151
Данный подход
является работоспособным, пока MAC является строго за-
щищенным, кк определено Определением 4.3. Интуиция касательно защиты
данного подхода подсказывает, что шифротекст (c, t) является действительным,
если t является действительным тегом MAC на c. Сильная защита MAC обе-
спечивает то, что злоумышленник не сможет сгенерировать какой-либо верный
шифртекст, который он не получил из его оракула шифрования. Это непосред-
ственно предполагает, что Конструкция 4.18 не поддается подделке. Что ка-
сается CCA-защиты, MAC, вычисляемый по шифротексту, влияет на оракула
шифрования, делая его бесполезным, поскольку за каждым шифротекстом (c, t)
злоумышленник обращается к своему оракулу дешифрования либо злоумыш-
ленник уже знает дешифрование (если он получил (c, t) от своего собственно-
го оракула шифрования) либо еще как-нибудь может ожидать, что в результате
будет ошибка (поскольку злоумышленник не может гене рировать какие-либо
новые шифротексты). Это означает, что CCA-защита комбинированной схемы
уменьшается до CPA-защиты ΠE . Можно также увидеть, что MAC проверяет-
ся перед дешифрованием ; таким образом, проверка MAC не может упустить
каких-либо данных об открытом тексте (в сравнении с атакой с оракулом до-
полнения, которую мы наблюдали при подходе «аутентификация, затем шифро-
вание»). А теперь мы формализуем вышеперечисленные аргументы.
Достарыңызбен бөлісу: