Введение в современную криптографию

161
p] и b = [t − a • m mod p]; при этом [(m − mr)−1 mod p] имеет место, потмоу что 
m ƒ= mr , и поэтому m − mr ƒ= 0 mod p. Другими словами, это означает, что 
для любого m, mr, t, tr , как показано выше, имеется уникальный ключ (a, b) с 
ha,b(m) = t и ha,b(mr) = tr. Так как существуют ключи |T | , мы сделали вывод, 
что вероятность (по выбору ключа) того, что ha,b(m) = t и ha,b(mr) = tr является 
ровно 1/|K| = 1/|T |2 , как и было необходимо .
Параметры Конструкции 4.24 . Мы кратко обсудили параметры Конструкции 
4.24, когда она реализуется со строго универсальной функцией, описанной выше, иг-
норируя факт, что p не в степени 2. Конструкция является 1/|T |-защищенным MAC 
с тегами длиной log |T |; длина тегов оптимальная по уровню достигнутьй защиты.
Пусть M будет каким-то фиксированным пространством сообщений, для кото-
рого мы хотим сконструировать одноразовый защищенный MAC. Вышеописан-
ная конструкция дает 1/|M|-защищенный MAC с ключами, которые вдвое длиннее 
сообщений. Читатель может заметить две проблемы здесь, на противоположном 
конце спектра. Во-первых, если |M| меньше, чем 1/|M| , вероятность подделки не-
ожиданно большая. С другой стороны, если |M| больше чем 1/|M| , вероятность 
подделки может ыт ькатастрофической; можно было бы принять (каким-то обра-
зом) большую вероятность подделки, если тот уровень безопасности может быть 
достигнут более короткими ключами. Первая проблема (когда значение |M| малень-
кое) является легкой для решения простым заложением M в большое пространство 
сообщений Mr посредством, например, дополнения сообщений нулями. Вторая 
проблема может также быть решена; см. ссылки в конце данной главы.

жүктеу/скачать 6.4 Mb.

Достарыңызбен бөлісу: