148
4.5.2.2 Аутентификация, затем шифрование: Вот впервые был вычислен тег
MAC t , и затем сообщение и тег защифровуются вместе. То есть дано сообще-
ние m, отправитель
передает шифротекст c , вычисленный как:
t ← MackM (m) и c ← EnckE (m||t).
Получатель расшифровывает c, чтобы получить m»t; предположив, что оши-
бок не случилось, он затем проверяет тег t. Как и ранее, если VrfykM (m, t) = 1,
получатель
выводит сообщение m; иначе, выводится ошибка.
4.5.2.3 Шифрование, затем аутентификация: В этом случае сообщение m
сначала шифруется, и затем тег MAC высчитывается по результату. То есть
шифротекст идет в паре (c, t), где: c ← EnckE (m) и t ← MackM (c).
(См. также Конструкцию 4.18.) Если VrfykM (c, t) = 1, тогда получатель де-
шифрует
c и выводит результат; иначе, выводится ошибка.
Мы анализируем каждый из вышеописанных подходов , когда они реализованы
посредством «типичных» компонентов безопасности, то есть
злоумышленник, схема
CPA-защищенного шифрования и
произвольный (строго) защищенный MAC. Мы хо-
тим подход, который обеспечит как стойкость, так и целостность, при использовании
любых (защищенных) компонентов, и мы, таким образом, отклоним как «небезопас-
ный» любой подход, для которого существует хотя бы одна схема защищенного шиф-
рования/MAC, для которой такая комбинация станет небезопасной. Такой подход
«все или ничего» уменьшает вероятность недостатков имплементации. В частности,
схема аутентифицированного шифрования должна быть имплементирована путем
обращения к «подпрограмме шифрования» и «подпрограмме аутентификации сооб-
щений», и имплементация тех подпрограмм должна предусматривать возможность
внесения изменений в какой-то момент в будущем. (Такое обычно происходит, когда
криптографические библиотеки обновляются или стандарты меняются.) Имплемен-
тирование подхода, защита которого зависит от того, как его компоненты внедрены
(а не от того, какую защиту они обеспечивают), таким образом, становится опасным.
Мы настаиваем, что, если подход отклонен, это не значит, что он небезопасен во всех
своих реализациях и реализациях своих компонентов; отнюдь, однако, это значит, что
любая реализация подхода должна быть проанализирована, и ее безопасность долж-
на быть доказана перед использованием .
Достарыңызбен бөлісу: