Ein Modell für Zwei-Parteien Cascade Protkolle

Definition 9 (Zwei-Parteien Cascade Protokoll)
Seien $X$ und $Y$ zwei Teilnehmer, $\Sigma$ Alphabet, $M \in W(\Sigma)$ Klartext sowie $t,t' \in I\!N$ mit $t'=t$ oder $t'=t-1$. $T=\{\alpha_i(X,Y),\beta_j(X,Y)\}$ ist dann ein Zwei-Parteien Cascade Protokoll mit:

$$\begin{eqnarray*} & \alpha_i(X,Y) \in W(\{E_x,E_y,D_x\}), & 1 \leq i \leq t \\ & \beta_j(X,Y) \in W(\{E_x,E_y,D_y\}), & 1 \leq j \leq t' \\ \end{eqnarray*}$$

und

$$\begin{eqnarray*} N_1(X,Y) & = & \alpha_1(X,Y) \\ N_{2j}(X,Y) & = & \beta_j(X,Y... ...,Y) & = & \alpha_{i+1}(X,Y)N_{2i}(X,Y) ,\; 1 \leq i \leq t-1 \\ \end{eqnarray*}$$

Im $i$-ten Schritt wird zwischen $X$ und $Y$ die Nachricht $N_i(X,Y)M$. (Beide Teilnehmer senden also abwechselnd.)

Beispiel 4
Seien die ersten beiden Wörter der Wortmengen eines Cascade Protkolls für die Teilnehmer $X$ und $Y$ mit $\alpha_1 = E_y$ und $\beta_1 = E_xD_y$ gegeben und $\Sigma$ ein Alphabet, $M \in W(\Sigma)$ Klartext. Im ersten Schritte sendet $X$ die Nachricht

$$N_1(X,Y)M = \alpha_1(X,Y)M = E_y(M)$$

mit dem Klartext $M$ an $Y$. Letzterer empfängt die Nachricht und antwortet mit

$$N_2(X,Y)M = \beta_1(X,Y)N_1(X,Y)M = E_x(D_y(E_y(M))) = E_x(M)$$

Dies entspricht im wesentlich dem bereits oben eingeführten Beispiel 1 in der neuen Notation.

Wir suchen nun nach einer sinvollen Definition für ein sicheres Zwei-Parteien Cascade Protokoll.

Definition 10 (sicheres Cascade Protokoll)
Sei $T=\{\alpha_i,\beta_j\}$ ein Zwei-Parteien Cascade Protokoll mit den Teilnehmern $X$, $Y$ und $Z$ ein dritter Teilnehmer. Weiterhin seien

$$\begin{eqnarray*} & W_1 := \{\alpha_i(X,Y)\;\vert\;X \neq Y \wedge 1 \leq i \leq... ...\{\beta_j(X,Y)\;\vert\;X \neq Y \wedge 1 \leq j \leq t' \} & \\ \end{eqnarray*}$$

Dann ist $T$ sicher, wenn kein

$$\gamma \in (W(E \cup \{D_z\}) \cup W_1 \cup W_2)^\star$$

existiert, so daß

$$\overline{\{\gamma,N_i(X,Y)\}^\star} = \lambda,\;1 \leq i \leq t'$$

Anderenfalls ist $T$ unsicher.

Angenommen Teilnehmer $X$ möchte Teilnehmer $Y$ eine Nachricht senden. So hat ein Angreifer $Z$ die Möglichkeit alle gesendeten Nachrichten abzufangen und mit folgenden Wörtern beliebig zu verketten.

1. Er kann seine eigenen oder öffentliche Verschlüsselungsfunktionen verwenden ( $W(E \cup \{D_z\})$).
2. $Z$ kann die im Cascade Protokoll verwendeten Wörter der Menge $W_2$ benutzen, indem er Teilnemer $Y$ eine Nachricht $M \in W(\Sigma)$ beliebig unter der Vorgabe er ist $X$ (wir haben keine Name-Stamps wie im folgenden Protokoll) eine Nachricht sendet. Teilnehmer $Y$ antwortet gemäß dem Zwei-Parteien Cascade Protokoll mit $\beta_j(X,Y)M$ wobei $j$ durch geeignete Wahl des Zeitpunkts durch $Z$ beliebig ist.
3. In gleicher Weise kann $Z$ die Wörter der Menge $W_1$ nutzen indem er eine Nachricht von $Y$ an $X$ abfängt und sich unter der Vorgabe er sei $Y$ mit einer beliebigen Nachricht zu einem geeigneten Zeitpunkt an $X$ wendet.

Kann nun bei einer diese möglichen Verkettungen ein leeres Wort als vollständig reduzierte Form erzielt werden, so ist es einem Angreifer $Z$ möglich die eingesetzten und ihm unbekannten Verschlüsselungsfunktionen der kommunizierenden Teilnehmer $X$ und $Y$ 'aufzulösen'. Da im Zwei-Parteien Cascade Protokoll lt. Definition die Kommunikation immer von dem Teilnehmer $X$ mit dem Wort $\alpha_1(X,Y)$ als Suffix des Klartextes begonnen wird, muß $Z$ zur Erlangung eines Wortes aus $W_2$ das Senden eine Nachricht durch $X$ abwarten. Weil dies nicht notwendigerweise der Fall ist, spricht [1] von einer konservativen Definition für Protokollsicherheit.