilt wegen 

X y = (g x ) y = g xy = (g y ) x = Y x . 

An PKE ElG ist interessant, daß Verschlüsselung randomisiert erfolgt: Ein fester Klartext M kann 

zu q verschiedenen Chiffraten C führen, abhängig vom verwendeten Zufall y. 

Theorem 5.5 (OW-CPA-Sicherheit von PKE ElG ). PKE ElG ist genau dann OW-CPA-sicher, wenn 

die CDH-Annahme gilt. 

Beweis. Wir zeigen zunächst, daß die OW-CPA-Unsicherheit von PKE ElG benutzt werden kann, um 

die CDH-Annahme zu widerlegen. Man nehme also einen Angreifer A mit nicht-vernachlässigbarem 

OW-CPA-Vorteil Adv ow-cpa 

PKE ElG ,A 

an. Wir konstruieren einen CDH-Angreifer B aus A, der wie folgt 

agiert. Bei Eingabe (1 k , g, g x , g y ) wählt B ein zufälliges Element Z ← G und setzt 

M ← A(1 k , (g, g x ), (g y , Z)). 

Man beachte, daß diese A-Eingaben wie in Exp ow-cpa 

Z/M aus. Es gilt 

PKE ElG ,A 

verteilt sind. Schließlich gibt B den Wert 

weshalb 

Z/M = g xy ⇐⇒ Z/g xy = M ⇐⇒ Dec(x, (g y , Z)) = M, 

Adv cdh 

G,B(k) = Adv ow-cpa 

PKE ElG ,A (k) 

ist und somit B ein erfolgreicher Angreifer auf die CDH-Annahme ist. 

Umgekehrt kann ein erfolgreicher CDH-Angreifer in ähnlicher Weise zu einem OW-CPA-Angreifer 

auf PKE ElG umgebaut werden. 

13

Theorem 5.6 (IND-CPA-Sicherheit von PKE ElG ). PKE ElG ist genau dann IND-CPA-sicher, wenn 

die DDH-Annahme gilt. 

Beweis. Analog zu Theorem 5.5. 

6 Das Schema von Blum und Goldwasser 

Die bislang präsentierten Sicherheitsbeweise PKE-Schemata könnten den Eindruck hinterlassen, 

daß im wesentlichen schon die Sicherheit des Schemas angenommen wurde. (Der Beweis leistet also 

nur eine mehr oder weniger oberflächliche Umformulierung von Annahmen.) Deshalb soll nun ein 

PKE-Schema vorgestellt werden, dessen IND-CPA-Sicherheit unter der Faktorisierungsannahme 

bewiesen werden kann. Genauer ist das Ziel die Herleitung des folgenden Ergebnisses: 

Theorem 6.1 (IND-CPA-Sicherheit unter der Faktorisierungsannahme). Es existiert ein PKE- 

Schema PKE BG mit Nachrichtenraum M k = {0, 1} k , welches IND-CPA-sicher unter der Faktorisierungsannahme 

ist. 

Hierzu ist ein wenig Vorbereitung nötig. 

Quadratische Reste. Wir betrachten den Ring Z N für N = P Q mit P = Q = 3 mod 4. (Man 

sagt in dem Fall auch, daß N ein Blum-Integer ist.) Die Menge 

QR N := { x 2 | x ∈ Z ∗ } 

N 

ist die Menge der quadratischen Reste modulo N. Sei 

Q N : 

QR N → QR N 

x ↦→ x 2 mod N 

die Quadrierungsfunktion auf QR N . Wir machen zunächst einige kleine Beobachtungen: 

Lemma 6.2. Q N ist bijektiv. 

Beweis. Wegen des Chinesischen Restesatzes wissen wir, daß die Ringisomorphie 

Z N 

∼ = ZP × Z Q 

gilt. Weil P = Q = 3 mod 4 ist, gilt deshalb für die multiplikativen Gruppen 

Z ∗ N 

∼= Z ∗ P × Z ∗ Q 

∼= C P −1 × C Q−1 

∼ = 

( 

C(P −1)/2 × C 2 

) 

× 

( 

C(Q−1)/2 × C 2 

) 

, 

wobei C i die (additiv geschriebene) zyklische Gruppe mit i Elementen darstellt und (P − 1)/2 

und (Q − 1)/2 ungerade sind. Quadrierung in Z ∗ N 

entspricht einer Multiplikation mit 2 in den 

(additiv geschriebenen) C i -Komponenten. Deshalb ist eine Quadrierung in Z ∗ N 

eine Bijektion auf 

den C (P −1)/2 - und C (Q−1)/2 -Komponenten, annihiliert aber die C 2 -Komponenten. Die Quadrate in 

QR N sind also genau die Menge C (P −1)/2 × C (Q−1)/2 , und die Quadrierungsfunktion Q N ist auf der 

Menge der Quadrate bijektiv. 

14

Lemma 6.3. Unter Kenntnis der Faktorisierung N = P Q kann Q −1 

N 

effizient (d. h. in Polynomialzeit) 

berechnet werden. 

Beweis. Es ist x e = x e mod |QR N | 

für alle x ∈ QR N . Weiter ist nach dem Gesagten QR N eine 

Gruppe ungerader Ordnung |QR N | = (P − 1)(Q − 1)/4. Insbesondere hat 2 ein multiplikatives 

Inverses modulo |QR N |. Sei nun λ := 2 −1 mod |QR N |, d. h. λ ist die kleinste natürliche Zahl mit 

2 · λ = 1 mod |QR N |. Für alle x ∈ QR N gilt 

( 

x 

2 ) λ 

= x 2λ = x 2λ mod |QR N | = x 1 mod |QR N | = x 1 = x mod N. 

Exponentiation mit λ erlaubt es also, Q N effizient zu invertieren. (Man beachte, daß die Faktorisierung 

von N erlaubt, λ effizient zu berechnen.) 

Lemma 6.4. Jedes Element y ∈ QR N hat genau vier Quadratwurzeln in Z N ; es existieren also 

genau vier Elemente x ∈ Z N mit y = x 2 mod N. 

Beweis. Durch den Chinesischen Restesatz wird klar, daß die Quadrate y ∈ QR N genau Elementen 

(y P , y Q ) ∈ Z ∗ P × Z∗ Q entsprechen, wobei y P und y Q Quadrate in Z ∗ P bzw. Z∗ Q sind. Wegen Z∗ P ∼ = 

C (P −1)/2 × C 2 hat jedes Quadrat y P ∈ Z ∗ P genau zwei Quadratwurzeln x P und −x P . (Analog 

für y Q .) Durch Kombination ergeben sich genau 4 mögliche Quadratwurzeln (x P , x Q ), (x P , −x Q ), 

(−x P , x Q ), und (−x P , −x Q ) eines y. 

Bemerkung 6.5. Die letzten Resultate (Lemma 6.2, Lemma 6.3, Lemma 6.4) können auch alternativ 

bewiesen werden, indem man den Kern des Gruppenhomomorphismus Q ′ N : Z∗ N → QR N mit 

Q N (x) = x 2 mod N betrachtet. (Der einzige Unterschied zwischen Q ′ N und Q N besteht im Definitionsbereich.) 

Genauer besteht ker(Q ′ N ) aus allen x ∈ Z∗ N mit x2 = 1 mod N. Ähnlich wie im Beweis 

von Lemma 6.4 liefert der Chinesische Restesatz, daß es genau 4 solche x = (x P , x Q ) gibt, von 

denen genau eines schon ein Quadrat ist. Damit folgt Lemma 6.4 (weil Q ′ N 

ein Homomorphismus 

ist), und wegen |QR N | = |Z ∗ N 

|/4 = (P − 1)(Q − 1)/4 auch Lemma 6.2. Schließlich folgt Lemma 6.3 

wie oben. 

Von der Faktorisierungsannahme zu Einwegpermutationen. Unter der Faktorisierungsannahme 

hat die Quadrierungsfunktion Q N eine für unsere Zwecke nützliche Einwegeigenschaft: 

Definition 6.6 (Einwegfunktion, Einwegpermutation). Sei F = (F k ) k∈N eine Familie von Familien 

von Funktionen f ∈ F k mit f : X f → Y f über endlichen Mengen X f . Wir nennen F eine Familie 

von Einwegfunktionen, falls für jeden PPT-Algorithmus A die Funktion 

] 

Adv ow 

F,A(k) := Pr 

[f(A(1 k , f(x))) = f(x) | f ← F k , x ← X f 

vernachlässigbar in k ist. Falls zusätzlich jedes f ∈ F k ∈ F bijektiv ist und Y f = X f gilt, heißt F 

Familie von Einwegpermutationen. Man beachte, daß dann gilt: 

f(A(1 k , f(x))) = f(x) ⇐⇒ A(1 k , f(x)) = x. 

Wenn der Bezug zum Sicherheitsparameter klar ist, sagen wir auch manchmal, daß eine einzelne 

Funktion f eine Einwegfunktion bzw. Einwegpermutation ist. 

15

Lemma 6.7. Unter der Faktorisierungsannahme ist Q N eine Einwegpermutation. 

Beweis. Da Q N nach Lemma 6.2 bijektiv ist, reicht es aus, zu zeigen, daß für jeden PPT-Algorithmus 

A die Funktion 

] 

Adv ow 

Q N ,A(k) = Pr 

[A(1 k , N, Q N (x)) = x | x ← QR N 

vernachlässigbar ist. Genauer zeigen wir nun 

Adv fac 

GenN,B 

(k) ≥ 

Advow Q N ,A (k) 

2 

für einen geeigneten Faktorisierungsalgorithmus B, den wir aus A konstruieren. Nach Annahme ist 

Adv fac 

GenN,B vernachlässigbar, weshalb wegen (4) auch Advow Q N ,A vernachlässigbar sein muß. B verfährt 

wie folgt: 

Algorithmus B(1 k , N) 

x B ← Z ∗ N 

y = x 2 B mod N 

x A ← A(1 k , N, y) 

return gcd(x A − x B , N) 

Setzen wir zur Analyse x := Q −1 

N (y), d. h. x ist die (eindeutige) Quadratwurzel von y in QR N. Da 

die Eingabe y von A wie in Definition 6.6 ein gleichverteiltes Element aus QR N ist, gilt 

Pr [x A = x] = Adv ow 

Q N ,A(k). 

Weiter hat y nach Lemma 6.4 in Z ∗ N 

genau 4 Quadratwurzeln. Es gibt also 4 mögliche Elemente 

x 1 , . . . , x 4 ∈ Z ∗ N mit x2 i = y mod N. Nach Konstruktion ist x B ein zufälliges dieser x i . Für genau 

zwei dieser x i gilt x i ∉ {x, −x}. Wir haben also 

Pr [x B ∉ {−x, x}] = 1 2 . 

(4) 

Zudem sind die Ereignisse ” 

x B ∉ {−x, x}“ und As Ausgabe unabhängig, da A nur y, nicht aber x B 

als Eingabe erhält. Demnach gilt 

Pr [x A = x ∧ x B ∉ {−x, x}] = Pr [x A = x] · Pr [x B ∉ {−x, x}] = Advow 

2 

Q N ,A 

. (5) 

Nehmen wir nun x A = x ∧ x B ∉ {x, −x} an. Dann ist x 2 A = y = x2 B 

mod N; anders ausgedrückt, 

(x A + x B )(x A − x B ) = x 2 A − x2 B 

= 0 mod N, weshalb 

N = gcd((x A + x B )(x A − x B ), N)| gcd(x A + x B , N) · gcd(x A − x B , N) 

eine Faktorisierung von N liefert. Weil x A + x B ≠ 0 mod N und x A − x B ≠ 0 mod N ist, ist diese 

Faktorisierung nichttrivial. Demnach faktorisiert B erfolgreich N, sobald x A = x ∧ x B ∉ {x, −x} 

gilt. Wegen (5) folgt (4). 

16

Zwischenschritt: faktorisierungsbasierte OW-CPA-Sicherheit. Als Zwischenschritt auf 

unserem Weg zu einem faktorisierungsbasierten IND-CPA-sicheren PKE-Schema betrachte man 

das folgende PKE-Schema PKE Rab = (Gen Rab , Enc Rab , Dec Rab ) mit Nachrichtenraum QR N : 

Algorithmus Gen Rab (1 k ) 

(N, P, Q) ← GenN(1 k ) 

(pk, sk) := (N, (P, Q)) 


Algorithmus Enc Rab (pk, M) 

parse pk =: N 

C := Q N (M) 

return C 

Algorithmus Dec Rab (sk, C) 

parse sk =: (P, Q) 

M := Q −1 

N (C) 

return M 

Offenbar ist PKE Rab genau dann OW-CPA-sicher, wenn die Funktion Q N eine Einwegpermutation 

ist. Mit Lemma 6.7 ergibt sich: 

Theorem 6.8 (Sicherheit von PKE Rab ). Unter der Faktorisierungsannahme ist PKE Rab OW-CPAsicher. 

PKE Rab ist allerdings nicht IND-CPA-sicher, denn Enc Rab ist deterministisch. 

Ununterscheidbarkeit. Als nächstes soll aus der Einwegpermutation Q N eine stärkere Form 

von Unvorhersagbarkeit hergeleitet werden. Zunächst definieren wir hierfür einen Begriff für die 

Ununterscheidbarkeit von zwei Verteilungen: 

Definition 6.9 (Ununterscheidbarkeit). Seien A = (A k ) k∈N und B = (B k ) k∈N zwei Folgen von 

Zufallsvariablen. Wir sagen, daß A und B ununterscheidbar sind (geschrieben A ≈ c B), falls für 

alle PPT-Algorithmen D die Funktion 

[ 

] [ 

] 

Adv dist 

A,B,D(k) := Pr D(1 k , A k ) = 1 − Pr D(1 k , B k ) = 1 

vernachlässigbar in k ist. 

Bevor wir fortfahren, soll der universelle Charakter von Definition 6.9 herausgestellt werden. 

Hierfür definieren wir exemplarisch: 

Definition 6.10 (Reihenfolgen-Ununterscheidbarkeit). Wir sagen, daß A = (A k ) k∈N und B = 

(B k ) k∈N Reihenfolgen-ununterscheidbar sind (geschrieben A ≈ c 2 B) falls für alle PPT-Algorithmen 

D die Funktion 

] 

Pr 

[D(1 k , C b , C 1−b ) = b | b ← {0, 1}, C 0 = A k , C 1 = B k − 1/2 

vernachlässigbar in k ist. 

Um die Universalität von Definition 6.9 zu illustrieren, zeigen wir: 

Lemma 6.11. A c ≈ B ⇔ A c ≈ 2 B, falls A oder B effizient berechenbar sind. 

Beweis. Zunächst bemerken wir, daß A und B genau dann Reihenfolgen-ununterscheidbar sind 

wenn 

[ 

] [ 

] 

Pr D(1 k , A k , B k ) = 1 − Pr D(1 k , B k , A k ) = 1 

(6) 

17

vernachlässigbar ist. Es gilt nämlich (wobei wir b ← {0, 1}, C 0 = A k , und C 1 = B k voraussetzen): 

( [ 

] ) 

2 Pr D(1 k , C b , C 1−b ) = b − 1/2 

( [ 

] [ 

]) 

= 2 Pr D(1 k , C b , C 1−b ) = b ∧ b = 0 + Pr D(1 k , C b , C 1−b ) = b ∧ b = 1 − 1 

[ 

] [ 

] 

= Pr D(1 k , C b , C 1−b ) = b | b = 0 + Pr D(1 k , C b , C 1−b ) = b | b = 1 − 1 

[ 

] [ 

] 

= Pr D(1 k , C 0 , C 1 ) = 0 + Pr D(1 k , C 1 , C 0 ) = 1 − 1 

[ 

] [ 

] 

= Pr D(1 k , C 1 , C 0 ) = 1 − Pr D(1 k , C 0 , C 1 ) = 1 . 

Aus (6) folgt offenbar A ≈ c 2 B ⇒ A ≈ c B. Für die Umkehrung nehmen wir ohne Beschränkung der 

Allgemeinheit an, daß A effizient berechenbar ist und bemerken 

[ 

] [ 

] [ 

] [ 

] 

Pr D(1 k , A k , B k ) = 1 − Pr D(1 k , A k , A k ) = 1 = Pr E(1 k , B k ) = 1 − Pr E(1 k , A k ) = 1 (7) 

[ 

] [ 

] [ 

] [ 

] 

Pr D(1 k , B k , A k ) = 1 − Pr D(1 k , A k , A k ) = 1 = Pr F(1 k , B k ) = 1 − Pr F(1 k , A k ) = 1 (8) 

für geeignete PPT-Algorithmen E und F, die die erste bzw. zweite Eingabe A k selbst generieren 

und D aufrufen. Nach Annahme sind die rechten Seiten von (7) und (8) vernachlässigbar, weshalb 

auch (6) vernachlässigbar sein muß. 

Es sind ähnliche Variationen eines ” 

intuitiven“ Ununterscheidbarkeitsbegriffs denkbar; jedoch 

sollten diese in den meisten Fällen äquivalent zu Definition 6.9 sein. 

Von Einwegpermutationen zu Ununterscheidbarkeit. 

Definition 6.12 (Hard-Core-Prädikat). Sei H = (H k ) k∈N eine Familie von Familien von Paaren 

von Funktionen (f, h) ∈ H k mit f : X f → Y f und h : X f → {0, 1} über endlichen Mengen X f . Wir 

sagen (wenn der Bezug zu H klar ist), daß h ein Hard-Core-Prädikat von f ist, falls gilt: 

(f(x), h(x)) 

c 

≈ (f(x), U {0,1} ), 

wobei (f, h) ← H k , x ← X f und U {0,1} ← {0, 1} unabhängig gezogen werden. 

Selbst bei gegebenem f(x) sieht h(x) also aus wie unabhängiger Zufall. Anders gesagt: f(x) 

hilft nicht wesentlich dabei, h(x) zu berechnen. 

Für x ∈ Z N sei lsb N (x) das niederwertigste Bit von x (also x mod 2) in einer Darstellung von 

x als Ganzzahl x ∈ {0, . . . , N − 1}. Wir werden ohne Beweis das folgende Resultat benutzen: 

Theorem 6.13 (Hard-Core-Eigenschaft des LSB). Angenommen, Q N ist eine Einwegpermutation. 

Dann ist Funktion lsb N ist ein Hard-Core-Prädikat von Q N . 

(Für Interessierte: Diese Eigenschaft von lsb N wurde in [1] gezeigt.) 

Mittels Theorem 6.13 könnte man schon hoffen, ein unter der Faktorisierungsannahme IND- 

CPA-sicheres PKE-Schema zu definieren. Man könnte etwa Chiffrate der Form 

C := (x 2 , lsb N (x) ⊕ M) 

18

(mit M ∈ {0, 1}) erzeugen. Unter Kenntnis der Faktorisierung von N läßt sich x und damit lsb N (x) 

berechnen. Andererseits sollte ohne Kenntnis der Faktorisierung lsb N (x) und damit lsb N (x) ⊕ M 

wie unabhängiger Zufall aussehen. In der Tat wurde ein ähnliches Schema von Goldwasser und 

Micali vorgeschlagen und als IND-CPA-sicher bewiesen. Nachteil des Schemas ist jedoch der kleine 

Nachrichtenraum: Es können nur einzelne Bits M ∈ {0, 1} verschlüsselt werden. Wir werden deshalb 

an dieser Stelle die bisherigen Gedanken noch etwas weiterentwickeln. 

Von einem Bit zu vielen Bits. Unser Vorgehen wird sein, die Anwendung der Quadrierungsfunktion 

Q N zu iterieren. Intuitiv wird bei jeder Anwendung ein weiteres Zufallsbit verfügbar, 

welches dann direkt zur Verschlüsselung genutzt werden kann. Wir definieren also zunächst 

( 

) 

BBS N (x) := lsb N (x), lsb N (Q N (x)), lsb N (Q 2 N(x)), . . . , lsb N (Q k−1 

N (x)) ∈ {0, 1} k . 

Lemma 6.14 (Pseudozufallseigenschaft von BBS N ). Unter der Annahme, daß lsb N 

Core-Prädikat von Q N ist, gilt 

ein Hard- 

(N, Q k N(x), BBS N (x)) 

c 

≈ 

(N, Q k N(x), U {0,1} k), 

wobei (N, P, Q) ← GenN(1 k ), und x ← QR N und U {0,1} k ← {0, 1} k unabhängig gleichverteilt sind. 

Beweis. Sei ein beliebiger PPT-Algorithmus D gegeben. Wir müssen zeigen, daß Adv dist 

A,B,D vernachlässigbar 

ist, wobei A := (N, Q k N (x), BBS N(x)) k und B := (N, Q k N (x), U {0,1} k) k) ist. Hierzu 

konstruieren wir zunächst aus D einen Algorithmus D ′ , der zwischen (Q N (x), lsb N (x)) und 

(Q N (x), U {0,1} ) unterscheidet und dazu wie folgt verfährt: 

Algorithmus D ′ (1 k , N, y, z) (mit y ∈ QR N und z ∈ {0, 1}) 

i ← [k] 

u ← {0, 1} i−1 

v := (lsb N (y), lsb N (Q N (y)), . . . , lsb N (Q k−i−1 

N 

(y))) ∈ {0, 1} k−i 

w := (u, z, v) ∈ {0, 1} k 

b ← D(1 k , N, Q k−i 

N 

(y), w) 

return b 

Zur Analyse von D ′ definieren wir für i ∈ {0, . . . , k} und x ∈ QR N die Zufallsvariable 

H i,x := (U {0,1} i, lsb N (Q i N(x)), . . . , lsb(Q k−1 

N (x))) ∈ {0, 1}k , 

wobei U {0,1} i ← {0, 1} i gleichverteilt ist. Offenbar ist H 0,x = BBS N (x), und H k,x = U {0,1} k 

gleichverteilter k-Bit-String. Weiter gilt in der Ausführung von D ′ für jedes j ∈ [k]: 

Dist [w | i = j, z = lsb N (x)] = Dist [H j−1,x ] 

Dist [ ] 

w | i = j, z = U {0,1} = Dist [Hj,x ] 

ist ein 

(9) 

19

und somit 

[ 

Adv dist 

A,B,D(k) = Pr D(1 k , N, Q k N(x), BBS N (x)) = 1 

[ 

] 

= Pr D(1 k , N, Q k N(x), H 0,x ) = 1 

(9) 

= 

k∑ 

j=1 

= 

k∑ 

j=1 

] 

− Pr 

[ 

] 

− Pr D(1 k , N, Q k N(x), U {0,1} k) = 1 

[ 

] 

D(1 k , N, Q k N(x), H k,x ) = 1 

( [ 

] [ 

]) 

Pr D(1 k , N, Q k N(x), H j−1,x ) = 1 − Pr D(1 k , N, Q k N(x), H j,x ) = 1 

( [ 

] [ 

]) 

Pr D ′ (1 k , N, Q N (x), lsb N (x)) = 1 | i = j − Pr D ′ (1 k , N, Q N (x), U {0,1} ) = 1 | i = j 

( [ k∑ Pr D ′ (1 k , N, Q N (x), lsb N (x)) = 1 ∧ i = j ] − Pr [ D ′ (1 k , N, Q N (x), U {0,1} ) = 1 ∧ i = j ]) 

= 

Pr [i = j] 

j=1 

( [ 

] [ 

]) 

= k· Pr D ′ (1 k , N, Q N (x), lsb N (x)) = 1 − Pr D ′ (1 k , N, Q N (x), U {0,1} ) = 1 = k·Adv dist 

A ′ ,B ′ ,D ′(k) 

für A ′ := (N, Q k N (x), lsb N(x)) und B ′ := (N, Q k N (x), U {0,1}). Nach Annahme ist Adv dist 

A ′ ,B ′ ,D ′(k) 

vernachlässigbar, weshalb auch Adv dist 

A,B,D (k) vernachlässigbar ist. 

Das Schema von Blum und Goldwasser. Wir sind nun endlich in der Lage, das PKE-Schema 

PKE BG := (Gen BG , Enc BG , Dec BG ) von Blum und Goldwasser mit Nachrichtenraum M k = {0, 1} k 

vorzustellen und als IND-CPA-sicher zu beweisen: 

Algorithmus Gen BG (1 k ) 

(N, P, Q) ← GenN(1 k ) 

(pk, sk) := (N, (P, Q)) 


Algorithmus Enc BG (pk, M) 

parse pk =: N 

x ← QR N 

y := Q k N (x) 

C := (y, BBS N (x) ⊕ M) 

return C 

Algorithmus Dec BG (sk, C) 

parse sk =: (P, Q) 

parse C =: (y, ρ) 

M := BBS N (Q −k 

N (y)) ⊕ ρ 

return M 

Dieses Schema genügt Theorem 6.1, ist also unter der Faktorisierungsannahme IND-CPA-sicher: 

Beweis von Theorem 6.1. Nehmen wir einen beliebigen PPT-Angreifer A auf die IND-CPA-Sicherheit 

von PKE BG an. Wir konstruieren aus A einen PPT-Unterscheider D mit 

Adv dist 

A,B,D(k) = Adv ind-cpa 

PKE BG ,A(k) (10) 

für A := (N, Q k N (x), BBS N(x)) und B := (N, Q k N (x), U {0,1} k). Unter der Faktorisierungsannahme 

ist nach Lemma 6.7, Theorem 6.13 und Lemma 6.14 Adv dist 

A,B,D vernachlässigbar. Es reicht also, ein 

D anzugeben, das (10) erfüllt. 

Sei D wie folgt definiert: 

20

Algorithmus D(1 k , N, y, z) (mit y ∈ QR N und z ∈ {0, 1} k ) 

pk := N 

(M 0 , M 1 , state) ← A(1 k , find, pk) 

b ← {0, 1} 

C ∗ := (y, z ⊕ M b ) 

b ′ ← A(1 k , attack, state, C ∗ ) 


else return 0 

Man beachte, daß y = Q k N (x) für unbekanntes x gilt. Unterscheiden wir nun die Fälle z = BBS N(x) 

und z = U {0,1} k. Im Fall z = BBS N (x) ist C ∗ = (y, z ⊕M b ) = (Q k N (x), BBS N(x)⊕M b ) eine ehrliche 

Verschlüsselung von M b , und D führt das IND-CPA-Experiment Exp ind-cpa 

PKE BG ,A 

mit A aus. Deshalb ist 

[ 

] [ 

] 

Pr D(1 k , N, Q k N(x), BBS N (x)) = 1 = Pr Exp ind-cpa 

PKE BG ,A (k) = 1 = Adv ind-cpa 

PKE BG ,A (k) + 1 2 . 

Gilt andererseits z = U {0,1} k, so ist auch das Chiffratelement z ⊕ M b (aus Sicht von A) unabhängig 

gleichverteilt und insbesondere unabhängig von b. Da b selbst gleichverteilt ist, folgt 

[ 

] 

Pr D(1 k , N, Q k N(x), U {0,1} k) = 1 = 1 2 . 

Insgesamt können wir also (10) und damit die IND-CPA-Sicherheit von PKE BG folgern. 

7 Aktive Sicherheit 

Motivation: sichere Auktionen. Nehmen wir eine Auktion mit Auktionator A und – der Einfachheit 

halber – nur zwei Bietern B 1 und B 2 an. Es soll die Unabhängigkeit der Gebote sichergestellt 

werden, wobei aber keine sicheren Kanäle zwischen A und B 1 bzw. A und B 2 angenommen 

werden sollen. 

Es liegt nahe, in dieser Situation auf Public-Key-Verschlüsselungstechniken zurückzugreifen. 

Etwa könnte man B 1 und B 2 ihre jeweiligen Gebote unter dem öffentlichen Schlüssel pk A von A 

verschlüsselt an A senden lassen. Nehmen wir dabei an, daß das verwendete PKE-Schema PKE = 

(Gen, Enc, Dec) IND-CPA-sicher sei. 

Man könnte nun hoffen, daß die IND-CPA-Sicherheit von PKE sicherstellt, daß das Gebot M 2 

von B 2 unabhängig vom Gebot M 1 von B 1 abgegeben wird, selbst wenn B 2 vor Abgabe des Gebots 

C 1 = Enc(pk A , M 1 ) erfährt. Immerhin sichert die IND-CPA-Sicherheit von PKE zu, daß B 2 durch 

C 1 keine verwertbare (bzw. effizient nutzbare) Information über M 1 erhält. 

Allerdings ist hier Vorsicht geboten: Nehmen wir beispielsweise an, daß das (unter der DDH- 

Annahme) IND-CPA-sichere ElGamal-Schema PKE = PKE ElG verwendet wird. Nehmen wir weiter 

an, daß eine Gruppe G ⊆ Z p für geeignetes p verwendet wird, und daß Gebote M i ∈ G auf 

naheliegende Weise als Ganzzahlen M i ∈ {0, . . . , p − 1} interpretiert werden. Man beachte nun, daß 

ElGamal homomorph in dem Sinne 

Enc(pk, M; r) · Enc(pk, M ′ ; r ′ ) = (g r , X r · M) · (g r′ , X r′ · M ′ ) 

= (g r+r′ , X r+r′ · MM ′ ) = Enc(pk, MM ′ ; r + r ′ ) 

21

ist, so daß insbesondere 

Enc(pk A , M 1 ; r) · Enc(pk A , 2; r ′ ) = Enc(pk A , 2M 1 , r + r ′ ) 

gilt. 1 Anders gesagt: Ein unehrlicher Bieter B 2 kann zunächst das verschlüsselte Gebot C 1 = 

Enc(pk A , M 1 ) abwarten, dieses mit einer 2-Verschlüsselung multiplizieren und das erhaltene Chiffrat 

als eigenes verschlüsseltes Gebot abgeben. Auf diese Weise kann B 2 den Bieter B 1 sicher überbieten 

(vorausgesetzt, daß M 1 < p/2 ist), ohne allerdings zu wissen, worauf er geboten hat. 

Man beachte, daß B 2 in diesem Fall einen aktiven Angriff durchführt, also nicht nur abhört, 

sondern anschließend aktiv in das Geschehen eingreift. Offenbar reicht also IND-CPA-Sicherheit 

nicht aus, um (zumindest intuitiv) Sicherheit gegen aktive Angreifer zu garantieren. 

Non-Malleability. Im Hinblick auf das gerade vorgestellte Auktionsbeispiel sollte ein intuitiv 

sicheres“ PKE-Schema die Eigenschaft haben, daß sich aus gegebenen Chiffraten keine neuen ” 

Chiffrate von verwandten“ Klartexten konstruieren lassen. Diese spezielle Eigenschaft heißt Non- 

” 

Malleability und wurde zuerst 1991 formalisiert. Wir werden hier Non-Malleability nicht weiter 

thematisieren, da es nur einen Zwischenschritt auf der Suche nach dem“ universellen Sicherheitsbegriff 

für PKE-Schemata ” 

darstellt. 

Gründe für IND-CCA-Sicherheit. Stattdessen werden wir IND-CCA-Sicherheit vorstellen, 

eine Variante von IND-CPA-Sicherheit. Ohne zunächst näher darauf einzugehen, wie IND-CCA- 

Sicherheit überhaupt definiert ist, sollen hier Gründe vorgestellt werden, warum wir uns im folgenden 

auf IND-CCA-Sicherheit konzentrieren: 

Realisiert sichere Kanäle. Die Untersuchung komplexer Protokolle gestaltet sich einfacher und 

modularer, wenn man zunächst sichere Kanäle zwischen einigen oder allen Parteien annimmt, 

und diese erst später durch PKE-Verschlüsselung implementiert. In diesem Zusammenhang 

stellt sich heraus, daß IND-CCA-Sicherheit genau sichere Kanäle gegen aktive Angreifer realisiert. 

(Damit ist gemeint: Ein IND-CCA-sicheres PKE-Schema kann anstelle von sicheren 

Kanälen in jedem größeren Protokoll genutzt werden, ohne die Sicherheitseigenschaften des 

größeren Protokolls zu beeinflussen. Umgekehrt ist jedes PKE-Schema mit dieser Eigenschaft 

schon IND-CCA-sicher.) 

Impliziert zahlreiche andere Begriffe. Es wurden viele zu IND-CCA-Sicherheit äquivalente 

oder zumindest von IND-CCA-Sicherheit implizierte natürliche PKE-Sicherheitsbegriffe gefunden. 

Hierzu gehört beispielsweise Non-Malleability. Diese Äquivalenzen sollen später noch 

einmal kurz beleuchtet werden, wenn wir IND-CCA-Sicherheit definiert haben. 

Kann unter Standardannahmen erfüllt werden. Es existieren effiziente PKE-Schemata, die 

unter der Faktorisierungsannahme, der DDH- oder der CDH-Annahme IND-CCA-sicher sind. 

In diesem Sinne fordert IND-CCA-Sicherheit nicht zu viel“. Derartige Schemata sollen im 

” 

Verlauf der Vorlesung noch vorgestellt werden. 

Standard in der Literatur. Aus den oben genannten Gründen hat sich mittlerweile IND-CCA- 

Sicherheit als Standardbegriff für PKE-Schemata herauskristallisiert. 

Definition von IND-CCA-Sicherheit. IND-CCA-Sicherheit steht für indistinguishability under 

chosen-ciphertext attacks“ und stellt eine Verschärfung von IND-CPA-Sicherheit dar. ” 

Tatsächlich 

1 Der Einfachheit halber nehmen wir 2 ∈ G und M 1 < p/2 an. 

22

unterscheiden sich die Sicherheitsexperimente von IND-CPA- und IND-CCA-Sicherheit nur in den 

Möglichkeiten des Angreifers. Genauer steht einem IND-CCA-Angreifer ein Entschlüsselungsorakel 

Dec(sk, ·) zur Verfügung, welches beliebige Eingaben C ≠ C ∗ entschlüsselt, wobei C ∗ das von A im 

Experiment erhaltene Chiffrat bezeichnet. (Es ist einfach einzusehen, daß kein Schema sicher wäre, 

wenn A auch die Entschlüsselung von C ∗ erfragen dürfte.) Wir geben im folgenden die vollständige 

IND-CCA-Definition wieder, wobei die Unterschiede zur IND-CPA-Definition (Definition 4.3) unterstrichen 

sind. 

Definition 7.1 (IND-CCA). Sei PKE = (Gen, Enc, Dec) ein PKE-Schema. Sei A ein PPT-Algorithmus. 

Sei 

[ 

] 

Adv ind-cca 

PKE,A (k) := Pr ExpPKE,A ind-cca (k) = 1 − 1 2 , 

wobei das Experiment Exp ind-cca 

PKE,A wie folgt definiert ist: 

Experiment Exp ind-cca 

PKE,A (k) 

(pk, sk) ← Gen(1 k ) 

(M 0 , M 1 , state) ← A Dec(sk,·) (1 k , find, pk) 

b ← {0, 1} 

C ∗ ← Enc(pk, M b ) 

b ′ ← A Dec(sk,·) (1 k , attack, state, C ∗ ) 


else return 0 

A heißt gültig, wenn es in Exp ind-cca 

PKE,A immer |M 0| = |M 1 | garantiert und sein Dec-Orakel nie mit 

Eingabe C ∗ aufruft. PKE ist IND-CCA-sicher (für indistinguishable under chosen-ciphertext attacks“), 

falls für jedes gültige A die Funktion AdvPKE,A ind-cca (k) vernachlässigbar ” 

ist. 

Offensichtlich impliziert IND-CCA-Sicherheit schon IND-CPA-Sicherheit. (Jeder gültige IND- 

CPA-Angreifer kann als gültiger IND-CCA-Angreifer interpretiert werden, der seinen Orakelzugriff 

nicht nutzt.) 

Lemma 7.2 (IND-CCA ⇒ IND-CPA). Jedes PKE-Schema PKE, welches IND-CCA-sicher ist, ist 

auch IND-CPA-sicher. 

Die Umkehrung gilt allerdings nicht, wie das folgende Beispiel zeigt. 

Beispiel: IND-CCA-Unsicherheit von ElGamal. Man rufe sich das PKE-Schema PKE ElG = 

(Gen ElG , Enc ElG , Dec ElG ) in einer Gruppe G ins Gedächtnis. Wie schon im Auktionsbeispiel besprochen 

gilt 

Enc(pk, M; r) · Enc(pk, 1; r ′ ) = Enc(pk, M; r + r ′ ). 

Ist r ′ ≠ 0 so gilt insbesondere Enc(pk, M; r) ≠ Enc(pk, M; r + r ′ ). Ein IND-CCA-Angreifer A auf 

PKE ElG kann also sein Dec-Orakel mit C := C ∗ · Enc(pk, 1; r ′ ) für beliebiges r ′ ≠ 0 aufrufen und so 

die verschlüsselte Nachricht M b erhalten. Wählt A anfangs zwei beliebige verschiedene Nachrichten 

M 0 ≠ M 1 , so können deren Chiffrate mittels Dec demnach einfach unterschieden werden. 

23

Äquivalente Sicherheitsbegriffe. Für einen universellen“ Sicherheitsbegriff mag IND-CCA- 

” 

Sicherheit etwas zu simpel anmuten. Man könnte etwa vermuten, daß einem Angreifer in realen 

Szenarien mehr als ein Challenge“-Chiffrat C ∗ zur Verfügung steht. Zudem könnten in einem 

” 

komplexen Kontext mehrere öffentliche Schlüssel benutzt werden. Man stelle sich nun einen Sicherheitsbegriff 

vor, in dem einem Angreifer eine beliebige (polynomielle) Anzahl p pk (k) bzw. p C (k) 

von öffentlichen Schlüsseln pk i und Challenge-Chiffraten Ci,j ∗ angeboten werden. (Jedes Chiffrat C∗ i,j 

enthält dabei einen von zwei jeweils neu vom Angreifer gewählten Klartexten M i,j,0 bzw. M i,j,1 .) Der 

Angreifer A wählt schließlich einen öffentlichen Schlüssel pk i und einen Chiffrat-Index j aus und rät, 

ob Ci,j ∗ = Enc(pk i, M i,j,0 ) oder Ci,j ∗ = Enc(pk i, M i,j,1 ) gilt. Das Schema sei Multi-IND-CCA-sicher, 

wenn jeder PPT-Angreifer A hierbei einen Erfolgswahrscheinlichkeit hat, die vernachlässigbar nahe 

an 1/2 liegt. 

Überraschenderweise ist Multi-IND-CCA-Sicherheit äquivalent zu IND-CCA-Sicherheit. Offenbar 

impliziert Multi-IND-CCA-Sicherheit schon IND-CCA-Sicherheit. Der Beweis der Umkehrung 

soll hier – schon aufgrund einer nicht gegebenen formalen Definition von Multi-IND-CCA-Sicherheit 

– nur skizziert werden. Für die Umkehrung muß ein Multi-IND-CCA-Angreifer A in einen IND- 

CCA-Angreifer B mit vergleichbarer Laufzeit und Erfolgswahrscheinlichkeit überführt werden. Hierzu 

rät B den Index (i ∗ , j ∗ ) des von A schließlich angegriffenen Chiffrats gleichverteilt und 

• übernimmt den öffentlichen Schlüssel pk i ∗ := pk und das Chiffrat Ci ∗ ∗ ,j ∗ := C∗ des eigenen 

IND-CCA-Experiments, und 

• wählt alle verbleibenden öffentlichen Schlüssel pk i (mit i ≠ i ∗ ) und Chiffrate Ci,j ∗ (mit (i, j) ≠ 

(i ∗ , j ∗ )) selbst. 

War (i ∗ , j ∗ ) richtig geraten, so kann Bs eigenes Experiment in As Multi-IND-CCA-Szenario eingebettet 

werden, und A löst genau Bs eigene Aufgabe. War (i ∗ , j ∗ ) nicht die von A schließlich gewählte 

Chiffrat-Instanz, so muß B abbrechen – sagen wir, daß B dann 0 ausgibt. Informell gesprochen ist 

B also genau dann erfolgreich, wenn (i ∗ , j ∗ ) richtig geraten wurde (was mit Wahrscheinlichkeit 

1/(p pk (k)p C (k)) geschieht) und A erfolgreich war. So kann eingesehen werden, daß für As Vorteil 

im Multi-IND-CCA-Experiment gilt, daß 

Adv multi-ind-cca 

PKE,A 

Adv ind-cca 

PKE,B 

Advmulti-ind-cca 

PKE,A (k) 

(k) = 

p pk (k)p C (k) 

ist; insbesondere ist Adv ind-cca 

PKE,B genau dann vernachlässigbar, wenn Advmulti-ind-cca 

PKE,A vernachlässigbar 

ist. Die IND-CCA-Sicherheit eines PKE-Schemas zieht deshalb Multi-IND-CCA-Sicherheit nach 

sich. 

Nur erwähnt sei hier schließlich, daß IND-CCA-Sicherheit auch Non-Malleability (im oben beschriebenen 

Sinne) impliziert. 

Die Schwierigkeit beim Beweis von IND-CCA-Sicherheit. Nehmen wir an, wir wollen 

die Sicherheit eines gegebenen PKE-Schemas unter der Annahme beweisen, daß ein Problem P 

schwer ist. In den vorangegangenen Beispiel haben wir dazu einen beliebigen IND-CPA-Angreifer 

A umgewandelt in einen P-Problemlöser B mit vergleichbarem Angriffs- bzw. Lösungserfolg. Aus 

der Annahme, daß P schwer zu lösen ist, folgt, daß B nur vernachlässigbaren Erfolg im Lösen 

von P hat. Hieraus wiederum folgt, daß A auch nur vernachlässigbaren Erfolg im Brechen des 

PKE-Schemas hat. 

24

Vereinfacht gesagt wird hierbei B aus A konstruiert, indem B bei Eingabe einer Probleminstanz 

P von P das jeweilige PKE-Sicherheitsexperiment für A simuliert. B muß also aus der eigenen Aufgabe 

P eine passende Aufgabe für A konstruieren. Umgekehrt muß anschließend aus einer Lösung 

(bzw. eines erfolgreichen Angriffs) von A eine Lösung von P konstruiert werden. B kann also als 

zwischen Probleminstanzen und -lösungen im Sinne von P und dem Sicherheitsexperiment 

des PKE-Schemas gesehen werden. 

”Übersetzer“ 

Ein sehr einfaches Beispiel ist hier die OW-CPA-Sicherheit des ElGamal-Kryptosystems unter 

der CDH-Annahme. In diesem Fall ist eine Aufgabe P der Form (g, g x , g y ), und die gültige Lösung 

ist g xy . Um aus einem ElGamal-Angreifer A eine Lösung zu gewinnen kann ein Problemlöser B 

die Aufgabe (g, g x , g y ) wie im Beweis von Theorem 5.5 in einen öffentlichen Schlüssel pk := (g, g x ) 

und ein Chiffrat C := (g y , Z) des ElGamal-Schemas umwandeln. Durch diese Übersetzung kann aus 

einem erfolgreichen OW-CPA-Angreifer A, der einen Klartext M = Z/g xy findet, die Problemlösung 

g xy gewonnen werden. 

Die zugehörige Übersetzung etwa zwischen dem Faktorisierungsproblem und der IND-CPA- 

Sicherheit des Blum-Goldwasser-Schemas ist zwar ungleich komplizierter, läßt sich jedoch modular 

aus den Beweisen von Lemma 6.7, Theorem 6.13, Lemma 6.14 und Theorem 6.1 gewinnen. In allen 

bisher behandelten Fällen ist diese Übersetzung dergestalt, daß eine Instanz P des Problems P 

in einen öffentlichen Schlüssel pk und ein Chiffrat C übersetzt wird. Den zugehörigen geheimen 

Schlüssel (etwa x im Falle von ElGamal, oder die Faktorisierung von N bei dem Blum-Goldwasser- 

Schema) kennt B dabei nicht. Man mache sich klar, daß dies auch widersinnig wäre: würde B den 

geheimen Schlüssel sk kennen, so bräuchte B auch A nicht, sondern könnte selbst die Sicherheit 

des simulierten“ PKE-Schemas brechen. B kann nur dann von A nützliche Hilfe beim Lösen von 

” 

P erwarten, wenn B selbst die konstruierte PKE-Instanz nicht brechen kann. 

Wollen wir nun die IND-CCA-Sicherheit eines gegebenen Schemas unter einer geeigneten Annahme 

P beweisen, so bietet sich wieder an, mittels eines wie oben beschriebenen B gegebene 

P-Instanzen P in eine Instanz des IND-CCA-Sicherheitsexperiments zu übersetzen. Hierbei stellt 

sich folgendes Problem: kennt B den zugehörigen geheimen Schlüssel sk, so kann B nicht hoffen, 

aus einem erfolgreichen Angriff durch A nützliche Informationen im Hinblick auf P zu gewinnen. 

(B könnte ja mittels sk selbst einen erfolgreichen Angriff konstruieren.) Kennt B andererseits sk 

nicht, so ist vollkommen unklar, wie B das Entschlüsselungsorakel Dec(sk, ·) für A nachbilden soll. 

(Man rufe sich in Erinnerung, daß A bei Ausführung erwartet, Zugriff auf ein Orakel Dec(sk, ·) zu 

haben, welches beliebige Chiffrate – außer dem Ziel“-Chiffrat C ∗ – entschlüsselt.) 

” 

Diese Schwierigkeit in der Konstruktion von B (bzw. der durch B durchgeführten Simulation des 

IND-CCA-Experiments) ist der Hauptgrund dafür, daß das erste praktikable und vollständig als 

IND-CCA-sicher bewiesene PKE-Schema erst 1998, mehr als 15 Jahre nach Vorstellung des ersten 

IND-CPA-sicheren Schemas, vorgestellt wurde. 

Im Verlauf der Vorlesung sollen verschiedene Strategien vorgestellt werden, das beschriebene 

Dilemma zu umgehen. 

8 Das Schema von Naor und Yung 

Zunächst soll eine generische Methode vorgestellt werden, IND-CCA-Sicherheit zu erreichen, und 

insbesondere das soeben beschriebene Dilemma der Simulation des Entschlüsselungsorakels zu umgehen. 

Obwohl dieses Schema nicht praktikabel (also recht ineffizient) ist, stellte es doch eine 

25

maßgebliche Inspiration für spätere, effizientere Schemata dar. Deshalb soll hier zumindest die 

Grundidee der Naor-Yung-Konstruktion erläutert werden. 

Nichtinteraktive Beweissysteme. Das zu beschreibende Schema benutzt ein technisches Hilfsmittel, 

das wir aufgrund seiner Komplexität hier nicht formal behandeln wollen. Es handelt sich 

um Simulation-Sound Non-Interactive Zero-Knowledge Proofs (SS-NIZKs) for NP – eine Variante 

von nichtinteraktiven Zero-Knowledge-Beweisen für allgemeine NP-Sprachen. NIZKs für NP 

sind mächtige Werkzeuge, die es erlauben – intuitiv gesprochen – Beweise für die Korrektheit von 

beliebigen NP-Instanzen zu zeigen (etwa dieser Graph ist drei-färbbar“), ohne dabei jedoch Information 

über den zugehörigen Zeugen (etwa die konkrete Drei-Färbung) zu veröffentlichen. Die 

” 

Definition von SS-NIZKs soll hier nur skizziert werden: 

Definition 8.1 ((SS-)NIZK, Skizze). Sei L ∈ NP eine Sprache mit PPT-Zeugenrelation R. (Das 

heißt: x ∈ L ⇔ ∃w ∈ {0, 1} p(|x|) : R(x, w) = 1 für ein geeignetes, festes Polynom p.) Ein 

Simulation-Sound Non-Interactive Zero-Knowledge Proof System (SS-NIZK) für L besteht aus drei 

Algorithmen: 

Setup. Setup(1 k ) generiert einen Common Reference String CRS. 

Beweis. Prove(CRS, x, w) gibt einen Beweis π aus. 

Verifikation. Verify(CRS, x, π) gibt 0 oder 1 aus. 

Wir fordern 

Vollständigkeit. Prove generiert im Sinne von Verify korrekte Beweise. 

Zero-Knowledge. Es existiert ein PPT-Algorithmus Sim, der bei Eingabe x ∈ L einen Common 

Reference String CRS und einen Beweis π ausgibt. Sowohl CRS als auch π sind dabei nicht 

von echten, mittels Prove generierten Beweisen zu unterscheiden. 

(Simulation-)Soundness. Es ist schwierig, einen im Sinne von Verify korrekten Beweis π für 

eine falsche Aussage x ∉ L zu finden. Dies gilt selbst dann, wenn CRS von Sim generiert 

wurde, und schon ein von Sim generierter Beweis für ein vom Angreifer gewähltes x vorliegt. 

Es existieren Konstruktionen von SS-NIZKs für NP-vollständige Sprachen (und damit für beliebige 

NP-Sprachen). Diese sind allerdings überaus ineffizient, allein schon wegen der üblicherweise 

nötigen (Karp-)Reduktion einer gegebenen Sprache L ∈ NP zu der ” 

nativen“ NP-vollständigen 

Sprache des SS-NIZKs. 

Die Konstruktion. Als Zutat benötigen wir ein IND-CPA-sicheres PKE-Schema PKE CPA = 

(Gen CPA , Enc CPA , Dec CPA ). Weiter definieren wir eine Sprache L NY wie folgt: 

L NY := {(pk 1 , pk 2 , C 1 , C 2 ) | ∃M, R 1 , R 2 : C 1 = Enc(pk 1 , M; R 1 ) ∧ C 2 = Enc(pk 2 , M; R 2 )} 

Elemente von L NY beschreiben also genau Paare von Chiffraten derselben Nachricht. Zugehörige 

Zeugen können dabei einfach der Form (M, R 1 , R 2 ) sein. Für das Naor-Yung-Schema benötigen wir 

ein SS-NIZK für L NY . 

Nach diesen Vorbereitungen kann das PKE-Schema PKE NY = (Gen NY , Enc NY , Dec NY ) von Naor 

und Yung wie folgt beschrieben werden: 

26

Algorithmus Gen NY (1 k ) 

(pk 1 , sk 1 ) ← Gen CPA (1 k ) 

(pk 2 , sk 2 ) ← Gen CPA (1 k ) 

CRS ← Setup(1 k ) 

pk := (pk 1 , pk 2 , CRS) 

sk := (pk, sk 1 ) 


Algorithmus Enc NY (pk, M) 

parse pk =: (pk 1 , pk 2 , CRS) 

C 1 ← Enc CPA (pk 1 , M; R 1 ) 

C 2 ← Enc CPA (pk 2 , M; R 2 ) 

x := (pk 1 , pk 2 , C 1 , C 2 ) 

w := (M, R 1 , R 2 ) 

π ← Prove(CRS, x, w) 

C := (C 1 , C 2 , π) 

return C 

Algorithmus Dec NY (sk, C) 

parse sk =: (pk, sk 1 ) 

parse pk =: (pk 1 , pk 2 , CRS) 

parse C =: (C 1 , C 2 , π) 

x := (pk 1 , pk 2 , C 1 , C 2 ) 

M := Dec CPA (sk 1 , C 1 ) 

if Verify(CRS, x, π) = 1 

return M 

else return ⊥ 

Intuitiv handelt es sich hierbei also einfach um eine ” 

Doppelverschlüsselung“: Die Nachricht 

M wird zwei Mal, unter verschiedenen öffentlichen Schlüsseln pk 1 und pk 2 , verschlüsselt. Weiter 

wird das Chiffrat mit einem Beweis versehen, daß wirklich zweimal dieselbe Nachricht verschlüsselt 

wurde. Der Zweck dieses auf den ersten Blick unnütz erscheinenden Vorgehens wird beim Sicherheitsbeweis 

deutlich, den wir hier nur skizzieren wollen. 

Theorem 8.2 (Sicherheit von PKE NY ). Unter der Annahme, daß das verwendete Beweissystem 

ein SS-NIZK ist, und daß das verwendete PKE-Schema PKE CPA IND-CPA-sicher ist, ist PKE NY 

IND-CCA-sicher. 

(Für Interessierte: Ein vollständiger Beweis einer abgeschwächten IND-CCA-Sicherheit – IND- 

CCA1-Sicherheit, siehe Definition 9.3 – findet sich in [6]. Erst später wurde auch die volle IND-CCA- 

Sicherheit des Schemas gezeigt, sofern der verwendete NIZK die Simulation-Soundness-Eigenschaft 

hat [7].) 

Beweis. (Skizze.) Sei ein beliebiger IND-CCA-Angreifer A auf PKE NY gegeben. In Abkehr von 

unseren bisherigen Sicherheitsbeweisen verfahren wir dabei in einer Folge von Spielen. Wir beginnen 

dabei damit, das IND-CCA-Experiment ExpPKE ind-cca 

NY ,A mit A als Spiel 1 zu definieren. Die Ausgabe 

out 1 von Spiel 1 ist dabei die Ausgabe von Exp ind-cca 

PKE NY ,A. Nach Definition gilt also 

[ 

] 

Pr [out 1 = 1] = Pr Exp ind-cca 

PKE NY ,A (k) = 1 . 

Ziel ist es, zu zeigen, daß Pr [out 1 = 1] nahe an 1/2 liegt. Unser Plan dazu sieht wie folgt aus: 

Wir werden schrittweise eine Reihe von Veränderungen an Spiel 1 vornehmen, die zu Spiel 2, 

Spiel 3, usw. führen. Bei jeder dieser Veränderungen werden wir zeigen, daß diese Veränderung 

die Ausgabewahrscheinlichkeit Pr [out i = 1] nur unwesentlich ändert. Schließlich werden wir bei 

einem Spiel n ankommen, bei dem Pr [out n = 1] = 1/2 nach Konstruktion einfach einzusehen ist. 

Dies impliziert, daß Pr [out 1 = 1] − 1/2 vernachlässigbar ist, da jeder unserer Schritte out i nur in 

vernachlässigbarer Weise ändert. 

Wir bezeichnen mit C ∗ = (C ∗ 1 , C∗ 2 , π∗ ) das ” 

Zielchiffrat“ im IND-CCA-Experiment, also das 

vom Experiment konstruierte Chiffrat von M b . Der Einfachheit halber nehmen wir an, daß |M 0 | = 

|M 1 | = k ist. (Ist dem nicht so, so kann der Beweis entsprechend modifiziert werden.) 

In Spiel 2 ersetzen wir CRS im öffentlichen Schlüssel und den Beweis π ∗ in C ∗ durch die Ausgabe 

eines Simulators Sim (der nach Annahme über den SS-NIZK existiert). Effekt dieser Veränderung 

ist, daß zum Erstellen von π ∗ kein Zeuge (M b , R ∗ 1 , R∗ 2 ) mehr benötigt wird. Insbesondere wird R∗ 2 

27

ausschließlich zum Erstellen von C2 ∗ verwendet. Da nach Annahme Sim ununterscheidbare CRS- 

Werte und Beweise erzeugt, ist 

Pr [out 2 = 1] − Pr [out 1 = 1] 

vernachlässigbar. 

In Spiel 3 ersetzen wir das zweite Teilchiffrat C ∗ 2 von C∗ durch ein Chiffrat von 0 k . Man beachte, 

daß weder R ∗ 2 noch sk 2 in Spiel 2 oder Spiel 3 benutzt werden. (Entschlüsseln von PKE NY -Chiffraten 

geschieht nur mittels sk 1 .) Deshalb kann aus jedem Unterscheider zwischen Spiel 2 und Spiel 3 ein 

IND-CPA-Angreifer B auf PKE CPA konstruiert werden, und es folgt, daß 

Pr [out 3 = 1] − Pr [out 2 = 1] 

vernachlässigbar ist. Interessant an diesem Schritt ist, daß in Spiel 3 das Chiffrat inkonsistent (im 

Sinne x ∗ = (pk 1 , pk 2 , C ∗ 1 , C∗ 2 ) ∉ L NY) ist. Der zugehörige Konsistenzbeweis π ∗ wird dabei – wie in 

Spiel 2 – von Sim ohne einen Zeugen w generiert. Aufgrund der Ununterscheidbarkeit von Spiel 2 

und Spiel 3 bedeutet dies insbesondere, daß der Simulator Sim in der Lage ist, gültige Beweise π ∗ 

für falsche Aussagen x ∗ ∉ L NY zu erzeugen. Dies widerspricht nicht der (Simulation-)Soundness 

des SS-NIZK, da Sim geeignete Common Reference Strings CRS generieren darf. (Die Soundness 

des SS-NIZK gilt nur gegen Angreifer, die einen ehrlich mittels Setup generierten CRS vorgesetzt 

bekommen.) 

In Spiel 4 verwenden wir sk 2 statt sk 1 in Dec NY . Es wird also nur der Beweis π des eingegebenen 

Chiffrats überprüft und dann (gegebenenfalls) C 2 entschlüsselt. Um einen Unterschied zwischen 

Spiel 3 und Spiel 4 zu entdecken, müßte ein Unterscheider ein Chiffrat C mit gültigem Beweis 

π, aber Chiffraten C 1 , C 2 von verschiedenen Klartexten erzeugen und entschlüsseln lassen. Genau 

das würde aber der Simulation-Soundness des verwendeten Beweissystems widersprechen, und wir 

können folgern, daß 

Pr [out 4 = 1] − Pr [out 3 = 1] 

vernachlässigbar ist. Man beachte, daß in Spiel 4 nur sk 2 , nicht aber sk 1 verwendet wird. 

In Spiel 5 ersetzen wir das erste Teilchiffrat C ∗ 1 von C∗ durch ein Chiffrat von 0 k . Analog zu 

Spiel 3 ergibt sich, daß die Vernachlässigbarkeit von 

Pr [out 5 = 1] − Pr [out 4 = 1] 

aus der IND-CPA-Sicherheit von PKE CPA folgt. 

Nun sind wir am Ziel: in Spiel 5 wurden beide Teilchiffrate von C ∗ durch Chiffrate von 0 k 

ersetzt; damit hängt C ∗ und damit die gesamte Sicht von A nicht mehr von dem vom IND-CCA- 

Experiment gewählten Bit b ab. Anders gesagt: A erhält keine Information darüber, ob M 0 oder 

M 1 verschlüsselt werden sollte. Gehen wir ohne Beschränkung der Allgemeinheit davon aus, daß A 

immer ein Bit ausgibt, so folgt damit 

Zusammenfügen der Teilschritte ergibt, daß 

Pr [out 5 = 1] = 1/2. 

Adv ind-cca 

PKE NY ,A (k) = Pr [ 

Exp ind-cca 

PKE NY ,A (k) = 1 ] 

− 1/2 = Pr [out 1 = 1] − Pr [out 5 = 1] 

vernachlässigbar ist, woraus (weil A beliebig gewählt war) die IND-CCA-Sicherheit von PKE NY 

folgt. 

28

Interpretation. Zurückkehrend zum vorigen Abschnitt könnte man sich nun fragen, wie genau 

eigentlich das beschriebene Dilemma ohne sk kein Dec(sk, ·)-Orakel, mit sk Angriff nutzlos“ im 

” 

Falle des Naor-Yung-Schemas aufgelöst wird. Nennen wir dazu ein PKE NY -Chiffrat C = (C 1 , C 2 , π) 

konsistent, wenn C 1 und C 2 tatsächlich Chiffrate derselben Nachricht M sind und π gültig im Sinne 

von Verify ist. Dann besitzen wir im Beweis von Theorem 8.2 (also in jedem Spiel) einen geheimen 

Schlüssel, mit dem konsistente Chiffrate entschlüsselt werden können. In den Spielen Spiel 1 bis Spiel 

3 ist dies sk 1 , und in den Spielen Spiel 4 und Spiel 5 ist dies sk 2 . Allerdings ist in den Spielen Spiel 3 

und Spiel 4 das Zielchiffrat C ∗ selbst inkonsistent. (Denn hier ist C 1 eine Chiffrat von M b und C 2 ein 

Chiffrat von 0 k .) Kern des Sicherheitsarguments ist also, dem Angreifer A ein inkonsistentes Chiffrat 

vorzusetzen, bei dem der geheime Schlüssel des Spiels zu diesem Zeitpunkt nicht funktionieren 

würde. Auf diese Weise können wir auf der einen Seite A dazu benutzen, ein zugrundeliegendes 

Problem zu lösen (hier: die IND-CPA-Sicherheit von PKE CPA zu brechen), ohne jedoch in der 

Simulation selbst das Problem lösen zu können. Beispielsweise kann jeder Unterscheider zwischen 

Spiel 2 und Spiel 3 dazu benutzt werden, um die zweite PKE CPA -Instanz (mit öffentlichem Schlüssel 

pk 2 ) zu brechen. (Man beachte, daß in diesen Spielen das Experiment selbst nicht in der Lage ist, 

pk 2 -Chiffrate zu entschlüsseln.) 

9 Das Schema von Cramer und Shoup 

Motivation. Das Schema von Naor und Yung ist durch die Verwendung von generischen Zero- 

Knowledge-Beweisen recht ineffizient. Um diesem Hauptnachteil entgegenzuwirken soll nun ein 

PKE-Schema mit einem ähnlichen Grundkonzept vorgestellt werden, das jedoch eine sehr effiziente 

Art von Konsistenzbeweis“ verwendet. 

” 

Um die Konsistenz von Chiffraten zu beweisen wurden von Cramer und Shoup Hash Proof 

Systems (HPSs) eingeführt. Hierbei handelt es sich strenggenommen um eine Variante von (SS- 

)NIZKs, bei denen der Verifier (also derjenige, der den Beweis überprüft) einen geheimen Schlüssel 

besitzt. (Man rufe sich in Erinnerung, daß im Falle des Naor-Yung-Schemas der Verifier letztlich 

der Empfänger war, der ohnehin über einen geheimen Schlüssel verfügt.) 

Subset-Membership-Probleme. Im folgenden betrachten wir eine Sprache L ⊆ X mit endlichem 

X, wobei L und X vom Sicherheitsparameter k abhängen dürfen. Man fixiere weiter eine 

PPT-Zeugenrelation R für L, so daß wie üblich x ∈ L ⇔ ∃w ∈ {0, 1} p(|x|) : R(x, w) = 1 gilt. Wir 

werden im folgenden implizit voraussetzen, daß es effizient möglich ist, gleichverteilt ein Element 

x ∈ L zusammen mit einem passenden Zeugen w mit R(x, w) = 1 zu ziehen. Außerdem soll es effizient 

möglich sein, gleichverteilt aus der Menge X \ L zu ziehen. Das Subset-Membership-Problem 

(SMP) L ⊆ X bezeichnet das Problem, die Gleichverteilung auf L von der Gleichverteilung auf 

X \ L zu unterscheiden. Genauer: 

Definition 9.1 (Subset-Membership-Problem). Wir sagen, daß das Subset-Membership-Problem 

L ⊆ X hart ist (geschrieben L ≈ c X \ L), falls für jeden PPT-Algorithmus D 

[ 

] [ 

] 

Pr D(1 k , x) = 1 | x ← L − Pr D(1 k , x) = 1 | x ← X \ L 


29

Beispiel: die Diffie-Hellman-Sprache. Für ein einfaches und überaus ergiebiges SMP fixiere 

man eine Familie von zyklischen Gruppen G primer Ordnung q und wähle zufällig zwei Generatoren 

g, h ∈ Gens G . (Wir gehen davon aus, daß G und g, h öffentlich bekannt sind, also als zusätzliche 

Eingabe eines etwaigen SMP-Unterscheiders angesehen werden können.) Man setze 

L g,h := {(g r , h r ) | r ∈ N} . 

Unter der DDH-Annahme ist das SMP L g,h ⊆ G × G (für zufällige g, h) hart: Die DDH-Annahme 

besagt 

(g, g x , g y , g xy ) c ≈ (g, g x , g y , g z ) 

Setzen wir h := g x , so ist (g, g x , g y , g xy ) = (g, h, G, H) mit (G, H) ∈ L g,h und (g, g x , g y , g z ) = 

(g, h, G, H) mit gleichverteiltem (G, H) ∈ G × G. Weil die Gleichverteilung auf X = G × G (sogar 

statistisch) ununterscheidbar von der Gleichverteilung auf X\L g,h ist, 2 existiert deshalb eine direkte 

Korrespondenz zwischen DDH- und SMP-Unterscheidern. 

Hash Proof Systems. Intuitiv ist ein Hash Proof System (für eine Sprache L ⊆ X mit Zeugenrelation 

R) ein Beweissystem für L, d.h. für Aussagen der Form x ∈ L. Genauer: 

Definition 9.2 (Hash Proof System). Ein Hash Proof System HPS für L ⊆ X und mit Schlüsselmenge 

K besteht aus den folgenden Algorithmen: 

Schlüsselgenerierung. HGen(1 k ) gibt einen öffentlichen Schlüssel pk HPS und einen geheimen Verifikationsschlüssel 

vk HPS aus. 

Öffentliche Evaluierung. PubEval(pk HPS , x, w) gibt einen eindeutigen Schlüssel K ∈ K aus. 

Geheime Evaluierung. PrivEval(vk HPS , x) gibt einen eindeutigen Schlüssel K ∈ K aus. 

Wir fordern für alle k ∈ N das folgende: 

Vollständigkeit. Für alle möglichen (pk HPS , vk HPS ) ← HGen(1 k ) und alle (x, w) ∈ {0, 1} k × 

{0, 1} p(k) mit R(x, w) = 1 gilt immer: 

PubEval(pk HPS , x, w) = PrivEval(vk HPS , x). 

Special Soundness. Für alle pk HPS im Bild von HGen(1 k ), alle x ∉ L und alle K ∈ K gilt: 

Pr [PrivEval(vk HPS , x) = K | pk HPS ] = 1 

|K| , 

wobei hier die Wahrscheinlichkeit über alle vk HPS mit (pk HPS , vk HPS ) ← HGen(1 k ) gemeint 

ist. (Es wird also auf pk HPS , nicht aber auf vk HPS konditioniert.) 

Die Namensgebung Hash Proof System ist wie folgt zu erklären. Es handelt sich zunächst bei 

einem Hash Proof System um ein Beweissystem für L, da ein Schlüssel K als Beweis für eine Aussage 

x ∈ L interpretiert werden kann. Mit dem öffentlichen Schlüssel pk HPS ist nämlich aus einem 

Zeugen w für x ∈ L leicht ein passender Schlüssel K = PubEval(pk HPS , x, w) berechenbar. Dieser 

Schlüssel kann vom Beweisempfänger mittels K ? = PrivEval(vk HPS , x) auf Gültigkeit überprüft 

werden. Andererseits läßt sich für eine falsche Aussage x ∉ L nicht erraten, welches der einzige 

gültige Schlüssel K = PrivEval(vk HPS , x) ist, der den Empfänger von der Korrektheit der Aussage 

überzeugen würde. 

2 Genauer: Es ist leicht einzusehen, daß der statistische Abstand zwischen den Zufallsvariablen ” 

Gleichverteilung 

auf G × G“ und ” 

Gleichverteilung auf X \ L g,h “ 1/q ist. Andererseits muß 1/q schon für die Gültigkeit der DDH- 

Annahme vernachlässigbar (als Funktion im Sicherheitsparameter) sein. 

30

Beispiel: ein HPS für die Diffie-Hellman-Sprache. Sei G mit g, h ∈ Gens G und L g,h ⊆ G×G 

wie oben definiert. Man betrachte die folgenden Algorithmen: 

Schlüsselgenerierung. HGen(1 k ) wählt a, b ← [q] und gibt pk HPS := u := g a h b und vk HPS = (a, b) 

aus. 

Öffentliche Evaluierung. PubEval(pk HPS , (g r , h r ), r) gibt K := u r aus. 

Geheime Evaluierung. PrivEval(vk HPS , (G, H)) gibt K := G a H b aus. 

Die Menge der Schlüssel ist hierbei K = G. Vollständigkeit gilt wegen 

PubEval(pk HPS , (g r , h r ), r) = u r = (g a h b ) r = (g r ) a (h r ) b = PrivEval(vk HPS , (g r , h r )). 

Special Soundness andererseits folgt aus folgender Überlegung: für jedes gegebene pk HPS = u existieren 

q Paare (a, b) mit u = g a h b . (Für jedes a ∈ [q] existiert ein eindeutiges b mit u = g a h b .) 

Anders gesagt: ein gegebenes u legt nur a + ωb mod q (für h = g ω ) fest, nicht aber a und b. Sei nun 

(G, H) ∉ L g,h , also etwa (G, H) = (g rg , h r h) mit r g ≠ r h . Wir müssen zeigen, daß für jedes K ∈ K 

gilt: 

[ 

] 

Pr (g rg ) a (h r h 

) b = K | a + ωb mod q = 1 q . (11) 

Nun gilt 

(g rg ) a (h r h 

) b = g rga+ωr hb = g rg(a+ωb)+ω(r h−r g)b = u rg ( h r h−r g 

) b 

Durch u und (G, H) = (g rg , h r h) liegen u rg und h r h−r g 

fest. Überdies ist h r h−r g 

∈ Gens G , da r h ≠ r g 

ist und G prime Ordnung hat (also Gens G = G\{1} gilt). b ist aber für sich genommen immer noch 

gleichverteilt; deshalb ist selbst bei festen u und (G, H) der Schlüssel (g rg ) a (h r h) b gleichverteilt, und 

(11) folgt. 

Wir definieren zunächst eine Ab- 

Ein simples, fast“ IND-CCA-sicheres PKE-Schema. 

” 

schwächung von IND-CCA-Sicherheit: 

Definition 9.3 (IND-CCA1). Ein PKE-Schema ist IND-CCA1-sicher, wenn es IND-CCA-sicher 

ist, sofern in der Sicherheitsdefinition nur über gültige Angreifer A quantifiziert wird, die keine 

Dec-Anfragen nach Erhalt des Zielchiffrats C ∗ stellen. 

Es ist übrigens ein interessantes offenes Problem, ob (bzw. unter welchen Annahmen) das 

ElGamal-Schema IND-CCA1-sicher ist. 

Betrachten wir nun das folgende einfache PKE-Schema PKE CSL = (Gen CSL , Enc CSL , Dec CSL ), 

welches eine Vereinfachung des Schemas von Cramer und Shoup darstellt. Hierbei nehmen wir ein 

HPS HPS für eine Sprache L ⊆ X an. Der Einfachheit halber sei der zugehörige Schlüsselraum 

K = {0, 1} 2k . (Für andere Schlüsselräume kann eine geeignete Abbildung K → {0, 1} 2k benutzt 

werden.) Nachrichtenraum von PKE CSL ist {0, 1} k . 

31

Algorithmus Gen CSL (1 k ) 

(pk HPS , vk HPS ) ← HGen(1 k ) 

pk := pk HPS 

sk := vk HPS 


Algorithmus Enc CSL (pk, M) 

parse pk =: pk HPS 

wähle (x, w) mit R(x, w) = 1 

K := PubEval(pk HPS , x, w) 

K =: (K 1 , K 2 ) ∈ ( {0, 1} k) 2 

C := (x, K 1 , K 2 ⊕ M) 

return C 

Algorithmus Dec CSL (sk, C) 

parse sk =: vk HPS 

parse C =: (x, C 1 , C 2 ) 

K := PrivEval(vk HPS , x) 

K =: (K 1 , K 2 ) ∈ ( {0, 1} k) 2 

M := C 2 ⊕ K 2 

if C 1 = K 1 

return M 


Theorem 9.4 (Sicherheit von PKE CSL ). Falls das SMP L ⊆ X hart ist und HPS ein HPS für 

L ⊆ X ist, dann ist das wie oben beschriebene PKE-Schema PKE CSL IND-CCA1-sicher. 

Beweis. Wir verfahren wieder in Spielen, wobei Spiel 1 das IND-CCA-Experiment mit einem 

beliebigen gegebenen Angreifer A ist. Da wir nur IND-CCA1-Sicherheit beweisen wollen, dürfen 

wir annehmen, daß A nur vor Erhalt des Zielchiffrats C ∗ Dec-Anfragen stellt. Wie üblich bezeichnet 

out i die Ausgabe von Spiel i, so daß nach Konstruktion gilt: 

Pr [out 1 = 1] − 1/2 = Adv ind-cca 

PKE CSL ,A (k). 

In Spiel 2 ändern wir die Art und Weise, wie C ∗ generiert wird. In Spiel 1 wird bei der Berechnung 

von C ∗ der Schlüssel K ∗ = PubEval(pk HPS , x ∗ , w ∗ ) für gleichverteiltes x ∗ ∈ L generiert. 

In Spiel 2 hingegen wählen wir x ∗ ∈ L gleichverteilt und setzen K ∗ := PrivEval(vk HPS , x ∗ ). Man 

beachte, daß dies bedeutet, daß der Zeuge w ∗ für x ∗ ∈ L in Spiel 2 nicht mehr benötigt wird. Andererseits 

gilt wegen der Vollständigkeit von HPS, daß PubEval(pk HPS , x ∗ , w ∗ ) = PrivEval(vk HPS , x ∗ ) 

ist, und damit 

Pr [out 2 = 1] = Pr [out 1 = 1] . 

In Spiel 3 wählen wir x ∗ gleichverteilt aus X \ L (anstatt aus L). Da L c ≈ X \ L ist, folgt mit 

einer einfachen Reduktion, daß 

Pr [out 3 = 1] − Pr [out 2 = 1] 


In Spiel 4 verändern wir Dec. Genauer lehnt Dec nun alle inkonsistenten (im Sinne von x ∉ L) 

Dec-Anfragen mit ⊥-Ausgabe ab. (Abgelehnt werden nun also alle Anfragen (x, C 1 , C 2 ) mit x ∉ L 

oder C 1 ≠ K 1 für (K 1 , K 2 ) = K = PrivEval(vk HPS , x).) Hier ist zu beachten, daß nach Annahme 

A nur Dec-Anfragen vor Erhalt von C ∗ stellt. Das bedeutet, daß alle Dec-Anfragen von A nur 

von pk HPS , nicht aber von vk HPS abhängen. Andererseits ist wegen der Special Soundness von 

HPS der ” 

richtige“ Schlüssel K = PrivEval(vk HPS , x) für x ∉ L aus Sicht von A gleichverteilt. 

Insbesondere ist auch K 1 ∈ {0, 1} k , das zur Überprüfung der Konsistenz eines Chiffrats benutzt 

wird, unabhängig gleichverteilt und für A nicht vorhersagbar. Ein Hybridargument (ähnlich wie im 

Beweis von Lemma 6.14) zeigt 

|Pr [out 4 = 1] − Pr [out 3 = 1]| ≤ Q 2 k , (12) 

wobei Q = Q(k) eine (notwendig polynomielle) Schranke für die Anzahl von As Dec-Anfragen ist. 

32

Hier gilt es, eine Subtilität zu beachten: prinzipiell kann A mit jedem abgelehnten inkonsistenten 

Chiffrat einen 1/2 k -Anteil der möglichen Wert von vk HPS ausschließen. So kann A nach Q Dec- 

Anfragen mit geeigneten inkonsistenten C einen Q/2 k -Anteil von vk HPS ausschließen. Dem tragen 

wir Rechnung durch den Faktor Q in (12). Ein genauer Beweis von (12) würde wie im Beweis von 

Lemma 6.14 hybride Spiele H i (für i = 0, . . . , Q) definieren, wobei in H i nur die Ablehnung der 

ersten i inkonsistenten Dec-Anfragen erzwungen wird. (Die verbleibenden Anfragen werden wie in 

Dec vorgeschrieben behandelt.) Beim Übergang von H i nach H i+1 wird hierbei nur eine einzelne 

Dec-Anfrage verändert, und somit ein potentieller Fehler von 1/2 k in der Ausgabewahrscheinlichkeit 

des Experiments erzeugt. 

In Spiel 5 ersetzen wir die vom Experiment verschlüsselte Nachricht M b durch 0 k . Hier ist 

zu beobachten, daß in Spiel 4 die gesamte Sicht von A nur von pk HPS und C ∗ abhängt. Anders 

gesagt: Ein unbeschränktes A könnte sich alle Dec-Anfragen selbst beantworten. (Für konsistente 

C folgt die Entschlüsselung wegen der Vollständigkeit von HPS informationstheoretisch aus pk HPS , 

und inkonsistente C werden abgelehnt.) Deshalb garantiert die Special-Soundness-Eigenschaft von 

HPS, daß K ∗ aus Sicht von A gleichverteilt ist. Insbesondere ist aus Sicht von A das Chiffrat C ∗ 

unabhängig von M b . Es gilt also 

Pr [out 5 = 1] = Pr [out 4 = 1] . 

Andererseits ist Pr [out 5 = 1] = 1/2, da A in Spiel 5 keine Informationen über b erhält. Insgesamt 

folgt also, daß 

Adv ind-cca 

PKE CSL ,A (k) = Pr [out 1 = 1] − 1/2 = Pr [out 1 = 1] − Pr [out 5 = 1] 

vernachlässigbar ist, was die IND-CCA1-Sicherheit von PKE CSL zeigt. 

Von IND-CCA1- zu IND-CCA-Sicherheit. Es ist einfach einzusehen, daß PKE CSL nicht 

IND-CCA-sicher ist. (Man überlege sich hierzu, auf welche Weise ein Zielchiffrat C ∗ verändert 

werden kann, und wie sich der zugehörige Klartext hierbei ändert.) Das Problem, das im einem 

Sicherheitsbeweis wie dem für PKE CSL auftritt ist, daß nach Veröffentlichung eines inkonsistenten 

Zielchiffrats C ∗ keine Eigenschaften des verwendeten HPS mehr genutzt werden können. Dem wirkt 

das eigentliche Schema von Cramer und Shoup folgendermaßen entgegen: 

1. Es wird ein HPS verwendet, das selbst nach Veröffentlichung eines inkonsistenten Chiffrats 

(bzw. Schlüssels K ∗ = PrivEval(vk HPS , x) für x ∈ X \ L) für ein zweites inkonsistentes x ′ ≠ 

x immer noch garantiert, daß K ′ = PrivEval(vk HPS , x ′ ) gleichverteilt ist. Diese Eigenschaft 

wurde von Cramer und Shoup universal ” 2 “ genannt und stellt sicher, daß auch inkonsistente 

Chiffrate nach Veröffentlichung von C ∗ ohne Verlust abgelehnt werden können. 

2. Es werden zwei HPSs verwendet. Eines dient dazu, einen Schlüssel zu generieren, der die 

Nachricht versteckt (wie der Schlüssel K 2 im Falle von PKE CSL ). Das zweite HPS dient dazu, 

die Konsistenz des Chiffrats zu beweisen (wie K 1 aus PKE CSL ) und damit das Chiffrat zu 

authentifizieren“. Dieser Übergang zu zwei HPSs erlaubt eine modulare Darstellung, kann 

” 

aber mittels geschicketem Einsatz einer kollisionsresistenten Hashfunktion vermieden werden. 

Das vollständige Cramer-Shoup-Schema soll hier nicht näher besprochen werden, da das Schema 

und dessen Beweis konzeptionell sehr ähnlich zu PKE CSL sind. Bemerkt sei hier nur, daß Optimierungen 

des Cramer-Shoup-Schemas zu den effizientesten bekannten beweisbar sicheren PKE-Schemata 

gehören. 

33

10 Einige Betrachtungen zur Implementierung 

Es soll noch angerissen werden, wie konkret einige der vorgestellten PKE-Verfahren implementiert 

werden können. Insbesondere soll besprochen werden, wie geeignete mathematische Plattformen 

algorithmisch behandelt werden können. Wir gliedern deshalb diese – recht oberflächlichen – Betrachtungen 

nach der zugrundeliegenden mathematischen Plattform. 

Faktorisierungsbasierte Verfahren. Faktorisierungsbasierte Verfahren finden in Ringen Z N 

statt, die durch eine zusammengesetzte Zahl N = P Q mit Primzahlen P und Q definiert sind. Es 

stellen sich vor allem zwei Fragen: 

• In welcher Größenordnung sollten diese Primzahlen bzw. N sein, damit das Faktorisierungsproblem 

(oder verwandte Probleme) nach gängigem Kenntnisstand hart sind? 

• Mit welchen Algorithmen kann man Primzahlen einer grob festgelegten Größe finden? 

Die erste Frage ist im Augenblick nicht ganz einfach zu beantworten. Derzeit (2011) ist der effizienteste 

Algorithmus zur Faktorisierung großer zusammengesetzter Zahlen das Zahlkörpersieb. 

Dessen asymptotische Laufzeit ist leider momentan noch nicht ganz geklärt und hängt auch von einigen 

variablen Parametern des Algorithmus ab. Etwas spekulative Resultate legen allerdings nahe, 

daß es mit Implementierungen auf Spezialhardware mit größerem Geldaufwand eventuell möglich 

sein könnte, eine 1024-Bit-Zahl innerhalb eines Jahres zu faktorisieren. (Im Bereich öffentlicher 

Forschung wurde eine solche Implementierung allerdings noch nicht unternommen.) Deshalb sollte 

gegenwärtig eine Implementierung von faktorisierungsbasierter Verschlüsselung nach Möglichkeit 

Zahlen N substantiell größerer Länge als 1024 Bit wählen. (Der Einfachheit halber könnte hier 

etwa ein N der Länge 2048 Bit gewählt werden.) Die Faktoren P und Q sollten balanciert, also 

etwa von der halben Bitlänge von N gewählt werden. 

Die zweite Frage wird derzeit wie folgt behandelt: Soll eine Primzahl P der (Bit-)Länge l gewählt 

werden, so wird einfach eine gleichverteilt zufällige ungerade Zahl P der Länge l gewählt und auf 

Primalität getestet. Ist P nicht prim, wird das Vorgehen mit einer neuen Zahl P wiederholt. Für 

den Test auf Primalität gibt es effiziente Algorithmen, etwa den Primtest von Rabin und Miller. 3 

Der Primtest von Rabin und Miller. Grundidee des Miller-Rabin-Tests ist der folgende: 

Ist P prim, so ist Z P ein Körper, und insbesondere hat das Polynom X 2 − 1 ∈ Z p [X] nur die 

Nullstellen −1 und 1. Anders gesagt: 1 ∈ Z P hat nur die Quadratwurzeln −1 und 1. Überdies gilt 

x P −1 = 1 mod P für primes P und x ≠ 0 mod P . Ist P andererseits zusammengesetzt, so hat 1 ∈ Z P 

mindestens 4 Quadratwurzeln. Diese Beobachtung kann wie folgt ausgenutzt werden. Schreiben wir 

zunächst P − 1 = 2 n P ′ für ungerades P . Wir untersuchen nun für zufälliges x ≠ 0 mod P die 

” Quadratwurzelfolge“ xP ′ , x 2P ′ , . . . , x P −1 mod P ; tritt in dieser Folge ein Übergang z, 1 mit z ∉ 

{−1, 1} auf, oder ist womöglich x P −1 ≠ 1 mod P , so wissen wir sicher, daß P zusammengesetzt sein 

muß. Tritt andererseits für mehrere solcher x nie ein verdächtiger“ Übergang z, 1 mit z ∉ {−1, 1} 

” 

auf, so darf vermutet werden, daß P prim ist. 

3 Der Primtest von Rabin und Miller hat eine positive Fehlerwahrscheinlichkeit (die allerdings durch Mehrfachausführung 

exponentiell klein gehalten werden kann). Aber obwohl es mittlerweile einen deterministischen Algorithmus 

ohne Fehler zum Test auf Primalität gibt, ist der Miller-Rabin-Test aufgrund seiner Effizienz für die Praxis 

momentan der attraktivste Primtest. 

34

Verfahren in zyklischen Gruppen. Für Verfahren, die auf der DLog-Annahme (oder verwandten 

Annahmen) in einer zyklische Gruppe G basieren, stellen sich gleich mehrere Fragen: 

• Welche Typen von Gruppen sind zu verwenden? 

• Welche Größe sollten diese Gruppen haben? 

• Wie kann in diesen Gruppen effizient gerechnet werden? 

Wie schon in Abschnitt 5 angedeutet, sind als zyklische Gruppen vor allem elliptische Kurven 

und Untergruppen der multiplikativen Gruppe eines endlichen Körpers Z ∗ p (bzw. F p e) interessant. 

Für das DLog-Problem in (der multiplikativen Gruppe von) endlichen Körpern existiert ein subexponentieller 

Algorithmus, der Index-Calculus-Algorithmus. Die Laufzeit dieses Algorithmus hängt 

dabei in hohem Maße von der Laufzeit intern benötigter Faktorisierungen ganzer Zahlen in der 

Größenordnung von p ab. Damit sollte p von einer Bitlänge gewählt werden, die eine Faktorisierung 

Zahlen in der Größenordnung von p nicht zuläßt. Insbesondere sollte p eine Bitlänge von mehr 

als 1024 Bit haben. 

Ein Analogon des Index-Calculus-Algorithmus existiert nicht für elliptische Kurven, weshalb 

elliptische Kurven verhältnismäßig kleiner Größe (bzw. Bitlänge ihrer Elemente) gewählt werden 

können. Eine elliptische Kurve besteht aus allen Lösungen (x, y) einer Gleichung y 2 = x 3 + ax + b 

über einem geeigneten endlichen Körper und mit geeigneten Konstanten a, b. Die besten derzeit 

bekannten Algorithmen zum Lösen des DLog-Problems in elliptischen Kurven sind generisch (funktionieren 

also in beliebigen endlichen zyklischen Gruppen) und haben eine Komplexität in der 

Größenordnung √ |G|. Es ist deshalb üblich, elliptische Kurven der Größe etwa 2 200 bis 2 400 zu 

benutzen, was wiederum eine Rechnung in einem zugrundeliegenden Körper etwa derselben Größe 

nach sich zieht. Die entstehenden Gruppenelemente sind – bei platzsparender Speicherung – von der 

Größe etwa 200 bis 400 Bits. Rechnung in einer elliptischen Kurve ist dabei effizient mit elementarer 

Arithmetik im zugrundeliegenden Körper möglich. 

Insgesamt führen damit elliptische Kurven nach derzeitigem Stand zu den effizientesten (sowohl 

bezüglich Zeit- als auch bezüglich Speicherkomplexität) derzeitigen Public-Key-Kryptosystemen. 

(Natürlich könnte sich dies ändern, sobald algorithmische Fortschritte beispielsweise effizientere 

DLog-Algorithmen in elliptischen Kurven hervorbringen.) 

11 Secret-Key-Verschlüsselung 

Bis jetzt haben wir aufgrund ihrer Flexibilität und vielfältigen Anwendungsmöglichkeiten PKE- 

Schemata betrachtet. Im Gegensatz dazu wurden SKE-Schemata nur angedeutet. Bei einem SKE- 

Schema verfügen sowohl Sender als auch Empfänger über einen gemeinsamen geheimen Schlüssel. 

(Anders gesagt: Ver- und Entschlüsselungsalgorithmus erhalten denselben Schlüssel K als Eingabe.) 

Der große Nachteil von SKE-Schemata gegenüber PKE-Schemata ist damit vor allem mangelnde 

Flexibilität: Um ein SKE-Schema zwischen zwei Parteien zu betreiben muß zunächst eine 

Schlüsselverteilung (bzw. ein Schlüsselaustausch) stattfinden. Andererseits sind derzeit konstruierte 

SKE-Schemata wesentlich effizienter als PKE-Schemata. 

Wir werden im folgenden daran interessiert sein, die Vorteile von PKE- und SKE-Schemata zu 

kombinieren. Hierzu ist allerdings – wie üblich – etwas Vorbereitung nötig. Insbesondere werden 

wir SKE-Schemata formal definieren und genauer betrachten, was in diesem Abschnitt geschehen 

soll. Glücklicherweise sind dabei die (Sicherheits-)Definitionen von SKE-Schemata denen von PKE- 

Schemata sehr ähnlich. 

35

Definition. Wir beginnen mit der Definition einen SKE-Schemas (unterstrichen sind hierbei die 

Unterschiede zur PKE-Definition): 

Definition 11.1 (SKE-Schema). Ein SKE-Schema SKE mit Nachrichtenraum M k ⊆ {0, 1} ∗ 

besteht aus drei PPT-Algorithmen (G, E, D): 

Schlüsselgenerierung. G(1 k ) gibt bei Eingabe 1 k einen Schlüssel K aus. 

Verschlüsselung. E(K, M) gibt bei Eingabe eines Schlüssels K und einer Nachricht M ∈ M k ein 

Chiffrat C aus. 

Entschlüsselung. D(K, C) gibt bei Eingabe eines Schlüssels K und eines Chiffrats C eine Nachricht 

M ∈ M k aus. 

Wir fordern Korrektheit in dem Sinne, daß für alle k ∈ N, alle M ∈ M k , alle K im Bild von 

G(1 k ), und alle C im Bild von E(K, M) immer D(K, C) = M gilt. 

Da bei den meisten bekannten SKE-Schemata die Schlüsselgenerierung extrem einfach ist – 

ziehe K gleichverteilt aus einer Menge K möglicher Schlüssel – lassen manche SKE-Definitionen 

den Algorithmus G ganz weg und nehmen K ← K für alles weitere an. 

SKE-Schemata mit State. 

Schemata mit State: 

Eine für die Praxis wichtige Variante von SKE-Schemata sind SKE- 

Definition 11.2. Ein SKE-Schema mit State ist wie ein SKE-Schema definiert, jedoch haben die 

Algorithmen E und D eine zusätzliche Ausgabe K ′ (die im Bild von G liegt). Für Korrektheit fordern 

wir zusätzlich, daß die ausgegebenen aktualisierten Schlüssel K ′ beim Aufruf von (C, K ′ ) ← E(K, M) 

und (M, K ′ ) ← D(K, C) immer übereinstimmen. 

Die Intuition hierbei ist wie folgt: K ′ stellt einen aktualisierten Schlüssel (bzw. internen Zustand) 

dar, der beim nächsten Aufruf von E bzw. D verwendet wird. Man beachte, daß für die Korrektheit 

des Schemas implizit angenommen wird, daß bei Generierung und Entschlüsselung eines Chiffrats 

(durch E bzw. D) jeweils derselbe Schlüssel K verwendet wird. Diese Annahme kann im Falle 

von SKE-Schemata gerechtfertigt werden, denn anders als bei einem PKE-Schema wird bei der 

Benutzung eines SKE-Schemas oft nur jeweils eine Partei ver- bzw. entschlüsseln. Insbesondere 

werden die Algorithmen E und D nur von jeweils einer Partei lokal ausgeführt. Es kann überdies oft 

angenommen werden, daß Ver- und Entschlüsselungen synchronisiert stattfinden, in dem Sinne, daß 

Chiffrate in derselben Reihenfolge mit D entschlüsselt werden, wie sie mit E generiert wurden. Unter 

solchen Voraussetzungen kann durch eine geschickte Wahl der Algorithmen E und D sichergestellt 

werden, daß auch die Schlüssel K bei Generierung und Entschlüsselung eines Chiffrats dieselben 

sind. (Für ein solches Schema werden wir noch ein konkretes Beispiele sehen.) 

Man mache sich anhand der obigen Überlegungen klar, warum ein PKE-Schema mit State nicht 

sehr sinnvoll wäre. 

Sicherheitsdefinition (passive Angriffe). Um zu einer nützlichen Definition von SKE-Sicherheit 

zu gelangen, wird es schon ausreichen, die Sicherheitsdefinition von PKE-Schemata anzupassen. 

Als naheliegende Anpassung der PKE-Definition wird dabei der Angreifer A mit einem Verschlüsselungsorakel 

ausgestattet. Diese Anpassung kann wie folgt legitimiert werden: A kann im 

Falle eines SKE-Schemas keine Chiffrate mittels eines öffentlichen Schlüssels (wie im Falle eines 

PKE-Schemas) selbst erzeugen; andererseits wird selbst ein passiver Angreifer bei einem Angriff 

36

auf ein konkretes größeres Protokoll Chiffrate beobachten können. Durch Zugriff auf ein Verschlüsselungsorakel 

wird A deshalb die Möglichkeit gegeben, Chiffrate selbst zu generieren. 

Definition 11.3 (SKE-IND-CPA). Sei SKE = (G, E, D) ein SKE-Schema. Sei A ein PPT-Algorithmus. 

Sei 

[ 

] 

Adv ske-ind-cpa 

SKE,A 

(k) := Pr Exp ske-ind-cpa 

SKE,A 

(k) = 1 − 1 2 , 

wobei das Experiment Exp ske-ind-cpa 

SKE,A 


Experiment Exp ske-ind-cpa 

SKE,A 

(k) 

K ← G(1 k ) 

(M 0 , M 1 , state A ) ← A E(K,·) (1 k , find) 

b ← {0, 1} 

C ∗ ← E(K, M b ) 

b ′ ← A E(K,·) (1 k , attack, state A , C ∗ ) 


else return 0 

A heißt gültig, T ist und in Exp ske-ind-cpa 

SKE,A 

immer |M 0 | = |M 1 | garantiert. PKE ist IND-CPAsicher 

(für indistinguishable under chosen-plaintext attacks“), falls für jedes gültige A die Funktion 

” 



SKE,A 

Für SKE-Schema SKE mit State ist Definition 11.3 wie folgt anzupassen: 

• A erhält bei einer E-Anfrage nur den Chiffratteil C der E-Auswertung, nicht aber den aktualisierten 

Schlüssel K ′ . 

• Im i-ten Aufruf des E-Orakels von A wird ein Schlüssel K i−1 benutzt, wobei wir K 0 := K 

setzen, und K i als Schlüssel-Ausgabe von E im i-ten Aufruf definiert wird. 

• Die Generierung des Zielchiffrats C ∗ wird bezüglich des Schlüssels so behandelt wie ein E- 

Orakelaufruf. (Insbesondere wird der momentane Schlüssel K i benutzt.) 

Ein PKE-Schema als SKE-Schema. 

SKE-Schema (ohne State) auffassen läßt: 

Zunächst sei bemerkt, daß sich jedes PKE-Schema als 

Lemma 11.4 (PKE-Schema als SKE-Schema). Sei PKE ein PKE-Schema. Sei SKE das SKE- 

Schema, das aus PKE entsteht, wenn wir K := (pk, sk) setzen und die Algorithmen von PKE in 

naheliegender Weise anpassen. Dann impliziert die IND-CPA-Sicherheit von PKE die IND-CPA- 

Sicherheit von SKE. 

Beweis. Sei A ein beliebiger gültiger Angreifer auf SKE. Wir müssen zeigen, daß Adv ske-ind-cpa 

SKE,A 

vernachlässigbar ist. Dazu konstruieren wir aus A einen (gültigen) Angreifer B auf PKE mit 

Adv ind-cpa 

PKE,B 

(k) = Advske-ind-cpa 

SKE,A 

(k). (13) 

Damit folgt das Lemma: Nach Annahme über PKE muß die linke Seite von (13) vernachlässigbar 

sein. 

37

Die Konstruktion von B aus A ist denkbar einfach: B führt intern A aus und nutzt den im 

IND-CPA-Experiment mit PKE erhaltenen öffentlichen Schlüssel pk, um für A ein E-Orakel (wie 

in As IND-CPA-Experiment mit SKE) zu implementieren. Offensichtlich gilt hiermit 

[ 

] [ 

] 

Pr Exp ind-cpa 

PKE,B (k) = 1 = Pr Exp ske-ind-cpa 

SKE,A 

(k) = 1 

und damit (13). 

Nach unseren Ergebnissen über PKE-Schemata fällt uns damit in den Schoß: 

Korollar 11.5. Unter der DDH- oder der Faktorisierungsannahme existieren IND-CPA-sichere 

SKE-Schemata. 

Beispiel: ein einfaches IND-CPA-sicheres SKE-Schema mit State. Für ein etwas interessanteres 

Beispiel eines SKE-Schemas benötigen wir ein einfaches technisches Hilfsmittel: 

Definition 11.6 (PRG). Ein Pseudozufallsgenerator (PRG) PRG ist eine in Polynomialzeit berechenbare 

Funktion PRG : {0, 1} ∗ → {0, 1} ∗ mit |PRG(s)| = 2|s| für alle s ∈ {0, 1} ∗ und 

PRG(U {0,1} k) 

c 

≈ U {0,1} 2k, 

wobei U {0,1} k ← {0, 1} k und U {0,1} 2k ← {0, 1} 2k gleichverteilte Zufallsstrings sind. 

Intuitiv streckt PRG einen kurzen, echt zufälligen Eingabestring s auf einen Bitstring doppelter 

Länge, der nicht effizient von echtem Zufall unterschieden werden kann. Wir haben in Lemma 6.14 

mit BBS N schon einen PRG (in etwas komplizierterer Form und unter der Faktorisierungsannahme) 

kennengelernt. Wir halten ein allgemeineres Resultat ohne Beweis fest: 

Theorem 11.7. Wenn Einwegfunktionen existieren, dann existieren auch PRGs, und umgekehrt. 

(Für Interessierte: In [2] wurde bewiesen, daß Einwegpermutationen mit Hardcoreprädikaten 

PRGs implizieren. In [4] wurde gezeigt, daß jede Einwegfunktion – und jede Einwegpermutation 

– so verändert werden kann, daß sie ein Hardcoreprädikat hat. Schließlich wurde in [5] gezeigt, 

daß schon Einwegfunktionen mit Hardcoreprädikat PRGs implizieren. Die Rückrichtung – PRGs 

implizieren Einwegfunktionen – ist recht einfach einzusehen: PRGs sind bereits Einwegfunktionen.) 

Aus einem gegebenen PRG PRG kann nun denkbar einfach ein Verschlüsselungsverfahren SKE PRG = 

(G PRG , E PRG , D PRG ) mit State und Nachrichtenraum M k = {0, 1} k konstruiert werden: 

Algorithmus G PRG (1 k ) 

K ← {0, 1} k 

return K 

Algorithmus E PRG (K, M) 

parse (ρ, K ′ ) := PRG(K) 

(with ρ, K ′ ∈ {0, 1} k ) 

C := M ⊕ ρ 

return (C, K ′ ) 

Algorithmus D PRG (K, C) 

parse (ρ, K ′ ) := PRG(K) 

(with ρ, K ′ ∈ {0, 1} k ) 

M := C ⊕ ρ 

return (M, K ′ ) 

Die Korrektheit von SKE PRG ist einfach einzusehen. Interessanter gestaltet sich der Beweis der 

IND-CPA-Sicherheit von SKE PRG : 

Theorem 11.8 (Sicherheit von SKE PRG ). Ist PRG ein PRG, so ist SKE PRG IND-CPA-sicher. 

38

Beweis. Geben wir uns einen gültigen Angreifer A vor. Wir müssen zeigen, daß Adv ske-ind-cpa 

SKE PRG ,A 

vernachlässigbar 

ist. Wieder verfahren wir in Spielen, wobei Spiel 1 das IND-CPA-Experiment mit 

SKE und A ist. Da A PPT ist, dürfen wir ohne Beschränkung der Allgemeinheit annehmen, daß 

ein Polynom Q = Q(k) existiert, so daß A vor dem Erhalt des Zielchiffrats C ∗ genau Q − 1 E- 

Orakelaufrufe tätigt. Wir können deshalb die Generierung des Zielchiffrats C ∗ einfach als Q-ten 

E-Aufruf betrachten. Nach Konstruktion ist 

[ 

] 

Pr [out 1 = 1] = Pr Exp ske-ind-cpa 

SKE PRG ,A (k) = 1 

für die Ausgabe out 1 von Spiel 1. 

Wir definieren nun eine Reihe von Spielen, in denen wir schrittweise die von E PRG benutzten 

Schlüssel und PRG-Funktionswerte durch unabhängig zufällige Bitstrings ersetzen. Genauer sei für 

i ∈ {0, . . . , Q} Spiel 2.i wie folgt definiert: 

• Für alle j mit 1 ≤ j ≤ i: Im j-ten E-Aufruf wird die PRG-Ausgabe PRG(K j−1 ) durch einen 

unabhängigen gleichverteilten Zufallsstring R j ← {0, 1} 2k ersetzt. Das bedeutet, daß die durch 

R j definierten ρ und K ′ unabhängig gleichverteilte k-Bitstrings sind. 

Trivialerweise ist Spiel 2.0 identisch mit Spiel 1, wohingegen in Spiel 2.Q in allen E-Aufrufen bis 

einschließlich der Generierung von C ∗ ” frische“, unabhängig gleichverteilte Schlüssel K j und Pads 

ρ benutzt werden. Der Unterschied zwischen Spiel 2.i und Spiel 2.i + 1 hingegen besteht lediglich 

darin, daß in einem einzelnen (dem (i + 1)-ten) E-Aufruf der Wert PRG(K i ) durch unabhängigen 

Zufall ersetzt wird. An dieser Stelle ist zu beachten, daß K i schon im i-ten E-Aufruf (bzw. für i = 1 

während der Initialisierung von K 0 ) frisch“ und unabhängig gleichverteilt gewählt wurde. Es liegt 

” 

nahe, die PRG-Eigenschaft von PRG zu nutzen, um zu zeigen, daß Spiel 2.0 und Spiel 2.Q nicht zu 

unterscheiden sind. 

Konkret können wir wie im Beweis von Lemma 6.14 einen PRG-Unterscheider D(1 k , Z) (mit 

Eingabe Z = PRG(U {0,1} k) oder Z = U {0,1} 2k) konstruieren, der Spiel 1 mit A simuliert, jedoch 

• anfangs i ∈ [Q] gleichverteilt wählt, 

• in den ersten i − 1 E-Aufrufen die Ausgabe von PRG(K j ) durch unabhängigen Zufall ersetzt, 

und 

• im i-ten E-Aufruf PRG(K i−1 ) durch Z ersetzt. 

Es ist einfach einzusehen, daß D Spiel 2.i − 1 simuliert, falls Z = PRG(U {0,1} k) ist, und Spiel 2.i, 

falls Z = U {0,1} 2k ist. Eine einfache Rechnung wie im Beweis von Lemma 6.14 zeigt, daß 

( [ 

] [ 

]) 

Pr [out 2.0 = 1] − Pr [out 2.Q = 1] = Q · Pr D(1 k , PRG(U {0,1} k)) = 1 − Pr D(1 k , U {0,1} 2k) = 1 

ist. Da die rechte Seite dieser Gleichung nach Annahme über PRG vernachlässigbar ist, ist es auch 

die linke Seite. Nun gilt 

Pr [out 2.Q = 1] = 1/2, 

da in Spiel 2.Q gilt, daß C ∗ = M b ⊕ ρ unabhängig von b ist, da ρ unabhängig gleichverteilt ist. 

Insgesamt folgt, daß 

[ 

] 


SKE PRG ,A (k) = Pr Exp ske-ind-cpa 

SKE PRG ,A (k) = 1 − 1/2 = Pr [out 1 = 1] − Pr [out 2.Q = 1] 

vernachlässigbar ist, was wie gewünscht die IND-CPA-Sicherheit von SKE PRG zeigt. 

39

Vergrößerung des Nachrichtenraums. Es ist recht einfach, den Nachrichtenraum eines SKE- 

Schemas unter Erhalt von SKE-IND-CPA-Sicherheit zu vergrößern: 

Theorem 11.9. Sei SKE ein SKE-Schema mit Nachrichtenraum {0, 1} k . Sei weiter SKE ′ das SKE- 

Schema mit Nachrichtenraum {0, 1} ∗ , das Nachrichten blockweise mittels SKE verschlüsselt. Eine 

Nachricht Nachricht M ∈ {0, 1} ∗ wird dazu in Blöcke zu je höchstens k Bits unterteilt, jeder Block 

wird mittels SKE verschlüsselt, und die Chiffrate konkateniert. Ist dann SKE SKE-IND-CPA-sicher, 

so ist auch SKE ′ SKE-IND-CPA-sicher 

Der Beweis soll hier nur skizziert werden: In einem spielbasierten Beweis werden zunächst alle 

Nachrichtenblöcke des Zielchiffrats durch Verschlüsselungen von Zufallsnachrichten ersetzt. Dies 

kann mit einem Hybridargument geschehen; in jedem Schritt wird ein weiterer Block durch eine 

Zufallsverschlüsselung ersetzt. (Ein jeder solcher Schritt kann durch die SKE-IND-CPA-Sicherheit 

des zugrundeliegenden SKE-Schemas SKE legitimiert werden.) Anschließend ist zu beobachten, daß 

in einem derartig veränderten Spiel der Angreifer keine Information mehr über die verschlüsselte 

Nachricht erhält; die Erfolgswahrscheinlichkeit des Angreifers in diesem veränderten Spiel beträgt 

demnach genau 1/2, und Sicherheit folgt wie gewohnt. 

Aktive Sicherheit. In Analogie zur entsprechenden PKE-Sicherheitsdefinition können wir auch 

die Sicherheit von SKE-Schemata gegen aktive Angriffe untersuchen. Wir geben nur die Unterschiede 

zur IND-CPA-Definition an: 

Definition 11.10 (SKE-IND-CCA). Ein SKE-Schema SKE ist IND-CCA-sicher, falls es IND- 

CPA-sicher ist, wobei im IND-CPA-Experiment der Angreifer A zusätzlich über ein Entschlüsselungsorakel 

D(K, ·) verfügt, das jedoch nicht mit dem Zielchiffrat C ∗ aufgerufen werden darf. Für SKE-Schemata 

mit State ergeben sich die für E bzw. D verwendeten Schlüssel aus dem jeweils vorigen Aufruf von 

E bzw. D. (Anders gesagt: Die Schlüssel für Ver- und Entschlüsselung entwickeln sich unabhängig 

voneinander.) 

Interessanterweise ist aktive Sicherheit für SKE-Schemata verhältnismäßig einfach zu erreichen: 

Eine einfache Konstruktion eines aktiv sicheren SKE-Schemas. 

wieder ein technisches Hilfsmittel vor. 

Wir geben uns zunächst 

Definition 11.11 (PRF). Eine Pseudozufallsfunktion (PRF) PRF ist eine in Polynomialzeit berechenbare 

Funktion PRF : {0, 1} ∗ × {0, 1} ∗ → {0, 1} ∗ mit |y| = k für y := PRF(K, x) und alle 

K, x ∈ {0, 1} k . Weiter fordern wir, daß für jeden PPT-Algorithmus D die Funktion 

] 

Adv prf 

PRF,D 

[D (k) := Pr PRF(K,·) (1 k ) = 1 

− Pr 

[ 

] 

D R(·) (1 k ) = 1 

vernachlässigbar ist, wobei K ← {0, 1} k und R : {0, 1} k → {0, 1} k eine echt zufällige Funktion ist 

und D nur Orakelanfragen x der Bitlänge k stellen darf. (Kein effizienter Algorithmus kann also 

per Orakelzugriff PRF(K, ·) von einer echt zufälligen Funktion unterscheiden.) 

Wir geben wieder ohne Beweis an: 

Theorem 11.12. Wenn Einwegfunktionen existieren, dann existieren auch PRFs, und umgekehrt. 

40

(Für Interessierte: Zunächst reicht es wegen Theorem 11.7 aus, die Äquivalenz von PRFs 

und PRGs zu zeigen. In [3] wird bewiesen, daß aus PRGs PRFs konstruiert werden können. Die 

Rückrichtung ist trivial.) 

Mit einer PRF PRF und einem IND-CPA-sicheren SKE-Schema SKE CPA = (G CPA , E CPA , D CPA ) 

ausgestattet können wir nun ein IND-CCA-sicheres SKE-Schema SKE AE = (G AE , E AE , D AE ) vorstellen. 

Der Einfachheit halber nehmen wir an, daß SKE CPA -Chiffrate als k-Bitstrings interpretiert 

werden können. 

Algorithmus G AE (1 k ) 

K E ← G CPA (1 k ) 

K A ← {0, 1} k 

K := (K E , K A ) 

return K 

Algorithmus E AE (K, M) 

parse K =: (K E , K A ) 

C E ← E(K E , M) 

C A ← PRF(K A , C E ) 

C := (C E , C A ) 

return C 

Algorithmus D AE (K, C) 

parse K =: (K E , K A ) 

parse C =: (C E , C A ) 

M ← D(K E , C) 

if C A = PRF(K A , C E ) 

return M 


Ähnlich wie bei den im den vorigen Abschnitten betrachteten IND-CCA-sicheren PKE-Verfahren 

kann hier von konsistenten und inkonsistenten Chiffraten geredet werden: Ein Chiffrat C = (C E , C A ) 

ist konsistent, wenn C A = PRF(K A , C E ) gilt. Inkonsistente Chiffrate werden bei der Entschlüsselung 

mit ⊥ abgelehnt. Im Sicherheitsbeweis von E AE werden wir ausnutzen, daß ein Angreifer selbst kein 

konsistentes Chiffrat generieren kann. Anders gesagt: Das Entschlüsselungsorakel ist für A unnütz, 

da es alle Chiffrate ablehnt. (Wir dürfen ohne Beschränkung der Allgemeinheit annehmen, daß A 

nie ein Chiffrat in sein Entschlüsselungsorakel eingibt, das von As Verschlüsselungsorakel generiert 

wurde; für ein solches Chiffrat kennt A den zugehörigen Klartext schon.) 

Theorem 11.13 (Sicherheit von SKE AE ). Ist SKE CPA IND-CPA-sicher und PRF eine PRF, so ist 

SKE AE IND-CCA-sicher. 

Beweis. Geben wir uns einen gültigen Angreifer A vor. Wir müssen zeigen, daß As Angriffserfolg 

Adv ske-ind-cca 

SKE AE ,A im (in Definition 11.10 implizit definierten) IND-CCA-Experiment Expske-ind-cca SKE AE ,A vernachlässigbar 

ist. Wir dürfen ohne Beschränkung der Allgemeinheit davon ausgehen, daß A nur 

D-Anfragen für Chiffrate C macht, die nicht von As E-Orakel erzeugt wurden. (Macht A solche 

Anfragen, kann A so modifiziert werden, daß es über alle E-Anfragen Buch führt und sich wie oben 

beschriebene D-Anfragen intern selbst mit dem passenden, bei E eingegebenen, Klartext beantwortet.) 

Weiter nehmen wir ohne Einschränkung an, daß A höchstens Q = Q(k) D-Aufrufe macht, 

wobei Q ein geeignetes Polynom ist. 

Wie üblich verfahren wir in Spielen, wobei Spiel 1 das IND-CCA-Experiment mit SKE und A 

ist. Es ist 

[ 

] 

Pr [out 1 = 1] = Pr ExpSKE ske-ind-cca 

AE ,A (k) = 1 

für die Ausgabe out 1 von Spiel 1. 

In Spiel 2 ersetzen wir alle PRF(K A , ·)-Aufrufe durch Aufrufe einer echt zufälligen gewählten 

Funktion 4 R : {0, 1} k → {0, 1} k . Dies betrifft PRF-Aufrufe in E- und D-Orakelaufrufen von A, 

4 Man beachte, daß R-Aufrufe mittels einer ” 

lazy sampling“ genannten Technik effizient gemacht werden können. 

Genauer muß nicht die volle Funktionsbeschreibung von R sofort festgelegt werden; es reicht aus, bei jedem R(x)- 

Aufruf für noch nicht angefragtes x ∈ {0, 1} k einen ” 

frischen“ Funktionswert y ← {0, 1} k gleichverteilt zu ziehen und 

für weitere Funktionsaufrufe zu speichern. 

41

sowie den PRF-Aufruf während der Generierung des Zielchiffrats C ∗ . Man beachte, daß in Spiel 1 

die Funktion PRF(K A , ·) als black box“ benutzt wird, und insbesondere der Schlüssel K ” A nur zur 

Auswertung von PRF genutzt wird. Somit können wir einen Algorithmus D O(·) mit Orakelzugriff 

auf ein Orakel O definieren, so daß D intern Spiel 1 simuliert, aber alle PRF(K A , ·)-Funktionswerte 

durch Orakelaufrufe an O(·) ersetzt. Damit gilt 

• Ist O = PRF(K A , ·), so simuliert D O(·) Spiel 1. 

• Ist O = R(·) eine echt zufällige Funktion, so simuliert D O(·) Spiel 2. 

Damit ist 

[ 

] [ 

] 

Pr [out 1 = 1] − Pr [out 2 = 1] = Pr D PRF(KA,·) (1 k ) = 1 − Pr D R(·) (1 k ) = 1 = Adv prf 

PRF,D (k) 

(mit unabhängig gleichverteiltem K A ) vernachlässigbar nach Annahme über PRF. 

In Spiel 3.i (für i ∈ {0, . . . , Q}) lehnt As D-Orakel die ersten i eingegebenen Chiffrate mit 

⊥-Ausgabe ab. Offenbar ist Spiel 3.0 identisch mit Spiel 2, und in Spiel 3.Q ist As D-Orakel völlig 

nutzlos, da alle Aufrufe abgelehnt werden. 

Betrachten wir zur Analyse einen einzelnen D-Aufruf von A, wobei das eingegebene Chiffrat 

C = (C E , C A ) sei. Wir wollen zeigen, daß C schon nach den Regeln von Spiel 2 mit hoher Wahrscheinlichkeit 

abgelehnt wird. Man rufe sich hierzu in Erinnerung, daß C in Spiel 2 mit ⊥-Ausgabe 

abgelehnt wird, wenn C A ≠ R(C E ) ist. Wir unterscheiden zwei Fälle: 

1. Es wurde zu diesem Zeitpunkt bereits ein Chiffrat C ′ = (C ′ E , C′ A ) mit C′ E = C E von E erzeugt 

(also durch einen E-Orakelaufruf von A oder bei der Generierung von C ∗ ). 

2. Es wurde zu diesem Zeitpunkt noch kein Chiffrat C ′ = (C ′ E , C′ A ) mit C′ E = C E von E erzeugt. 

Im ersten Fall dürfen wir nach den eingangs gemachten Bemerkungen annehmen, daß C ′ ≠ C und 

damit C ′ A ≠ C A gilt. Insbesondere ist also 

R(C E ) = R(C ′ E) = C ′ A ≠ C A , 

weshalb C von D schon nach den Regeln von Spiel 2 abgelehnt werden würde. 

Im zweiten Fall wird R(C E ) ∈ {0, 1} k aus Sicht von A unabhängig gleichverteilt sein. 5 Es gilt 

also C A = R(C E ) nur mit Wahrscheinlichkeit 1/2 k . 

Fassen wir den betrachteten D-Aufruf C in Spiel 3.i als den (i + 1)-ten D-Aufruf auf, so folgt 

|Pr [out 3.i = 1] − Pr [out 3.i+1 = 1]| ≤ 1 2 k 

und damit 

|Pr [out 3.0 = 1] − Pr [out 3.Q = 1]| ≤ Q 2 k . 

In Spiel 3.Q schließlich werden alle D-Aufrufe abgelehnt; A spielt also in Spiel 3.Q im wesentlichen 

ein IND-CPA-Spiel gegen SKE CPA . Formal können wir einen Angreifer B auf SKE CPA s 

IND-CPA-Sicherheit konstruieren, der intern A simuliert und dabei alle 

• alle D-Anfragen von A mit ⊥ ablehnt, 

• alle E-Antworten bzw. das Zielchiffrat C ∗ in Bs eigenem IND-CPA-Experiment mit SKE CPA 

um einen zufällig gewähltes C A ∈ {0, 1} k ergänzt. 

5 Wir nehmen hier implizit an, daß dies der erste ” 

echte“, nicht automatisch abgelehnte D-Aufruf mit C E ist. 

42

Für dieses B gilt 

Nach Annahme über SKE CPA ist deshalb 

[ 

] 

Pr [out 3.Q = 1] = Pr Exp ske-ind-cpa 

SKE CPA ,B (k) = 1 . 

Pr [out 3.Q = 1] − 1/2 = Adv ske-ind-cpa 

SKE CPA ,B (k) 

vernachlässigbar, weshalb auch 

∣ 

∣ 

∣∣ (k) = |Pr [out 1 = 1] − 1/2| ≤ 

∣Adv ske-ind-cca 

SKE AE ,A 


∣ 

∣Adv prf 

PRF,D (k) ∣ ∣∣ + 

Q 

2 k + ∣ ∣∣Adv ske-ind-cpa 

SKE CPA ,B (k) ∣ ∣∣ 

Man beachte, daß sich die Konstruktion und der Sicherheitsbeweis von SKE AE auch auf SKE- 

Schemata mit State übertragen. 

Zusammenspiel der besprochenen Bausteine. Diese überraschend einfache generische Konstruktion 

von IND-CCA-sicheren SKE-Schemata kann zu folgendem Vorgehen genutzt werden: 

1. Man starte mit einem IND-CPA-sicheren SKE-Schema SKE mit festem Nachrichtenraum 

(etwa SKE PRG mit Nachrichtenraum {0, 1} k ). 

2. Man erweitere den Nachrichtenraum von SKE auf {0, 1} ∗ durch Konkatenation von Chiffraten. 

(M = (M 1 , M 2 ) ∈ {0, 1} 2k etwa wird verschlüsselt durch Konkatenation der Chiffrate von 

M 1 und M 2 .) Das entstehende SKE-Schema ist immer noch IND-CPA-sicher. (Dies ist etwa 

mittels eines Hybridarguments einfach einzusehen.) 

3. Durch Einsetzen in die Konstruktion SKE AE entsteht ein IND-CCA-sicheres SKE-Schema mit 

Nachrichtenraum {0, 1} ∗ . 

Man beachte, daß ein solches Vorgehen für PKE-Verfahren mit den besprochenen Techniken zwar 

prinzipiell möglich ist (beispielsweise mittels des NY-Verfahrens), aber im allgemeinen zu recht 

ineffizienten Verfahren führt. 

Weitergehende Überlegungen. Die bislang besprochenen SKE-Konstruktionen und -Techniken 

stellen nur die Spitze des Eisbergs dar. Zwar sind die vorgestellten Verfahren – im Vergleich zu PKE- 

Verfahren – schon recht effizient; allerdings sind real benutzte Verfahren (wie etwa der Advanced 

Encryption Standard) noch bedeutend effizienter, oftmals um den Preis jeglicher beweisbarer Sicherheitseigenschaften. 

Ein hierbei besonders wichtiges und hier nicht besprochenes technisches 

Instrument stellen hier die Betriebsarten für Blockchiffren dar. Eine Betriebsart einer Blockchiffre 

dient dazu, ein SKE-Verfahren (ohne State) in ein SKE-Verfahren mit State umzuwandeln, wobei 

hierbei zusätzliche Sicherheitseigenschaften ohne nennenswerten Effizienzverlust erreicht werden. 

Etwa existieren Betriebsarten, die eine bloße Pseudozufallspermutation in ein IND-CCA-sicheres 

SKE-Verfahren mit State umwandeln. 

Aus theoretischer Sicht ist folgende Beobachtung interessant: im Vergleich zu PKE-Verfahren 

lassen sich sichere SKE-Verfahren schon aus Einwegfunktionen konstruieren. (Informell könnte man 

sagen, daß die Existenz sicherer Secret-Key-Verfahren äquivalent zur Existenz von Einwegfunktionen 

ist.) Andererseits sind Einwegfunktionen nach heutigem Kenntnisstand nicht hinreichend, um 

Public-Key-Kryptographie (etwa PKE-Verfahren oder Schlüsselaustauschprotokolle) zu konstruieren. 

Dies läßt sich sogar formalisieren: Man kann beispielsweise zeigen, daß keine Black-Box- 

” 

Konstruktion“ von PKE-Verfahren aus Einwegfunktionen existiert. 

43

12 Hybride Verschlüsselung 

Fassen wir noch einmal die Vor- und Nachteile von PKE- und SKE-Schemata zusammen: 

• PKE-Schemata sind flexibler (und erfordern insbesondere keinen Austausch eines gemeinsamen 

geheimen Schlüssels), sind aber ineffizienter als SKE-Schemata; 

• SKE-Schemata sind effizienter, erfordern aber einen gemeinsamen geheimen Schlüssel. 

Ein hybrides Verschlüsselungssystem sucht danach, die Vorteile beider Systeme zu vereinen. Technisch 

betrachtet sind hybride Verschlüsselungen deshalb zunächst gewöhnliche PKE-Verfahren; 

allerdings werden in einem Hybridverfahren in einer generischen Weise SKE-Verfahren genutzt, um 

eine höhere Effizienz zu erzielen. 

Definition. Sei PKE = (Gen, Enc, Dec) ein PKE-Schema und SKE = (G, E, D) ein SKE-Schema, 

so daß der Nachrichtenraum von PKE den Schlüsselraum von SKE umfaßt. (Mit anderen Worten: 

PKE kann genutzt werden, um SKE-Schlüssel zu verschlüsseln.) Dann definieren wir das hybride 

PKE-Schema PKE Hyb = (Gen Hyb , Enc Hyb , Dec Hyb ) wie folgt: 

Algorithmus Gen Hyb (1 k ) 

(pk, sk) ← Gen(1 k ) 


Algorithmus Enc Hyb (pk, M) 

K ← G(1 k ) 

C PKE ← Enc(pk, K) 

C SKE ← E(K, M) 

C := (C PKE , C SKE ) 

return C 

Algorithmus Dec Hyb (sk, C) 

parse C =: (C PKE , C SKE ) 

K ← Dec(sk, C PKE ) 

M ← D(K, C SKE ) 

return M 

Vorteile hybrider Verschlüsselung. PKE Hyb verschlüsselt zunächst einen Sitzungsschlüssel“ 

” 

K mit PKE, um dann die eigentliche Nachricht mit SKE (und Schlüssel K) zu verschlüsseln. Es ergibt 

sich die Sinnfrage: Warum überhaupt derartig verschachtelt verschlüsseln? Dies scheint zunächst 

die (In-)Effizienz der beiden verwendeten Verfahren zu vereinen. Es scheint, als hätte man genauso 

gut gleich die Nachricht mit PKE verschlüsseln können. 

Um dieser Überlegung zu entgegnen sei zunächst bemerkt, daß der Nachrichtenraum von PKE Hyb 

gleich dem Nachrichtenraum von SKE ist. Dies ist von großem Vorteil, haben wir doch im vorigen 

Abschnitt gesehen, daß wir auf einfache Weise effiziente und sogar IND-CCA-sichere SKE-Schemata 

mit Nachrichtenraum {0, 1} ∗ konstruieren können. Umgekehrt sind die Nachrichtenräume der bislang 

betrachteten PKE-Verfahren endlich (etwa {0, 1} k , Z N , oder G). 

Stellt man sich nun vor, extrem lange Nachrichten (etwa den gesamten Datenstrom einer SSL- 

Verbindung) verschlüsseln zu wollen, fällt der Aufwand für die PKE-Verschlüsselung Enc(pk, K) 

bei PKE Hyb kaum noch ins Gewicht; die Hauptarbeit wird vom Secret-Key-Verfahren SKE geleistet, 

das M verschlüsselt. In diesem Sinne vereint PKE Hyb die Vorteile von Public-Key- und Secret-Key- 

Verfahren insbesondere dann, wenn lange Nachrichten verschlüsselt werden sollen. 

Sicherheit. Intuitiv ist zu erwarten, daß PKE Hyb unsicher ist, sobald einer der Teilbausteine (also 

PKE oder SKE) unsicher ist. Interessanter ist natürlich der Fall, daß sowohl PKE als auch SKE sicher 

sind: 

Theorem 12.1 ((Aktive) Sicherheit hybrider Verschlüsselung). Sind die in PKE Hyb verwendeten 

Verfahren PKE und SKE beide IND-CCA-sicher, so ist auch PKE Hyb IND-CCA-sicher. 

44

Beweis. Geben wir uns einen gültigen Angreifer A auf die IND-CCA-Sicherheit von PKE Hyb vor. 

Wir müssen zeigen, daß Adv ind-cca 

PKE Hyb ,A vernachlässigbar ist. 

Sei Spiel 1 das IND-CCA-Experiment mit PKE Hyb und A, so daß 

[ 

] 

Pr [out 1 = 1] = Pr ExpPKE ind-cca 

Hyb ,A (k) = 1 

für die Ausgabe out 1 von Spiel 1 ist. 

Für die Beschreibung von Spiel 2 bezeichne K ∗ den in Spiel 1 bei der Erstellung des Zielchiffrats 

C ∗ = (CPKE ∗ , C∗ SKE ) erzeugten, in C∗ PKE ← Enc(pk, K∗ ) verschlüsselten, und in CSKE ∗ ← E(K∗ , M b ) 

benutzten Sitzungsschlüssel. In Spiel 2 erzeugen wir stattdessen CPKE ∗ ← Enc(pk, K′ ) für einen 

zusätzlichen, unabhängig gezogenen Schlüssel K ′ ← G(1 k ). Weiter werden in Spiel 2 Dec Hyb - 

Anfragen für C = (C PKE , C SKE ) mit C PKE = CPKE ∗ behandelt, als ob K∗ ← Dec(sk, CPKE ∗ ) gelten 

würde. (Mit anderen Worten: Es ist CPKE ∗ tatsächlich ein Chiffrat von K′ , das aber wie ein Chiffrat 

von K ∗ behandelt wird.) 

Wir konstruieren einen IND-CCA-Angreifer A PKE auf PKE, der den Übergang von Spiel 1 

nach Spiel 2 legitimiert. A PKE simuliert intern Spiel 1, bettet aber den im IND-CCA-Spiel mit PKE 

erhaltenen öffentlichen Schlüssel pk als öffentlichen Schlüssel von PKE Hyb in das simulierte Spiel ein. 

Dec Hyb -Anfragen von A beantwortet A PKE unter Benutzung des eigenen Dec(sk, ·)-Orakels. Für das 

Zielchiffrat im simulierten Spiel wird CPKE ∗ gesetzt als Zielchiffrat in A PKEs eigenem IND-CCA-Spiel, 

wobei K ∗ und K ′ die von A PKE gewählten Nachrichten sind. Tritt CPKE ∗ in einer Dec Hyb-Anfrage 

von A auf, so kann A PKE diese Anfrage natürlich nicht mittels des Dec(sk, ·)-Orakels entschlüsseln 

lassen, da es sich hierbei um A PKE s eigenes Zielchiffrat handelt. In diesem Fall behandelt A PKE das 

Chiffrat CPKE ∗ als Chiffrat von K∗ . Schließlich gibt A PKE die Ausgabe des simulierten Spiels aus. 

Auf diese Weise simuliert A PKE exakt Spiel 1, sofern A PKE als eigenes Zielchiffrat CPKE ∗ ← 

Enc(pk, K ∗ ) erhält. Erhält A PKE aber CPKE ∗ ← Enc(pk, K′ ) als Zielchiffrat, so simuliert A PKE genau 

Spiel 2. Damit ist die Ausgabe von A PKE entweder out 1 oder out 2 , je nachdem, ob K ∗ oder K ′ für 

A PKE verschlüsselt wird. Intuitiv gesprochen heißt dies: Läge die Verteilungen von out 1 und out 2 

nicht-vernachlässigbar auseinander, so wäre A PKE ein erfolgreicher IND-CCA-Angreifer gegen PKE. 

Formal: 

Pr [out 1 = 1] − Pr [out 2 = 1] = 2Adv ind-cca 

PKE,A PKE 

(k). 

Aus Spiel 2 kann weiter direkt ein IND-CCA-Angreifer A SKE auf SKE hergeleitet werden. Genauer 

simuliert A PKE Spiel 2, leitet aber As Zielnachrichten M 0 , M 1 an das eigene IND-CCA- 

Experiment mit SKE. Das erhaltene Chiffrat CSKE ∗ wird in das Zielchiffrat C∗ des simulierten Spiels 

eingebettet. Man beachte, daß demnach A SKE den bei der Generierung von CSKE ∗ genutzten Schlüssel 

K ′ nicht kennt, also Dec-Anfragen der Form C = (CPKE ∗ , C SKE unter Benutzung des eigenen IND- 

CCA-Orakels für SKE (mit implizitem Schlüssel K ′ ) beantworten muß. Hiermit gilt 

so daß insgesamt 

Pr [out 2 = 1] = Adv ske-ind-cca 

SKE,A SKE 

(k) + 1/2, 

Pr [out 1 = 1] − 1/2 = 2Adv ind-cca 

PKE,A PKE 

(k) + Adv ske-ind-cca 

SKE,A SKE 

(k) 

nach Annahme über PKE und SKE vernachlässigbar ist, was die Sicherheit von PKE Hyb zeigt. 

Analog erhält man: 

Theorem 12.2 ((Passive) Sicherheit hybrider Verschlüsselung). Sind die in PKE Hyb verwendeten 

Verfahren PKE und SKE beide IND-CPA-sicher, so ist auch PKE Hyb IND-CPA-sicher. 

45

13 Identitätsbasierte Verschlüsselung 

Motivation. Ein PKE-Schema hat gegenüber einem SKE-Schema den erheblichen Vorteil, daß 

kein initialer Schlüsselaustausch nötig ist. Es reicht aus, den öffentlichen Schlüssel des Empfängers 

zu kennen, um verschlüsselte Nachrichten an ihn zu erzeugen. Es muß allerdings immer noch ein 

Weg gefunden werden, an den öffentlichen Schlüssel des Empfängers zu gelangen. In einem System 

mit vielen Benutzern kann hierzu etwa ein zentraler Schlüsselserver diese Schlüssel aller Benutzer 

bereithalten. 

Ein anderer Weg kann mit identitätsbasierter Verschlüsselung beschritten werden: hier reicht es 

aus, die Identität (etwa die E-Mail-Adresse) des Empfängers zu kennen, um verschlüsselte Nachrichten 

an diesen zu generieren. Natürlich muß sichergestellt werden, daß nur der designierte Empfänger 

eine derart verschlüsselte Nachrichte auch wieder entschlüsseln kann. Deshalb erhält jeder Benutzer 

einen speziellen geheimen Schlüssel, den user secret key für seine Identität. Dieser muß von einer 

speziellen Entität bereitgestellt werden, die einen master secret key besitzt, mit dem alle user secret 

keys generiert werden können. Aus diesem Grund muß es im System auch einen master public key 

geben, der bei der Verschlüsselung genutzt wird. (Man beachte allerdings, daß dieser master public 

key von allen Benutzern genutzt wird und insbesondere nicht von einer Identität abhängt.) 

Definition. 

Man gelangt zu folgender Definition: 

Definition 13.1 (IBE-Schema). Ein IBE-Schema IBE mit Nachrichtenraum M k ⊆ {0, 1} ∗ und 

Identitätsraum ID k ⊆ {0, 1} ∗ besteht aus vier PPT-Algorithmen (Gen, Ext, Enc, Dec): 

Schlüsselgenerierung. Gen(1 k ) gibt bei Eingabe 1 k ein Schlüsselpaar (mpk, msk) aus. 

Extraktion (Generierung von Benutzerschlüsseln). Ext(msk, id) gibt bei Eingabe eines master 

secret keys msk und einer Identität id ∈ ID k einen user secret key usk id aus. 

Verschlüsselung. Enc(mpk, id, M) gibt bei Eingabe eines master public keys mpk, einer Identität 

id ∈ ID k und einer Nachricht M ∈ M k ein Chiffrat C aus. 

Entschlüsselung. Dec(usk id , C) gibt bei Eingabe eines user secret keys usk id und eines Chiffrats 

C eine Nachricht M ∈ M k ∪ {⊥} aus. 

Wir fordern Korrektheit in dem Sinne, daß für alle k ∈ N, alle Nachrichten M ∈ M k und Identitäten 

id ∈ ID k , alle (mpk, msk) ← Gen(1 k ), usk id ← Ext(msk, id) und C ← Enc(mpk, id, M) 

immer Dec(usk id , C) = M gilt. 

Motivation zur Sicherheitsdefinition. Bevor wir ein konkretes IBE-Schema vorstellen, sollten 

wir einen Augenblick über eine mögliche Sicherheitsdefinition nachdenken. Grundsätzlich soll 

wieder eine IND-CPA-artige (bzw. IND-CCA-artige) Definition behandelt werden. Es soll also für 

einen Angreifer wieder darum gehen, ein ehrlich generiertes Chiffrat einer von zwei selbstgewählten 

Nachrichten zuzuordnen. Wie im Falle von IND-CPA- und IND-CCA-Sicherheit wird eine derartig 

sicheres Verfahren sichere Kanäle realisieren. Man beachte allerdings, daß ein IBE-Schema 

grundsätzlich ein System für viele Benutzer bereitstellt. Einige dieser Benutzer könnten hierbei 

korrumpiert sein. Es muß deshalb garantiert sein, daß etwa Wissen um einen user secret key usk id 

nicht ermöglicht, für id ′ ≠ id verschlüsselte Nachrichten zu entschlüsseln. (Man überlege sich, wieviel 

Nutzen ein Verschlüsselungssystem hätte, bei dem ein Benutzer die an einen anderen Benutzer 

gerichteten Nachrichten lesen kann.) 

46

Sicherheitsdefinition. 

Wir gelangen zu folgender Definition: 

Definition 13.2 (IBE-IND-CPA). Sei IBE = (Gen, Ext, Enc, Dec) ein IBE-Schema, und sei A ein 

PPT-Algorithmus. Sei 

[ 

] 

Adv ibe-ind-cpa 

IBE,A 

(k) := Pr Exp ibe-ind-cpa 

IBE,A 

(k) = 1 − 1 2 , 

wobei das Experiment Exp ibe-ind-cpa 

IBE,A 


Experiment Exp ibe-ind-cpa 

IBE,A 

(k) 

(mpk, msk) ← Gen(1 k ) 

(id ∗ , M 0 , M 1 , state) ← A Ext(msk,·) (1 k , find, mpk) 

b ← {0, 1} 

C ∗ ← Enc(mpk, id ∗ , M b ) 

b ′ ← A Ext(msk,·) (1 k , attack, state, C ∗ ) 


else return 0 

A heißt gültig, wenn es in Exp ibe-ind-cpa 

IBE,A 

immer |M 0 | = |M 1 | garantiert und sein Ext-Orakel nie nach 

einem Schlüssel für id ∗ befragt. IBE ist IBE-IND-CPA-sicher, falls für jedes gültige A die Funktion 


Adv ibe-ind-cpa 

IBE,A 

Diese Definition heißt IBE-IND-CPA (und nicht etwa IBE-IND-CCA), da A kein Entschlüsselungsorakel 

(für Chiffrate für die Zielidentität C ∗ ) erhält. Tatsächlich kann man Definition 13.2 

leicht zu einer derartigen IBE-IND-CCA-Definition erweitern. Hierfür gibt man A Zugriff auf 

ein Dec-Orakel, welches bei Eingabe (id, C) zunächst usk id ← Ext(msk, id) ausführt und dann 

Dec(usk id , C) zurückgibt. Die entstehende Definition wird für uns allerdings nicht weiter interessant 

sein, da wir kein IBE-IND-CCA-sicheres Schema vorstellen werden. 

Eine abgeschwächte Sicherheitsdefinition. Leider ist es nicht einfach, Definition 13.2 zu 

erfüllen. Wir werden deshalb zunächst eine technische Abschwächung von IBE-IND-CPA-Sicherheit 

angeben und zeigen, wie diese erfüllt werden kann. Einziger Unterschied zu Definition 13.2 ist 

hierbei, daß sich der Angreifer A auf die Zielidentität id ∗ festlegen muß, bevor er auch nur den 

master public key mpk gesehen hat. 

Definition 13.3 (IBE-sID-IND-CPA). Betrachte Definition 13.2 mit folgendem abgewandeltem 

Experiment Exp ibe-sid-ind-cpa 

IBE,A 

: 

Experiment Exp ibe-sid-ind-cpa 

IBE,A 

(k) 

(id ∗ , state) ← A(1 k , select) 

(mpk, msk) ← Gen(1 k ) 

(M 0 , M 1 , state ′ ) ← A Ext(msk,·) (1 k , find, mpk, state) 

b ← {0, 1} 

C ∗ ← Enc(mpk, id ∗ , M b ) 

b ′ ← A Ext(msk,·) (1 k , attack, state ′ , C ∗ ) 


else return 0 

47

Genügt IBE der sich ergebenden Sicherheitsdefinition, so heißt IBE IBE-sID-IND-CPA-sicher (für 

IBE-IND-CPA-sicher unter selective-ID-Angriffen“). 

” 

Offenbar impliziert IBE-IND-CPA-Sicherheit schon IBE-sID-IND-CPA-Sicherheit. Umgekehrt 

läßt sich aus einem IBE-sID-IND-CPA-sicheren IBE-Schema leicht eines konstruieren, welches immer 

noch IBE-sID-IND-CPA-sicher, aber nicht IBE-IND-CPA-sicher ist. (Wie?) 

Technische Hilfsmittel. Schon IBE-sID-IND-CPA-Sicherheit hat sich als recht schwer zu erfüllen 

entpuppt. Wir werden uns deshalb eines mittlerweile sehr populären technischen Hilfsmittels bedienen, 

nämlich dem eines pairings. Genauer werden wir zwei zyklische Gruppe G, G T von primer 

Ordnung |G| = |G T | = q annehmen, zusammen mit einer Abbildung e : G × G → G T (dem 

pairing“), die folgende Eigenschaften hat: 

” 

nicht-ausgeartet: für g ∈ G mit g ≠ 1 gilt e(g, g) ≠ 1 ∈ G T . 

bilinear: für g ∈ G und a, b ∈ N gilt e(g a , g b ) = e(g, g) ab . 

Insbesondere gilt e(g, h) = e(h, g) und e(g, h · u) = e(g, h) · e(g, u). Solche Gruppen und pairings 

existieren trivialerweise für beliebige q: man betrachte etwa G = G T = Z + q und e(g, h) = g + h. 

Diese Gruppen sind für uns nicht besonders interessant; für unsere Zwecke setzen wir voraus, daß 

gewisse Probleme in G, G T hart sind. 

Wir können allerdings nicht erwarten, daß zum Beispiel die DDH-Annahme in G gilt: man 

überlege sich, daß das pairing e erlaubt, effizient DDH-Tupel (g, g a , g b , g ab ) ∈ G 4 von zufälligen 

G 4 -Tupeln zu unterscheiden. Es gibt andererseits Kandidaten für pairing-Gruppen G, G T , für die 

die DDH-Annahme in G T gilt. Da hier allerdings keine Aussage über G-Elemente gemacht wird, 

ist auch die DDH-Annahme in G T für unsere Zwecke nicht weiter nützlich. Wir werden deshalb 

folgende, auf unser Szenario zugeschnittene DDH-Variante betrachten: 

Bilinear-Decisional-Diffie-Hellman-(BDDH-)Annahme. Es ist schwierig, gegeben g, g a , g b , 

g c ∈ G, das Element e(g, g) abc ∈ G T von einem zufälligen G T -Element zu unterscheiden. Genauer 

nehmen wir an, daß für jeden PPT-Algorithmus A die Funktion 

Adv bddh 

G,G T ,A(k) := Pr 

[ 

Exp bddh 

G,G T ,A(k) = 1 

] 

− 1 2 

vernachlässigbar ist, wobei das Experiment Exp bddh 

G,G T ,A wie folgt definiert ist: 

Experiment Exp bddh 

G,G T ,A (k) 

g ← Gens G 

a, b, c, d ← [q] 

b ← {0, 1} 

(g 0 , g 1 ) := (e(g, g) abc , e(g, g) d ) 

b ′ ← A(1 k , g, g a , g b , g c , g b ) 


else return 0 

14 Das IBE-Schema von Boneh und Boyen 

Wir sind nun bereit, das Boneh-Boyen-Schema vorzustellen. Wie schon angedeutet wurde, wird dieses 

Schema nur selective-ID-Sicherheit erzielen. Wir nehmen zyklische Gruppen G, G T der (primen) 

48

Ordnung q mit pairing e : G × G → G T an, so daß die BDDH-Annahme gilt. 

Das Schema. Man betrachte das folgende IBE-Schema IBE BB mit Identitätsraum [q] und Nachrichtenraum 

G T : 

Algorithmus Gen BB (1 k ) 

Algorithmus Enc BB (mpk, id, M) 

wähle α, β ← [q] und g, h ← G 

parse mpk =: (g, h, u, v) 

mpk := (g, h, u, v) := (g, h, g α , e(g, g) αβ ) wähle s ← [q] 

msk := (g, h, u, α, β) 

C := (c 0 , c 1 , c 2 ) := (M · v s , g s , ( u id h ) s ) 

return (mpk, msk) 

return C 

Algorithmus Ext BB (msk, id) 

Algorithmus Dec BB (usk id , C) 

parse msk =: (g, h, u, α, β) 

parse usk id =: (d 1 , d 2 ) und C =: (c 0 , c 1 , c 2 ) 

wähle r ← [q] 

usk id := (d 1 , d 2 ) := (g αβ · (u id h ) M := c 0 · e(c 1 , d 1 ) −1 · e(c 2 , d 2 ) 

r , g r ) return M 

return usk id 

Korrektheit. 

Korrektheit folgt wegen 

Dec BB (usk id , C) = c 0 · e(c 2, d 2 ) 

e(c 1 , d 1 ) = M · ( 

e(g, g) αβ) s 

· 

= M · e(g, g) αβs e( ( u id h ) s , g r ) 

· 

e(g s , g αβ ) · e(g s , (u id h) r ) 

e( ( u id h ) s , g r ) 

e(g s , g αβ · (u id h) r ) 

e(g, g)αβs 

= M · 

e(g, g) αβs · e(( u id h ) , g) rs 

e(g, (u id h)) rs 

Vorbemerkungen zur Sicherheit. Beim Beweis der IBE-sID-IND-CPA-Sicherheit eines IBE- 

Schemas sind wir in einer ähnlichen Lage wie bei einem IND-CCA-Beweis. Während einer Reduktion 

müssen wir in der Lage sein, für einen Angreifer ein Ext-Orakel zu implementieren, dürfen dabei 

aber nicht den vollständigen (master) secret key kennen. Unsere Lösung im IND-CCA-Fall bestand 

darin, das Zielchiffrat während des Beweises inkonsistent zu machen (wobei hierbei vom Schema 

abhängig ist, was inkonsistent“ genau bedeutet). 

” 

Im Falle des IBE-Schemas IBE BB werden wir allerdings einen anderen Weg einschlagen. Genauer 

werden wir während der Reduktion auf die BDDH-Annahme eine Simulation des IBE-sID- 

IND-CPA-Experiments mit einem punktierten“ master secret key entwerfen. Hierbei bedeutet 

” 

punktiert“, daß dieser master secret key genutzt werden kann, um alle Ext-Anfragen perfekt zu 

” 

beantworten, außer denen für die vorher vom Angreifer festgelegte Zielidentität id ∗ . Auf diese Weise 

kann die Reduktion von einer Vorhersage des Angreifers für das id ∗ -Chiffrat C ∗ profitieren, dabei 

aber alle Ext-Anfragen beantworten. 

Der Sicherheitsbeweis. 

Wir zeigen: 

Theorem 14.1 (Sicherheit von IBE BB ). Gilt die BDDH-Annahme für die Gruppen G, G T , dann 

ist das IBE-Schema IBE BB IBE-sID-IND-CPA-sicher. 

Beweis. Da der Beweis nur aus einer einzigen Reduktion besteht, werden wir den Beweis diesmal 

nicht spielbasiert führen. Stattdessen geben wir für einen angenommenen IBE-Angreifer A direkt 

einen BDDH-Unterscheider D (mit demselben Erfolg wie A) an. 

49 

= M

Sei also A ein gültiger IBE-sID-IND-CPA-Angreifer auf IBE BB . Wir beschreiben nun einen 

BDDH-Angreifer D, den wir aus A konstruieren. Angenommen, D erhält als Eingabe G-Elemente 

g, g a , g b , g c sowie ein Element z ∈ G T . Ziel von D ist es, herauszufinden, ob z = e(g, g) abc ist, oder 

ob z ← G T zufällig gezogen wurde. 

Generierung des punktierten“ master secret keys. Als erstes ruft D den IBE-Angreifer 

” 

A mit select-Eingabe auf und erhält eine Zielidentität id ∗ . Hierauf wählt D einen zufälligen 

Exponenten x ∈ [q] und legt sich folgende Variablen zurecht: 

u := g a , v := e(g a , g b ), h := u −id ∗ · g x . 

Man beachte, daß u id h = g a(id−id ∗ )+x ist und der entstehende master public key 

mpk := (g, h, u, v) 

exakt so wie in einem IBE-sID-IND-CPA-Experiment mit IBE BB verteilt ist. 

Simulation von A. Anschließend führt D das IBE-sID-IND-CPA-Experiment mit A (weiter) 

aus. Hierbei wird mpk als master public key an A übergeben, A wählt zwei Nachrichten M 0 , M 1 , 

dann wählt D ein Bit b ← {0, 1}, und verschlüsselt schließlich M b für A. Beachtenswert sind hier 

zwei Besonderheiten. Zum einen kennt D nicht den zugehörigen master secret key (der insbesondere 

die geheimen Exponenten α = a und β = b enthalten würde). Wir müssen also beschreiben, wie 

D für A das Ext-Orakel implementiert. Zum anderen wird D natürlich versuchen, A zum Lösen 

seiner eigenen BDDH-Aufgabe zu nutzen. Dafür wird D in das Zielchiffrat C ∗ die zu D’s eigenem 

Problem gehörige Eingabe z ∈ G T einbauen. Wir werden auch hier beschreiben, wie das genau zu 

geschehen hat. 

Implementierung des Ext-Orakels. Nehmen wir an, A stellt eine Anfrage id an das Ext-Orakel. 

Wir dürfen dabei annehmen, daß id ≠ id ∗ ist. Da für den zurechtgelegten master public key ein 

zugehöriger (D nicht vollständig bekannter) master secret key die Form (g, h, u, α, β) mit α = a 

und β = b hat, hat ein korrekt generierter user secret key für id die Form 

( r ( 

usk id = (d 1 , d 2 ) = (g ab · u h) ) 

id , g r ) = (g ab · g a(id−id ∗ r 

)+x , g r ). 

Ziehen wir r ′ ← [q] zufällig und setzen 

−1 

d 2 := g r′ · 

(g 

b) id−id ∗ , 

so ist implizit r := r ′ − b/(id − id ∗ ), weshalb auch das zugehörige d 1 von D mittels 

d 1 = g ab+(a(id−id ∗ )+x)(r ′ − id−id ∗ ) = g 

b 

id−id∗ 

ab(1− id−id ∗ )+a·(id−id ∗ )·r ′ x 

−b· id−id ∗ +x·r ′ 

= (g a ) (id−id ∗ )·r ′ · 

(g b) − x 

id−id ∗ 

· g x·r′ 

berechnet werden kann. Auf diese Weise kann D perfekt verteilte user secret keys für alle Identitäten 

id ≠ id ∗ generieren. Man beachte aber, daß diese Rechnung für id = id ∗ fehlschlägt. 

50

Einbettung des BDDH-Problems. Das Zielchiffrat C ∗ = (c 0 , c 1 , c 2 ) für A wird nicht mittels 

Enc generiert, sondern aus D’s BDDH-Aufgabe z. Man rufe sich in Erinnerung, daß Enc(mpk, id ∗ , M b ) 

Chiffrate der Form 

( s) 

(c 0 , c 1 , c 2 ) = (M b · v s , g s , u h) id ∗ 

generiert. Setzen wir nun c 1 := g c (für D’s Eingabe g c ) an, so ergibt sich 

( ) 

c 2 = u id ∗ c ( 

h = u id ∗ −id ∗ g x) c 

= (g c ) x , 

was wiederum von D aus g c und x berechnet werden kann. Weiter ist 

c 0 = M b · v c = M b · e(g, g) abc . 

In dieser Situation übergibt D dem Angreifer A als Zielchiffrat 

C ∗ := (c ∗ 0, c ∗ 1, c ∗ 2) := (M b · z, g c , (g c ) x ). 

Ist z = e(g, g) abc , so liefert dies ein perfekt verteiltes Chiffrat von M b . Ist aber z ← G T 

(und unabhängig) gewählt, so ist auch C ∗ unabhängig von b. 

zufällig 

Ausgabe und Analyse. Gibt A schließlich Ausgabe b ′ , so gibt D die Ausgabe des Experiments 

aus. (D gibt also 1 aus genau dann wenn b = b ′ ist.) Nach dem oben Gesagten ist 

[ 

] 

Pr D(1 k , g, g a , g b , g c , e(g, g) abc ) = 1 = Adv ibe-sid-ind-cpa 

IBE,A 

(k). 

Andererseits ist 

[ 

] 

Pr D(1 k , g, g a , g b , g c , z) = 1 = 1/2 

(für zufälliges z ← G T ), da in diesem Fall As Ausgabe b ′ unabhängig vom in der Simulation 

verwendeten b ist. Zusammenfügen ergibt 

G,G T ,D(k) = Advibe-sid-ind-cpa 

IBE,A 

(k) 

, 

2 

Adv bddh 

woraus die IBE-sID-IND-CPA-Sicherheit von IBE BB folgt. 

Von selective-ID- zu voller IBE-IND-CPA-Sicherheit. Der vorgestellte Beweis nutzt wesentlich 

aus, daß die Zielidentität id ∗ von vornherein bekannt ist. Insbesondere wird in der Simulation 

der master public key in Abhängigkeit von id ∗ konstruiert. Genauer wird die Simulation in 

der Lage sein, alle Ext-Anfragen bis auf id ∗ zu beantworten. Wählt ein Angreifer id ∗ aber adaptiv, 

in Abhängigkeit von mpk (oder womöglich sogar Ext-Antworten), dann versagt diese Strategie. Im 

folgenden soll eine Idee skizziert werden, die zu voller Sicherheit führt. 

Stellen wir uns nun eine Simulation vor, in der es viele Identitäten gibt, für die Ext-Anfragen 

nicht beantwortet werden können; jede dieser Identitäten sei für die Einbettung eines BDDH- 

Problems geeignet. Genauer sei die Wahrscheinlichkeit für jede Identität P , daß die Simulation 

eine Ext-Anfrage für diese Identität beantworten kann. Stellen wir uns idealisierend diese Wahrscheinlichkeiten 

als unabhängig vor, dann könnte eine solche Simulation mit Wahrscheinlichkeit 

51

P Q (1 − P ) eine Anzahl von Q Ext-Anfragen beantworten, und dann ein BDDH-Problem in die Zielidentität 

id ∗ einbetten. Wählen wir P = 1/(2Q), so gelingt die Simulation mit Wahrscheinlichkeit 

1/O(Q). Da der simulierte Angreifer PPT ist, wird Q polynomiell sein, weshalb 1/O(Q) signifikant 

sein wird, was ausreicht, um IBE-IND-CPA-Sicherheit zu zeigen. 

Ein IBE-Schema, das IBE BB in dieser Weise abwandelt und als sicher beweist, wird in [8] vorgestellt. 

Literatur 

[1] Werner Alexi, Benny Chor, Oded Goldreich, and Claus-Peter Schnorr. RSA and Rabin functions: 

Certain parts are as hard as the whole. SIAM Journal on Computing, 17(2):194–209, 

1988. 

[2] Manuel Blum and Silvio Micali. How to generate cryptographically strong sequences of pseudorandom 

bits. SIAM Journal on Computing, 13(4):850–864, 1984. 

[3] Oded Goldreich, Shafi Goldwasser, and Silvio Micali. How to construct random functions. 

In 25th FOCS, pages 464–479, Singer Island, Florida, October 24–26, 1984. IEEE Computer 

Society Press. 

[4] Oded Goldreich and Leonid A. Levin. A hard-core predicate for all one-way functions. In 21st 

ACM STOC, pages 25–32, Seattle, Washington, USA, May 15–17, 1989. ACM Press. 

[5] Johan Håstad, Russell Impagliazzo, Leonid A. Levin, and Michael Luby. A pseudorandom 

generator from any one-way function. SIAM Journal on Computing, 28(4):1364–1396, 1999. 

[6] Moni Naor and Moti Yung. Public-key cryptosystems provably secure against chosen ciphertext 

attacks. In 22nd ACM STOC, Baltimore, Maryland, USA, May 14–16, 1990. ACM Press. 

[7] Amit Sahai. Non-malleable non-interactive zero knowledge and adaptive chosen-ciphertext 

security. In 40th FOCS, pages 543–553, New York, New York, USA, October 17–19, 1999. 

IEEE Computer Society Press. 

[8] Brent R. Waters. Efficient identity-based encryption without random oracles. In Ronald Cramer, 

editor, EUROCRYPT 2005, volume 3494 of LNCS, pages 114–127, Aarhus, Denmark, May 22– 

26, 2005. Springer, Berlin, Germany. 

52

Beweisbar sichere Kryptographie - IKS - KIT

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?