161
p] и b = [t − a • m mod p]; при этом [(m − mr)−1 mod p] имеет место, потмоу что
m ƒ= mr , и поэтому m − mr ƒ= 0 mod p. Другими словами, это означает, что
для любого m, mr, t, tr , как показано выше, имеется уникальный ключ (a, b) с
ha,b(m) = t и ha,b(mr) = tr. Так как существуют ключи |T | , мы сделали вывод,
что вероятность (по выбору ключа) того, что ha,b(m) = t и ha,b(mr) = tr является
ровно 1/|K| = 1/|T |2 , как и было необходимо .
Параметры Конструкции 4.24 . Мы кратко обсудили параметры Конструкции
4.24, когда она реализуется со строго универсальной функцией, описанной выше, иг-
норируя факт, что p не в степени 2. Конструкция является 1/|T |-защищенным MAC
с тегами длиной log |T |; длина тегов оптимальная по уровню достигнутьй защиты.
Пусть M будет каким-то фиксированным пространством сообщений, для кото-
рого мы хотим сконструировать одноразовый защищенный MAC. Вышеописан-
ная конструкция дает 1/|M|-защищенный MAC с ключами, которые вдвое длиннее
сообщений. Читатель может заметить две проблемы здесь, на противоположном
конце спектра.
Во-первых, если |M| меньше, чем 1/|M| , вероятность подделки не-
ожиданно большая.
С другой стороны, если |M| больше чем 1/|M| , вероятность
подделки может ыт ькатастрофической; можно было бы принять (каким-то обра-
зом) большую вероятность подделки, если тот уровень безопасности может быть
достигнут более короткими ключами. Первая проблема (когда значение |M| малень-
кое) является легкой для решения простым заложением M в
большое пространство
сообщений Mr посредством, например, дополнения сообщений нулями. Вторая
проблема
может также быть решена; см. ссылки в конце данной главы.
Достарыңызбен бөлісу: