Введение в современную криптографию
Ссылки и дополнительная литература
жүктеу/скачать 6.4 Mb. Pdf көрінісі
|
| Ссылки и дополнительная литература
Определение защиты кодов аутентификации сообщений было принято Бел- ларом (Bellare) и др. [18] из определения защиты цифровых подписей, данной Голдвассером (Goldwasser) и др. [81] (см. Главу 12). Для получения дополни- тельной информации касательно варианта определения, при котором разреше- ны подтверждающие запросы, см. [17]. Парадигма использования псевдослучайных функций для аутентификации сообщений (как в Контсрукции 4.5) была представлена Голдрайхом (Goldreich) и др. [77]. Конструкция 4.7 разработана Голдрайхом [76]. CBC-MAC был стандартизирован в начале 80-х годов [94, 178] и все еще ши- роко используется. Защищенность (для аутентификации сообщений фиксиро- ванной длины) базового CBC-MAC была доказана Белларом и др. [18]. Берн- штейн (Bernstein) [26, 27] дает более прямое (хотя, возможно, менее наглядное) доказательство, а также описывает некоторые обобщенные версии CBC-MAC. 163 Как сказано в данной главе, базовый CBC-MAC является незащищенным при ис- пользовании для аутентификации сообщений различной длины. Одним из спосо- бов это исправить - это добавить длину к сообщению. Недостаток заключается в невозможности справиться в потоковыми данными, когда длина сообщения неиз- вестна заранее. Петранк (Petrank) и Рэкофф (Rackoff) [137] предлагают альтернати- ву, «онлайн» подход решения данного вопроса. Дальнейшие разработки была даны Блэком (Black) и Рогавэем (Rogaway) [32] и Иватой (Iwata) и Куросавой (Kurosawa); это привело к новому предложенному стандарту под названием CMAC. Важность аутентифицированого шифрования по началу была точно выделена в [100, 19], который предлагает определения идентичные тем, которые мы дали здесь. Беллар и Нампремпрэ (Namprempre) [19] анализируют три типичных под- хода, описанных здесь, хотя идея использования подхода «шифрование, затем ау- тентификация» для достижения защиты от атак на соревновании подобранного шифротекста относится к более раннему периоду, по крайней мере к работам До- лева (Dolev) и др. [61]. Кравчик (Krawczyk) [108] проверяет другие методы дости- жения стойкости и аутентификации, а также анализирует подход «аутентифика- ция, затем шифрование», используемый SSL. Дегабриэль (Degabriele) и Патерсон (Paterson) [54] показывают атаку на IPsec при конфигурации «аутентификация, затем шифрование» (подход по умолчанию для аутентифицированного шифро- вания, как правило, «шифрование, затем аутентификация»); однако достичь под- хода «аутентификация, затем шифрование» можно в некоторых конфигурациях). Некоторые нетипичные схемы для аутентифицированного шифрования также были предложены; см. [110] для подробного сравнения. Информационно-теоретические MAC впервые были изучены Гилбертом (Gilbert) и др. [73]. Уэгман (Wegman) и Картер (Carter) [177] представили понятие строго универсальных функций и отметили их применение к аутентификации одноразовых сообщений. Они также показывают, как уменьшить длину ключа для этой цели, используя почти строго универсальную функцию. В частности, конструкция, которую мы приводим здесь, достигает 2−n- защиты для сообще- ний длиной n с ключми длиной O(n); Уэгман и Картер показывают, как построить 2−n-защищенный MAC для сообщений длиной A с ключами (фактически) длоной O(n•log A). Простая конструкция строго универсальной функции, которую мы при- водим здесь, разработана (с небольшими изменениями) картером и Уэгманом [42]. Читатель, заинтересованный в более глубоком изучении информационно-теорети- ческих MAC может обратиться к докладу Стинсона (Stinson) [166], исследованию Симмонса (Simmons) [162] или первой редации пособия Стинсона [167, Глава 10]. жүктеу/скачать 6.4 Mb. Достарыңызбен бөлісу:
|