Введение в современную криптографию



Pdf көрінісі
бет100/249
Дата14.06.2023
өлшемі6.4 Mb.
#475029
1   ...   96   97   98   99   100   101   102   103   ...   249
Криптография Катц

4.4.1 Базовая конструкция 
CBC-MAC является стандартизированным кодом аутентификации сообще-
ний, широко используемым на практике. Базовая версия CBC-MAC, защищен-
ного при аутентификации сообщений любой фиксированной длины, приведе-
на в качестве Конструкции 4.11. (См. также Рисунок 4.1.) Предупреждаем, что 
базовая схема незащищена в стандартных случаях, когда сообщения различной 
длины могут быть аутентифицированы; смотрите дальнейшее описание ниже.
КОНСТРУКЦИЯ 4.11
Пусть F будет псевдослучайной функцией, зафиксируйте функцию длины A 
> 0. Базовая конструкция CBC-MAC такова:
• Mac: при вводе ключ k ∈ {0, 1} и сообщение m длиной A(n)•n, сделайте 
следующее (мы установим A = A(n) далее):
1.Разберите m как m = m1, . . . , mÆ, где каждое mi имеет длину n.
2. Задайте t0 := 0n. Затем для i = 1 A: Задайте ti := Fk(ti−1 ⊕ mi).
Выведите tÆ в качестве тега.
• Vrfy: при вводе ключ k ∈ {0, 1} , сообщение m и тег t, сделайте: Если m не 
имеет длину A(n) • n, тогда выведите 0. Иначе, выведите 1, если и только если 
t =? Mac (m).
Базовый CBC-MAC (для сообщений фиксированной длины). 


138
ТЕОРЕМА 4.12 Пусть A будет полиномиальным. Если F является псевдос-
лучайной функцией, Конструкция 4.11 является защищенным MAC для сообще-
ний длинной A(n) • n.
Доказательство Теоремы 4.12 довольно сложное. В следующем разделе мы 
покажем более общий результат, из которого и следует вышеупомянутая теорема.
Хотя Конструкция 4.11 может быть явным образом расширена для обработки 
сообщений, длина которых произвольно кратная n, конструкция только тогда 
защищена, когда длина сообщений для аутентификации фиксированная и зара-
нее согласованная между отправителем и получателем. (См. Упражнение 4.13.)
Преимущество данной конструкции по сравнению с Конструкцией 4.5, которая 
также дает MAC фиксированной длины, в том, что настоящая конструкция может 
аутентифицировать более длинные сообщения. В сравнении с Конструкцией 4.7, 
CBC-MAC намного более эффективная, требующая только вычисления блочного 
шифра d для сообщений длиной dn и с тегом только лишь длины n.
CBC-MAC против шифрования в режиме CBC. CBC-MAC похож на режим 
использования CBC. Однако, существуют некоторые важные различия:
1. Шифрование в режиме CBC использует случайный IV, и это является клю-
чевой особенностью для безопасности. Для сравнения, CBC-MAC не использует 
IV (альтернативно, он может рассматриваться как использующий фиксированное 
значение IV = 0n), и это также ключевая особенность для безопасности. В част-
ности, CBC-MAC, использующий случайный IV, не является защищенным.
2. При шифровании в режиме CBC все промежуточные значения ti (под на-
званием ci в случае шифрования в режиме CBC) выводятся шифровальным 
алгоритмом как часть шифротекста, тогда как при использовании CBC-MAC 
выводится только последний блок в качестве тега. Если CBC-MAC модифици-
руется так, чтобы выводить все {ti}, полученные в процессе вычисления, тогда 
он перестает быть защищенным.
В упражнении 4.14 вам необходимо удостовериться, что модификации CBC-
MAC, описанные выше, не являются защищенными. Данные примеры демон-
стрируют тот факт, что на вид безобидные модификации криптографических кон-
струкций могут сделать их незащищенными. Всегда внедряйте криптографические 
конструкции строго по инструкции и не модифицируйте их (если только такие мо-
дификации сами по себе не являются защищенными). Более того, важно понимать 
конструкцию, которую вы используете. Во многих случаях криптографическая би-
блиотека предоставляет программисту «функцию CBC», но не различает использо-
вание данной функции для шифрования или аутентификации сообщений.


Достарыңызбен бөлісу:
1   ...   96   97   98   99   100   101   102   103   ...   249




©dereksiz.org 2024
әкімшілігінің қараңыз

    Басты бет