Введение в современную криптографию


Шифрование, затем аутентификация



Pdf көрінісі
бет109/249
Дата14.06.2023
өлшемі6.4 Mb.
#475029
1   ...   105   106   107   108   109   110   111   112   ...   249
Криптография Катц

Шифрование, затем аутентификация . В этом подходе сообщение сначала 
шифруется, а затем MAC вычисляется по результату. То есть сообщение - это 
пара (c, t) , где c ← EnckE (m) и t ← MackM (c).
Дешифрование (c, t) осуществляется путем выведения ┴ , если VrfykM (c, t) ƒ≠ 
1, иначе выводится DeckE (c). См. Конструкцию 4.18 для формального описания
КОНСТРУКЦИЯ 4.18
Пусть ΠE = (Enc, Dec) будет схемой шифрования с закрытым ключом, и пусть 
ΠM = (Mac, Vrfy) будет кодом аутентификации сообщений, где в каждом слу-
чае генерирование ключа выполняется путем простого подбора универсального 
n-битного ключа. Определим схему шифрования с закрытым ключом (Genr , 
Encr , Decr) следующим образом:
• Genr: при вводе 1n, выбрать независимый, универсальный kE, kM ∈ {0, 1}n 
и вывести ключ (kE, kM ).
• Encr: при вводе ключ (kE, kM ) и открытый текст сообщения m, вычислить c 
← EnckE (m) и t ← MackM (c). Вывести шифротекст (c, t).
• Decr: при вводе ключ (kE, kM ) и шифротекст (c, t), сначала проверить верно 
ли Vrfy kM(c, t) =? 1. Если да, вывести Dec kE(c); если нет, тогда вывести ┴.
Типичная конструкция схемы аутентифицированного шифрования .


151
Данный подход является работоспособным, пока MAC является строго за-
щищенным, кк определено Определением 4.3. Интуиция касательно защиты 
данного подхода подсказывает, что шифротекст (c, t) является действительным,
если t является действительным тегом MAC на c. Сильная защита MAC обе-
спечивает то, что злоумышленник не сможет сгенерировать какой-либо верный 
шифртекст, который он не получил из его оракула шифрования. Это непосред-
ственно предполагает, что Конструкция 4.18 не поддается подделке. Что ка-
сается CCA-защиты, MAC, вычисляемый по шифротексту, влияет на оракула 
шифрования, делая его бесполезным, поскольку за каждым шифротекстом (c, t)
злоумышленник обращается к своему оракулу дешифрования либо злоумыш-
ленник уже знает дешифрование (если он получил (c, t) от своего собственно-
го оракула шифрования) либо еще как-нибудь может ожидать, что в результате 
будет ошибка (поскольку злоумышленник не может гене рировать какие-либо 
новые шифротексты). Это означает, что CCA-защита комбинированной схемы 
уменьшается до CPA-защиты ΠE . Можно также увидеть, что MAC проверяет-
ся перед дешифрованием ; таким образом, проверка MAC не может упустить 
каких-либо данных об открытом тексте (в сравнении с атакой с оракулом до-
полнения, которую мы наблюдали при подходе «аутентификация, затем шифро-
вание»). А теперь мы формализуем вышеперечисленные аргументы.


Достарыңызбен бөлісу:
1   ...   105   106   107   108   109   110   111   112   ...   249




©dereksiz.org 2024
әкімшілігінің қараңыз

    Басты бет