Diskussion:Sicherheitseigenschaften kryptografischer Verfahren

Letzter Kommentar: vor 5 Jahren von 2001:16B8:686C:8A00:7D18:9BCE:E42E:A2F1 in Abschnitt SUF bedeutet meist Strong (Existential) Unforgeability

Verschiebung Sicherheitsbegriff -> Sicherheitseigenschaft

Bearbeiten

Ich kann den Grund fuer die Verschiebung nicht nahvollziehen. Als "Sicherheitseigenschaft" wuerde ich z.b. die Kollisionsresistenz von Hashfunktionen bezeichnen. Sicherheitsbegriff ist die Uebersetzung von "security notion", dem im Englischen standardmaessig verwendeten Begriff (s. u. a. "Relations Among Notions of Security for Public-Key Encryption Schemes" [1]) und bezeichnet fuer mich die Verbindung von Angreifermodell und Sicherheitsziel, wie eben bei IND-CPA. Laut Google books verwendet auch Beutelspacher den Begriff und auch auf einigen Vorlesungsseiten ist er zu finden. [2], [3] Jedenfalls ist mir nicht klar, warum eine Verschiebung notwendig war. --Mario d 11:28, 16. Jan. 2011 (CET)Beantworten

Hallo Mario. Ich bin nicht mehr so regelmäßig bei Wikipedia unterwegs,daher bitte nicht wundern, wenn ich mal nicht innerhalb von Tagen reagiere. In diesem Fall ist es Zufall, dass ich in Wikipedia war.
Zu deinem Einwand: Der Terminus "Sicherheitsbegriff" mag im Kontext von Kryptologie verständlich sein, aber nur, wenn dieser Kontext bekannt ist. Wenn also in einem Krypto-Buch ein Kapitel so heißt, ist klar, was damit gemeint ist. Aber mal ehrlich: Wenn du den Brockhaus unter "S" aufschlügest und dort einen Artikel "Sicherheitsbegriff" fändest, wäre dir klar, dass es um Kryptologie geht und nicht allgemein um Sicherheit? Mir nicht! Der Terminus "Sicherheitsbegriff" wird vielleicht genauso im Bereich Biometrie, Reaktorsicherheit, Feuerbekämpfung, Notfallmedizin, Netzwerke, etc. verwendet. An sich ist der Terminus generisch und bezieht sich nicht auf Kryptologie. Die meisten Google-Treffer stammen aus den Bereichen Politik und Soziologie, siehe z.B. Erweiterter Sicherheitsbegriff, hier oder hier. Daher die Verschiebung. Dort wird er übrigens in einer Weise verwendet, die man im englischen als "Concept of Security" Oder "Perception of Security" übersetzen würde, und ich finde er hat auch im Deutschen diesen Anklang von Philosophie, Auffassung, Vorstellung. Also etwas eher subjektives.
Von mir aus können wir den Artikel auch "Sicherheitsbegriff in der Kryptologie" nennen, aber mir ist selbst im Kontext der Kryptologie der Terminus nicht als feststehender Begriff bekannt. "Security Notion" schon, aber nicht immer kann man einfach die Übersetzung als genauso passend ansehen, vor allem nicht wo "Begriff" nicht nur "notion" heißt und umgekehrt. Sicherheitsmodelle" oder "Sicherheitseigenschaften" kommt mir schon vertrauter und klarer vor. Das finde ich noch besser.
Im übrigen passt meiner Meinung nach die Kollisionsresistenz von Hashfunktionen hervorragen in den Artikel, denn dies ist genauso eine Eigenschaft, die man für kryptographische Verfahren anstrebt, wie Semantische Sicherheit oder Sicherheit gegen Adaptively Chosen Message Attacks bei Verschlüsselung. Ich sehe da überhaupt keinen Unterschied. --Mojo1442 23:38, 19. Jan. 2011 (CET)Beantworten
Den Eintrag auf deiner Disk hatte ich nur hinterlassen, weil es ja sein kann, dass du die Seite nicht in deiner Beobachtungsliste hast (ist mir auch schon versehentlich passiert). Die Seite habe ich unter "Sicherheitsbegriff" angelegt, weil es noch keine andere mit dem Namen gab. Der erste Satz macht ja klar um was es geht, und falls doch mal jemand den Begriff fuer etwas anderes beansprucht, koennte man ja eine Begriffsklaerung anlegen und nach "Sicherheitsbegriff_(Kryptologie)" oder so verschieben.
Davon abgesehen bin ich mir auch nicht sicher, ob "Sicherheitsbegriff" das richtige Wort ist, vielleicht ist "Sicherheitsmodell" wirklich gelaeufiger. Bei "Sicherheitseigenschaft" bin ich mir icht so sicher, ich wuerde sagen, dass z.B. IND oder EUF eine Sicherheitseigenschaft ist, IND-CPA oder EUF-CMA hingegen ein Sicherheitsbegriff/-modell. Was zaehlt ist aber natuerlich nicht meine Meinung, sondern die Verwendung in der Community (wenn es da eine einheitliche gibt). Aus dem Artikel eine Liste von Sicherheitsbegriffen zu machen, halte ich nicht fuer sinnvoll. Kollisionsresistenz ist schnell erklaert und in einem Artikel ueber Hashfunktionen sicherlich besser aufgehoben. Die spielbasierten Modelle brauchen etwas mehr Text (und es gibt mehr davon), deshalb habe ich sie hierhin ausgelagert. Dass der Artikel im Moment leider sehr wie eine Liste aussieht, dessen bin ich mir bewusst, da gibt es noch einiges zu tun. Fuer Vorschlaege oder tatkraeftigen Einsatz bin ich immer dankbar. --Mario d 18:55, 21. Jan. 2011 (CET)Beantworten
Die Sicherheitseigenschaften folgen natürlich aus Aussagen in den Modellen. So ist das Random Oracle Modell ein Sicherheitsmodell, aber ein Sicherheitsbeweis in diesem Modell ist definiert eine Eigenschaft. Insofern kann man das Random Oracle Modell auch in einem Artikel über Sicherheitseigenschaften behandeln, dann ist das ROM aber nicht der Gegenstand des Artikels. Dabei sind die Modelle doch das eigentlich besondere an der Kryptologie. Insofern stimme ich dir zu, dass es bessere Namen gibt als Sicherheitseigenschaft, vor allem Sicherheitsmodell finde ich gut. Aber auch dieser Terminus ist nicht spezifisch für Kryptologie, suche mal in Wikipedia nach Sicherheitsmodell, da gibt es viele Treffer. "Sicherheitsmodelle in der Kryptologie" wäre vielleicht am besten.
Ich hätte es besser gefunden, wenn wir einfach den Artikel Kyptoanalyse sauber strukturiert (das war er halbwegs) und alles dort drin gelassen hätten. Jetzt ist es auf jeden Fall schlechter als vorher, es gibt keinen roten Faden, die Details fehlen z.T. und es gleicht einer Liste. Mir fehlt im Moment aber die Zeit und Energie, mich um diesen neuen Artikel zu kümmern. Nichts für ungut. --Mojo1442 20:01, 21. Jan. 2011 (CET)Beantworten
Ist das ROM ein Sicherheitsmodell? Es ist ja eher ein Modell fuer die Eigenschaften der Hashfunktion. Ich stimme dir zu, es gibt noch einiges zu tun, aber ich habe im Moment auch keine Zeit.--Mario d 22:03, 26. Jan. 2011 (CET)Beantworten
Das ROM ist ein Modell, das verwendet wird, um die Sicherheit kryptografischer Verfahren zu analysieren. Dies sind nicht die Hashfunktion selbst, sondern Protokolle/Verfahren, die Hashfunktionen verwenden. Es wird verwendet, um Aussagen zu treffen wie "Das XY-Protokoll/Verfahren ist sicher im ROM". Insofern ist das ROM ein Sicherheitsmodell.
Um auf die eigentliche Diskussion zurückzukommen: Welchen Begriff favorisierst du? Ich könnte auch mal versuchen, die Meinung von Dritten einzuholen. --Mojo1442 00:08, 27. Jan. 2011 (CET)Beantworten
Ich wuerde eher sagen "Das X-Protokoll/Verfahren ist Y-sicher im ROM", wobei Y das Sicherheitsmodell ist. Das ROM modelliert ja nur eine Hashfunktion und wird, IIRC, auch in der Komplexitaetstheorie benutzt, wo es mit Sicherheit nichts zu tun hat. Mein Vorschlag zur Terminoligie ist: CR von Hashfunktionen ist eine Sicherheitseigenschaft, IND auch (oder auch Sicherheitsziel oder Angriffsziel), CPA ist ein Angreifermodell, IND-CPA ein Sicherheitsbegriff, Sicherheitsmodell ist etwas verschwommenes, allgemeineres, ROM ist ein Modell fuer eine Hashfunktion. Das ist allerdings nur meine persoenliche Meinung, ich habe mir ueber Terminologie vorher noch nicht so viele Gedanken gemacht. Ich befuerchte, dass das vielen Anderen auch so geht und die Begriffe in der Literatur etwas durcheinandergewuerfelt werden. Ich habe die Diskussion mal auf Wikipedia Diskussion:WikiProjekt Kryptologie verlinkt, vielleicht tragen ja noch ein paar Leute ihre Ansicht bei. Noch lieber waeren mir allerdings Belege aus der Fachliteratur. --Mario d 11:23, 27. Jan. 2011 (CET)Beantworten

Kurze Frage an die Autoren

Bearbeiten

Soll der Artikel im Grunde so bleiben, wie er derzeit ist, oder gibt es seitens der Autoren schon Pläne, ihn noch so zu pimpen, dass er auch für Nicht-Informatiker zumindest ansatzweise verständlich wird ?

M.E. ist es im Moment schon etwas schwer, ihn zu lesen, und noch schwerer, ihn zu verstehen.

Nur zwei Beispiele:

1.) Die meisten Sicherheitsbegriffe für Public-Key-Verschlüsselungsverfahren bestehen aus zwei Komponenten. Die erste bezeichnet das zu erreichende Sicherheitsziel, die zweite die Fähigkeiten des dabei zugelassenen Angreifers.

Was ist denn ein "zugelassener" Angreifer ? Gibt es da eine Unterscheidung zwischen "zugelassenen" ("die dürfen") und "nicht zugelassenen" ("die dürfen nicht !") oder wie ist das zu verstehen ?

2.) Zwei Sicherheitsziele für asymmetrische Verschlüsselungsverfahren sind recht offensichtlich.

Ach so. Und welche beiden ?

Das Wort (der Begriff ;-)) "Sicherheitsbegriff" soll ja (u.a.) eigentlich erklärt werden. Dazu kommt hier ein weiterer Begriff "Sicherheitsziel" ins Spiel, der aber nicht näher definiert wird.

Ein "Sicherheitsziel" wäre nach meiner Auffassung das Ziel (und dementsprechende Mechanismen), eine bestimmte Bedrohung zu verhindern. Statt dessen wird als erstes "Sicherheitsziel" der Begriff "Asymmetrie" aufgeführt.

Ist "Asymmetrie" wirklich ein Sicherheitsziel ? Das ist m.E. doch eher eine Eigenschaft von asymmetrischen Verschlüsselungsverfahren, aber doch kein Sicherheitsziel, oder verstehe ich hier evtl. alles falsch ?

Ich würde mich über eine "Aufklärung" sehr freuen und bitten, die o.a. Kritikpunkte (einer IP !) nicht als "Anmache" zu verstehen. (nicht signierter Beitrag von 84.130.215.18 (Diskussion) 21:51, 20. Jan. 2011 (CET)) Beantworten

Ich habe die angesprochenen Punkte im Text verbessert. Falls du noch mehr hast, nur raus damit. Zu deinen Fragen: 1) Ja, es werden bei Sicherheitsbetrachtungen fast immer nur bestimmte Angreiferklassen zugelassen. Das Sicherheitsmodell bestimmt, welche Angreifer betrachtet werden. 2) Die beiden unmittelbar folgenden: Asymmetrie und "Verschluesselung" (OW). Asymmetrie ist die definierende Eigenschaft von Asymmetrischen Verfahren, aber gleichzeitig auch ein Sicherheitsziel (vielleicht ist Angriffsziel ein besserer Begriff?). Wenn du bei RSA die Asymmetrie brichst, kannst du den Benutzern mit der Ankuendigung, sie koennten es ja immer noch als symmetrisches Verfahren verwenden, sicherlich nur wenig Freude machen. Den oeffentlichen Schluessel kennt ja schon die ganze Welt. Auf Englisch wird das auch "Unbreakability" genannt, aber die Uebersetzung als "Unbrechbarkeit" gefaellt mir nicht so. Als erstes habe ich es genannt, weil es so grundlegend ist. --Mario d 00:08, 21. Jan. 2011 (CET)Beantworten
Bearbeiten

GiftBot (Diskussion) 06:28, 23. Jan. 2016 (CET)Beantworten

SUF bedeutet meist Strong (Existential) Unforgeability

Bearbeiten

Heutzutage wird in erster Linie die Notion EUF und die staerkere Variante sEUF verwendet, allerdings wird das "E" oft weg gelassen und von SUF einerseits und EUF oder WUF (weak unforgeability) andererseits geschrieben. Also bedeutet "SUF" eher selten "Selective Unforgeability".

Beispiele:

Ich plaediere dafuer, in diesem Artikel die Notation zu ueberarbeiten und sich nicht an Definitionen in einem ueber dreiszig Jahre alten Paper aufzuhaengen (A Digital Signature Scheme Secure Against Adaptive Chosen-Message Attacks. Goldwasser, Micali, Rivest - 1988)

--2001:16B8:686C:8A00:7D18:9BCE:E42E:A2F1 13:21, 29. Jul. 2019 (CEST)Beantworten