Seqece-of-Games based cryptographic protocol aalysis Ivo Seeba November 2, 2009 Sissejhats Semiari tööks o allikate [] ja [5] lühikokkvõtted. Neist esimee käsitleb tõestsi koodipõhiste mägde abli. Kirjtatd o seal. PRP-PRF lülitslemmast (ja selle ii klassikalie ki ka mägpõhie tõests), CBC-MAC i elemetaarset tõestsest.teises allikas kirjeldatakse mägjadasid, mis o "tamig" keerkse vahed trvalisse tõestseks. Kirjeldatd o peamist ideed, ElGamal i krüpteerimisest (ja selle räsi versiooist ig sama jhsliks oraakli mdelis), psedojhslikd fktsiooide ja -permtatsiooide võrdlsed, [?] kostrktsiooi ig sümmeetrilie krüpteerimist. Abiks olid ka allikad [2] ja [7]. Siiski o soovitatav lgeda ka allikaid ([], [5]), ka esimese versiooi esitamisega oli kiire ja lõpi paradamisei ei jõdd.. Mägd Mägks imetatakse programmi, mis o protsedride ja rüdajate kollektsioo. Sii mägd ja rüdajad kjtatakse psedokoodidea. Nede psedokoodide jaoks o vaja oma programmeerimiskeelt. Allikas [] o äidatd keel L, mis o tgevalt tüübitd. Keeles o mitmeid üldleviid elemete (for, if, assigmet jt.) lisaks o eraldi boolea-tüüpi mtja flag. Leidb ka. radomassigmemt lase, mille tähis o s S, ks S o lõplik hlk ja s o jhsliklt valitd selle hlga elemet. Vastase kood saab teha oraaklipärigid vormis y P(...). Mäg kooseb algatsprotsedrist (Iitialize), lõpetsprotsedrist Fialize ja oraakliteks ktstd protsedridest ig vastasest (adversary). Mägdel ja vastasel võivad olla ka sisedparameetrid (. ipt) ja sealt kad kastame ühe väljastamise südmstele ja tõeäosstele vastavaid tähiseid: A G (ipt), G A (ipt), Pr[A G (ipt) ], Pr[G A (ipt) ] ig eeliste tähiseid Adv(A G (ipt), A H (ipt)) ja Adv(G A (ipt), H A (ipt)). 2 Mägd, PRP/PRF, CBC-MAC Sii lühikokkvõttest peamiselt allikast []. Pist o toodd põhialsed, PRP-PRF lülitslemma erievate tõeststega. Allikast võib lgeda, et tõestse heaks vahediks o mägtehika. 2. Defiitsiooid Defiitsioo 2. A B - Rüdaja A oraakliga B väljastab bitiväärtse, ehk tõese väärtse. Perm() - Kõikide bitiväärtste permtatsiooide hlk, Perm() = (2 )! - selle hlga elemetide kog arv. Näiteks Perm(2) = (2 2 )! = 24 Natraalaarvdeks imetatakse arve, 2, 3, 4,... (mõedes matemaatika hardes loetakse ka lli atraalarvks). Fc() - Kõikide bitiväärtste fktsiooide hlk { f : {0, } {0, } }, Fc() = (2 ) (2 ) - selle hlga elemetide kog arv ehk hlga võimss. π Perm() - jhsliklt võetd permtatsioo hlgast Perm(). ρ Fc() - jhsliklt võetd fktsioo hlgast Fc() Pr[sydms] - Südmse sydms toimmise tõeäoss, väärts klb lõik [0, ]
Coll - Kokkpõrge, s.t. sellie südms, ks oraakliga ρ Fc() seotd rüdaja A saab kahele erievale pärigle X ja X sama vastse. Dist - Täiedav südms südmsele Coll, et Pr[Coll] + Pr[Dist] = image(π) = {Y {0, } : X {0, }, π[x] = Y}. image(π) = {Y {0, } : X {0, }, π[x] Y}. image(ρ) = {Y {0, } : X {0, }, ρ[x] = Y}. image(ρ) = {Y {0, } : X {0, }, ρ[x] Y}. A S 0 setsbad : süds, ks lipp bad o väärtsega tre A käivitamisel mägga S 0. Mäg asb alampeatükis 2.3.3. Eelised: Ki G, H ja I o migisgsed mägd ja A o vastae, siis Adv(A G, A H ) = Pr[A G ] Pr[A H ] ja Adv(G A, H A ) = Pr[G A ] Pr[H A ] ig Adv(A G, A I ) = Adv(A G, A H ) + Adv(A H, A I ) ja Adv(G A, I A ) = Adv(G A, H A ) + Adv(H A, I A ). Olg G ja A migisgsed mägd. Siis eed mägd o sütaktiliselt ühesgsed ehk. Idetical-till-bad-mägd, ki Programmi sematika tagab selle, et ee lase bad tre täitmist täidetakse ailt eid laseid mägdest G ja H, mis o sütaktiliselt ühesgsed. 2.2 Tlemsed Allikas [] o atd tõestste ja põhjedstega järgmised lemmad, teoreemid ja md tlemsed: Mägmise ftametaallemma (Game-Playig Ftametal Lemma) Olg G, H ja I migisgsed idetical-til-bad- mägd ja rüdaja A, siis Adv(A G, A H ) Pr[A I sets bad] ja Adv(G A, H A ) Pr[I A sets bad] (I võib olla ka ii G ki ka H). Pärast bad-i seadmist midagi ei toim (after bad is sed, othig matters) Olg G ja H migisgsed idetical-til-bad-mägd ja rüdaja A, siis Pr[G A sets bad] = Pr[H A sets bad]. 2.3 PRP/PRF Lülitslemma (PRP/PRF Swichig Lemma) Lemma 2.2 (PRP/PRF) Olg A ki q pärigt tegev vastae, siis atraalarv korral Pr[A π ] Pr[A ρ ] q(q ). 2 2.3. Tavalie tõests Tõests. Olg ρ Fc(), Coll - südms, ks oraakliga ρ varstatd A saab kahele erievale pärigle X ja X sama vastse, Dist o vastadsüdms südmsele Coll (s.t. Pr[Coll] = Pr[Dist]), x = Pr[A ρ Dist] = Pr[A π ], y = Pr[[A ρ Coll] ja x, y [0, ]. Siis Pr[A π ] Pr[A ρ ] = x x Pr[Dist] y Pr[Coll] = x ( Pr[Dist]) y Pr[Coll] = x Pr[Coll] y Pr[Coll] = q (q ) (x y) Pr[Coll] Pr[Coll] 2 Aga kas kehtib Pr[A ρ Dist] = Pr[A π ]? Olg = (ehk bitijada pikksega ) ja A oraakliga P : {0, } {0, }, P {ρ, π}. Uritakse, mida teeb A shtlemisel kas π või ρ-ga, o vastavalt jhpermtatsioo või - fktsioo ({0, } {0, }). π-l o kaks võimalikk väärtst (0 0, ) ja (0, 0) ig ρ-l eli võimalikk väärtst: (0 0, 0), (0 0, ), (0, 0) ja (0, ). Kokreetse A phl tekib südms Coll, ki ρ(0) = ρ() = ja Dist tekib järgmiste südmste phl: ρ(0) = 0 ρ() = 0 ρ(0) = 0 ρ() = ρ(0) = ρ() = 0 Kolme ρ väärtse phl kehtib: ρ(0) = 0 ρ() = (A ρ(0) ). Südmsel A π o kaks võimalst (0, ) ja (, 0), südmsel A ρ o eli võimalst (0, 0), (0, ), (, 0) ja (, ), südmsel A ρ Dist võimalsed (0, 0) ja (0, ) ig südmsel Dist võimalsed (0, 0), (0, ) ja (, 0). Seega Pr[A π ] ja Pr[A ρ Dist] = Pr[A ρ Dist] Pr[Dist] = 2 3 2
2.3.2 Tõestse teie versioo Tõests. Defieeritakse ([], lk. 39, 40): V = ({0, } ) q, ehk maatriks mõõtmetega q. dist = {a V : a[], [2],.., []o omavahel erievad} oe = {a V : f (a) = } Pr rad [.] tõeäoss südmsele ρ Perm() Siis: Pr[A ρ Dist] = Pr rad [ f (a) = a Dist] = Pr rad [ f (a) = a Dist] = Pr rad [a Dist] α dist oe Pr rad [a = α] = α dist Pr rad [a = α] α dist oe α dist 2 q = 2 q dist oe dist Pr perm [.] tõeäoss südmsele π Perm() Pr[A π ] = Pr perm [ f (a) = ] = Pr perm [a = α] = α dist oe q α dist oe i=0 α dist oe 2 = dist = dist oe dist 2.3.3 Tõestse kolmas versioo, Mägpõhie tõests Tõests. A S, südms, ks rüdaja A väljastab väärtse mägs S {S 0, S }. Mägd o defieeritd: S 0 : Procedre P(X) Y {0, } if Y image(π) the bad tre retr π[x] Y S : Procedre P(X) Y {0, } if Y image(π) the bad tre, Y image(π) retr π[x] Y Pr[A π ] Pr[A ρ ] = Pr[A S ] Pr[A S 0 ] Pr[A S 0 sets bad] q (q ) 2 Mõed tlemsed ede mägde jres: S 0 : Y R {0, }, if Y image(π) the bad tre, retrπ[x] Y S : Y R {0, }, if Y image(π) the bad tre, Y image(π), retrπ[x] Y 2.4 Kolmikkrüpteerimie 2.4. Defiistsiooid Defiitsioo 2.3 Cascade eee E (K 0K K 2, X) = E K2 (E K (E K0 (X))), ks K 0, K ja K 2 o bitivektoritest võtmed pikkstega k ja E o blokshifer E : {0, } k {0, } {0, } Cascade ede E (K 0K K 2, X) = E K2 (D K (E K0 (X))), ks K 0, K ja K 2 o bitivektoritest võtmed pikkstega k ja E o krüpteerimise blokshifer E : {0, } k {0, } {0, } ja D o lahtikrüpteerimise blokshifer D : {0, } k {0, } {0, }. E(, ) pöördfktsiooia kastatakse ka tähistst E (, ). Bloc(k, ) = {E E : {0, } k {0, } } E Bloc(k, ) tähedab jhslikk permtatisiooi E K : {0, } {0, } bitivektoril B {0, } võtme K {0, } k jaoks. Rüdaja A eelis EEE vast: Adv eee k, = Adv(A C 0, A R 0 ), ks C 0 ja R 0 o mägd: C 0 : 3
Procedre Iitialize K 0, K, K 2 {0, } k E Block(k, ) T Perm() Procedr T(P): retr Procedr T (S): retr T [S] Procedr E(K, X): retr E K [X] Procedr E (K, Y): retr E K [Y] R 0 : Procedre Iitialize K 0, K, K 2 {0, } k E Block(k, ) T Perm() T E K2 E K E K0 Procedr T(P): retr Procedr T (S): retr T [S] Procedr E(K, X): retr E K [X] Procedr E (K, Y): retr E K [Y] Rüdaja A maksimaale eelis EEE vast, ki A teeb q pärigt: Adv eee k, (q) = max A{Adv eee k, }. QTh eee f rac2 (k, ) = max q{adv eee k, pärigte arv. f rac2}, q o Adv,m (cbc)(a) = Pr Pr2 ja Adv cbc,m(q) = max{adv cbc,m(a)}, ks Pr = Pr[π Perm() : A CBCm π (.) ] ja Pr2 = Pr[ρ Fc(m, ) : A ρ(.) ]. Adv ow f F (I) = Pr[( f, f ) F; x {0, } k : I( f, f (x)) = x] 2.4.2 Tlemsed O toodd järgmised lemmad, teoreemid ja md väited: Kolmikkrüpteeerimise trvaliss Adv eee k, (q) 2α f racq 2 2 3k + 0.7( f racq2 k+ f rack ) f rac23 + f rac22 k Olg A ki q pärigt tegev rüdaja, siis S Perm() ja ki q pärigt tegev lihtsstatd rüdaja B Adv eee k, = Adv(DB S, (RB 3 ) + Pr[D B S sets x2ch] + Pr[DB 3 sets x2ch] + 6 2 k. Fix S Perm(). Ki Pr[B G makes h oraakli p arigt] δ, siis Adv(H B S, GB ) 2.5 h 2 2 olg atraalarv ja B rüdaja (q pärigga), siis Pr[B L sets bad] < 2 αq2 2 3k (α = max(2e2 k, 2 + k)). Olg B lihtsstatd rüdaja (q p"arigga), S Perm(), B S,, B S,2, siis b {, 2} migi c > 0 jaoks Pr[B G 3cq p arib korda] S,b 2 k c FixS Perm(), ki A pärib ki q korda, siis Adv(G A, H A 2.5q2 ) S 2. Olg α = max(2e2 k, 2 + k), siis E[Ch E,b 3 ] < 2α q 2 keskväärts üle E Bloc(k, ) Olg β 2e2 k, siis Pr[Keyw E β] < 2 2+ β üle E Bloc(k, ). OAEP IND-CPA trvaliss: Adv ow f (I) F 2 Advid cpa OAEP ρ [F] (A) 2q G 2 q H. ρ 2 k ρ Olg G mäg oraaklitega P,.., P m, R = (q, q 2,.., q m ) (N) m, R = tail(r), (Q) pärighlk, max = max A (A)R {Pr[G A sets bad]} ja max 2 = max B AR,(X,Y) Q{Pr[G B ] X,Y sets bad} siis max mas 2 Olg G ja G ühildvad mägd ja A o ammedav (exhastive) vaelae, siis G H Adv(G A, H A ) = 0 2.5 Mägtehikatest Mägmägimise tehikaid o mitt sorti... O ka mägde ahelad: G G 2... G Põhilised tehikad mägimistel o idioomide mõõtmie (resamplig), sõltmat ja sõltva mtja vahetamie, koodi mtmie, märge vastse asemel, e jhslik mtja defieerimie (deradomizig),. mürgitatd pktid ja mittemägitavad mägd. Teoreem 2.4 (CBC-MAC) Adv cbc,m(q) m2 q 2 2 migi, q 2 ja jaoks. 4
Tõests. A o q erievat m-blokilist pärigt tegev vastae. M ({0, } ) - blokkide sõe ( ), M i = M[(i ) + i] o blokk järjekorra mbriga i ja M..j = M[..j] = M M 2.. M j ( o kokateatsioo). π : {0, } {0, } &M ({0, } ) m CBC π (M) = CBC(π, M), Fc(m, ) = { f : f : {0, } m {0, } }. Adv cbc,m(a) = Pr[π Perm() : A CBCm pi )(.) ] Pr[ρ Fc(m, ) : A ρ(.) ], Adv cbc,m(q) = max{adv cbc,m(a)}, Pre f ix(m,.., M s ) o pikim plokkide jada, mis o prefiksiks väärtsele M s. CBC(π, M, ) C 0 for i =,.., m C π(c M i ) retr C C 0 (Fc(m, ) realisatsioo, kastab. laiska sampligt ja. idioomide resampligt): Iitialize T[ɛ] 0 Procedre F(M) s s +, M s M P Pre f ix(m,.., M s ), p P,C f or j p +,.., m X C M j,c {0, } if C image(π) the bad tre if X domai(π) the bad tre π[x] C T [ M..j ] C retr C C (CBC m [Perm()] realisatsioo), o sama mis mäg C 0, kid lisadvad käsd C image(π) ja C π[x]: Iitialize T[ɛ] 0 Procedre F(M) C 2 : C 3 : C 4 : s s +, M s M P Pre f ix(m,.., M s ), p P, C f or j p +,.., m X C M j, C {0, } if C image(π) the bad tre, C image(π) if X domai(π) the bad tre, Cπ[X] π[x] C T [ M..j ] C retr C Iitialize T[ɛ] 0 Procedre F(M) s s +, M s M P Pre f ix(m,.., M s ), p P, C f or j p +,.., m X C M j, C {0, } if X domai(π) the bad tre π[x] C, T[M..j ] C retr C Iitialize T[ɛ] 0, de f ied 0 Procedre F(M) s s +, M s M P Pre f ix(m,.., M s ), p P,C f or j p +,.., m X C M j, C {0, } if X domai(π) the bad tre π[x] de f ied, T[M..j ] C retr C 5
C 5 : C 6 : Iitialize T[ɛ] 0, de f ied 0 Procedre F(M) s s +, M s M P Pre f ix(m,.., M s ), p P, C f or j p +,.., m X C M j if X domai(π) the bad tre π[x] de f ied, C T[M..j ] {0, } Z s {0, } retr Z s Fialize T[ɛ] 0, de f ied 0 f or s,.., q P Pre f ix(m,.., M s ), p P, C for j = p +,.., m if X domai(π) the bad tre π[x] de f ied C T[M s i..j ] {0, } Fialize T[ɛ] 0, de f ied 0 f or s,.., q P Pre f ix(m,.., M s ), p P, C X C M s p+ if X domai(π) the bad tre π[x] de f ied, C T[M s..p+ ] {0, } for j p + 2,.., m X C M s j if X domai(π) the bad tre, π[x] de f ied C 7 : C 8 : C 9 : C T[M s i..j ] {0, } Fialize T[ɛ] 0, de f ied 0 for X ({0, } ) + T[X] {0, } for s,.., q P Pre f ix(m,.., M s ), p P if M s domai(π) the..p+ bad tre π[ M s ] de f ied..p+ for j p + 2 to m if T[M s..j ] Ms domai(π) the j bad tre π[t[m s..j ] Ms ] de f ied j Fialize T[ɛ] 0, de f ied 0 for X ({0, } ) + T[X] {0, } for s,.., q P s Pre f ix(m,.., M s ), p s Ps if T[P s ] M s domai(π) the..p s + bad tre π[t[p s ] M s ] de f ied..p s + for j p s + 2 to m if T[M s..j ] Ms domai(π) the j+ bad tre π[t[m s..j ] Ms ] de f ied j+ Fialize T[ɛ] 0 for X ({0, } ) + T[X] {0, } for s,.., q P s Pre f ix(m,.., M s ), p s Ps 6
bad co co 2 co 3 co 4 ks co T[P s ] M s P s + = T[Pr ] M r P r + migi r < s q jaoks. co 2 T[P s ] M s P s + = T[Mr..i ] Mr i+ migi r < s q ja p r + i m jaoks. co 3 T[M s i..j ] Ms j+ = T[Pr ] M r p r + migi r s q ja p s + j m ja jaoks. co 4 T[M s i..j ] Ms j+ = T[Mr..i ] Mr i+ migi r s q, p r + i m, p s + j m ja r = s i < j jaoks. 3 Mägjadad: ElGamal, Psedojhfktsiooid ja -permtatsiooid, ig sümmeetrilie krüpteerimie 3. Üldist Lemma: Olg A, B ja F sama tõeäossjaotsega südmsed, ja A F B F, siis Pr[A] Pr[B] Pr[F]. Historical marks... x X - hlgast X võetakse jhsliklt üks elemet x Pr[x X, x 2 X2 (x ),.., x X (x,.., x ) : φ(x,.., x )] Tõeäoss, ks x valitakse jhsliklt hlgast X, x 2 valitakse jhsliklt hlgast X 2 (x ) (hlk sültb x -st), et predikaat φ o tõee. 3.2 ElGamal Krüptoskeem o kolmik (KeyGe, E, D), ks KeyGe o võtme geeraator, E o krüpteerimisalgoritm ja D o lahtikrüpteerimisalgoritm ([5]). Krüpteerimis ja lahtikrüptimis algoritmid o vastavalt: (pk, m M) E ψ, ks pk o avalik võti ja m o teade hlgast M (sk, ψ) D m, ks sk o salavõti ja ψ o krüptotekst. Olg A vastae adversary ja C väljaktsja (challeger), siis sematilist trvalisst defieeritakse vastava mägga. C : (pk, sk) KeyGe(), C : pk A (C aab pk A-le). A : m 0, m M, A : m 0, m C C : b c {0, }, ψ E(pk, m b ), C : ψ A (ψ o A-le atav. Tarket ciphertext). A : b {0, } Sematilie trvaliss (SS), SS eelis A-le: Pr[b = b ] 0.5, semat trvaliss tähedab eelise ebaollisst. 3.2. ElGamal i krüptoskeem G rühm järgga q, γ G - moodstaja, Võtme geereerimie: x Z q, α γ x, pk α, sk x Teate m G krüpteerimie: y Z q, β γ y, δ α y, ζ δ m, ψ (β, ζ) lahtikrüptimie: ζ β x = α y m/β x = (γ x ) y m (γ y ) x = m γ xy xy = m DDH-eelis (DDH - Decisioal Diffie-Hellma): Adv DDH D = Pr[x, y Z q : D(γ x, γ y, γ xy ) = ] Pr[x, y, z Z q : D(γ x, γ O toodd väiteid: Pr[S ] = 0.5 Pr[S 0 ] Pr[S ] = ɛ ddh (ɛ ddh o migi efektiivse algoritmi DDH-eelis). Kahest eelmisest tleeb väide, et Pr[S 0 ] 0.5 S 0 = x, y Z q : D(γ x, γ y, γ xy ) = S 0 = x, y, z Z q : D(γ x, γ y, γ z ) = Trvaaalüüsis o kastatd mäge, et arvtada tõeäosste vahe absoltväärts: Pr Pr 2, ks Pr = Pr[x, y Z q : D(γ x, γ y, γ xy ) = ] ja Pr 2 = Pr[x, y, Z Z q : D(γ x, γ y, γ z ) = ]. Need mägd o: G 0 7
G x Z q,α γ x r R,(m 0, m ) A(r, α) β {0, }, y Z q,β γ y,δ α y,ζ δ m b b A(r, α, β, ζ) x Z q,α γ x r R,(m 0, m ) A(r, α) β {0, }, y Z q,β γ y,z Z q,δ γ y,ζ δ m b b A(r, α, β, ζ) 3.3 ElGamal i räsi variat Toodd o ka räsitd ElGamal, ks kõik o samad, mis tavalisel ElGamal, kid erievseks o see, et geereerimise jres o pärast käsk x järel k K, krüpteerimise jres om teade bitijada m {0, } l ja pärast käs δ α y järel h H k (δ), v h m ja ψ (β, v) ig dekrüpteerimise jres m H k (β x ) v. Nig tõeäosse Pr Pr 2 (Pr = Pr[k K, δ G : D(k, H k (δ)) = ] ja Pr 2 = Pr[k K, h {0, } l : D(k, h) = ]) arvtamiseks kastatakse mäge: G 0 : G : G 2 : x Z q,k K,α γ x r R,(m 0, m ) A(r, α, k) b {0, }, y Z q, β γ y,δ α y,h H k (δ),v h m b b A(r, α, k, β, v) x Z q,k K,α γ x r R,(m 0, m ) A(r, α, k) b {0, }, y Z q, β γ y,z Z q,δ α y,h H k (δ),v h m b b A(r, α, k, β, v) x Z q,k K,α γ x r R,(m 0, m ) A(r, α, k) b {0, }, y Z q, β γ y,z Z q,δ γ z,h {0, } l, v h m b b A(r, α, k, β, v) Ka o toodd väited Pr[S ] Pr[S 2 ] = ɛ es,pr[s 2 ] = 0.5 ja Pr[S 0 ] 0.5 ɛ edd + ɛ es 3.4 Lby-Racoff Sii tooks kõige ollisema välja allikast [5]. See o Lby-Rackoff kostrktioo. Psedojhfktsiooide perekod F s : {0, } l {0, } l : F := {F s } s S ɛ ax perekod (ax - almost XOR iversal) räsiftsiooide perekod H s k{0, } l {0, } l : H := {H s } k K x, x, y {0, } l, x x : Pr[k K : H k (x) H k (x ) = y] ɛax LB kooseb kolmikst (k, s, s 2 ), s, s 2 S, k K: w H k (v) x v F s (v) y w F s2 (v) Mägd o: G 0 : G : k K, s S, s2 S r R for i =,.., q ( i, v i ) A(r, x, y,.., x i, y i ) w i i H k (v i ) x i v i F s (w i ) y i w i F s2 (x i ) b A(r, x, y,.., x q, y q ) retr b 8
G 2 : G 3 : k K, X,.., X q {0, } l, s 2 S r R for i =,.., q ( i, v i ) A(r, x, y,.., x i, y i ) w i i H k (v i ) x i (w i = w j )?(x j ) : (X i) migi j < i jaoks x i v i x i y i w i F s2 (x i ) b A(r, x, y,.., x q, y q ) retr b k K, X,.., X q {0, } l, Y,.., Y q {0, } l r R for i =,.., q ( i, v i ) A(r, x, y,.., x i, y i ) w i i H k (v i ) x i (w i = w j )?(x j ) : (X i) migi j < i jaoks x i v i x i x i (y i = y j )?(y j ) : (Y i) migi j < i jaoks y i w i y i b A(r, x, y,.., x q, y q ) retr b k K, X,.., X q {0, } l, Y,.., Y q {0, } l r R for i =,.., q ( i, v i ) A(r, x, y,.., x i, y i ) w i i H k (v i ) 4 Kokkvõte Artiklite [] ja [5] peale kls palj aega, et programmi Cryptoverif rimisei selle ajaga ei jõdd. Seda looda vaadata hiljem (. krsse teisel poolel ([3]) või lisada töö lõppversiooile). Refereces [] M. Bellare, P. Rogaway. Code-Based Games-Playig Proofs ad the Secrity of Triple Ecryptio. Cambridge Uiversity Press, Cambridge, Eglad, 2008. http://eprit.iacr.org/2004/33.pdf viimati vaadatd 28.0.2009 [2] S. Lar Cryptology II, 2009 http://www.cs.t.ee/ swe/corses/crypto-ii viimati vaadatd 28.0.2009 [3] S. Lar Research Semiar i Cryptography, 2009 http://corses.cs.t.ee/2009/secrity-semiar-fall/ viimati vaadatd 02..2009 [4] S. Lar Psedojhslikks. Geeraatorid. Fktsiooid http://www.cs.t.ee/ swe/radom-stff/dergradate viimati vaadatd 02..2009 [5] V. Shop. Seqeces of games: a tool for tamig complexity i secrity http://eprit.iacr.org/2004/332 viimati vaadatd 28.0.2009 [6] B. Blachet. CryptoVerif: Cryptographic protocol verifier i the comptatioal model http://www.cryptoverif.es.fr/ viimati vaadatd 28.0.2009 [7] S. Goldwasser, M. Bellare Lectre Notes o Cryptography Uiversity of Califoria at Sa Diego, USA, 2008 x i v i X i y i w i Y i b A(r, x, y,.., x q, y q ) retr b 9