Введение в современную криптографию


Ссылки и дополнительная литература



Pdf көрінісі
бет120/249
Дата14.06.2023
өлшемі6.4 Mb.
#475029
1   ...   116   117   118   119   120   121   122   123   ...   249
Криптография Катц

Ссылки и дополнительная литература 
Определение защиты кодов аутентификации сообщений было принято Бел-
ларом (Bellare) и др. [18] из определения защиты цифровых подписей, данной 
Голдвассером (Goldwasser) и др. [81] (см. Главу 12). Для получения дополни-
тельной информации касательно варианта определения, при котором разреше-
ны подтверждающие запросы, см. [17].
Парадигма использования псевдослучайных функций для аутентификации 
сообщений (как в Контсрукции 4.5) была представлена Голдрайхом (Goldreich) 
и др. [77]. Конструкция 4.7 разработана Голдрайхом [76].
CBC-MAC был стандартизирован в начале 80-х годов [94, 178] и все еще ши-
роко используется. Защищенность (для аутентификации сообщений фиксиро-
ванной длины) базового CBC-MAC была доказана Белларом и др. [18]. Берн-
штейн (Bernstein) [26, 27] дает более прямое (хотя, возможно, менее наглядное) 
доказательство, а также описывает некоторые обобщенные версии CBC-MAC. 


163
Как сказано в данной главе, базовый CBC-MAC является незащищенным при ис-
пользовании для аутентификации сообщений различной длины. Одним из спосо-
бов это исправить - это добавить длину к сообщению. Недостаток заключается в 
невозможности справиться в потоковыми данными, когда длина сообщения неиз-
вестна заранее. Петранк (Petrank) и Рэкофф (Rackoff) [137] предлагают альтернати-
ву, «онлайн» подход решения данного вопроса. Дальнейшие разработки была даны 
Блэком (Black) и Рогавэем (Rogaway) [32] и Иватой (Iwata) и Куросавой (Kurosawa); 
это привело к новому предложенному стандарту под названием CMAC.
Важность аутентифицированого шифрования по началу была точно выделена 
в [100, 19], который предлагает определения идентичные тем, которые мы дали 
здесь. Беллар и Нампремпрэ (Namprempre) [19] анализируют три типичных под-
хода, описанных здесь, хотя идея использования подхода «шифрование, затем ау-
тентификация» для достижения защиты от атак на соревновании подобранного 
шифротекста относится к более раннему периоду, по крайней мере к работам До-
лева (Dolev) и др. [61]. Кравчик (Krawczyk) [108] проверяет другие методы дости-
жения стойкости и аутентификации, а также анализирует подход «аутентифика-
ция, затем шифрование», используемый SSL. Дегабриэль (Degabriele) и Патерсон 
(Paterson) [54] показывают атаку на IPsec при конфигурации «аутентификация, 
затем шифрование» (подход по умолчанию для аутентифицированного шифро-
вания, как правило, «шифрование, затем аутентификация»); однако достичь под-
хода «аутентификация, затем шифрование» можно в некоторых конфигурациях).
Некоторые нетипичные схемы для аутентифицированного шифрования также 
были предложены; см. [110] для подробного сравнения.
Информационно-теоретические MAC впервые были изучены Гилбертом 
(Gilbert) и др. [73]. Уэгман (Wegman) и Картер (Carter) [177] представили понятие 
строго универсальных функций и отметили их применение к аутентификации 
одноразовых сообщений. Они также показывают, как уменьшить длину ключа 
для этой цели, используя почти строго универсальную функцию. В частности
конструкция, которую мы приводим здесь, достигает 2−n- защиты для сообще-
ний длиной n с ключми длиной O(n); Уэгман и Картер показывают, как построить 
2−n-защищенный MAC для сообщений длиной A с ключами (фактически) длоной 
O(n•log A). Простая конструкция строго универсальной функции, которую мы при-
водим здесь, разработана (с небольшими изменениями) картером и Уэгманом [42]. 
Читатель, заинтересованный в более глубоком изучении информационно-теорети-
ческих MAC может обратиться к докладу Стинсона (Stinson) [166], исследованию 
Симмонса (Simmons) [162] или первой редации пособия Стинсона [167, Глава 10].


Достарыңызбен бөлісу:
1   ...   116   117   118   119   120   121   122   123   ...   249




©dereksiz.org 2024
әкімшілігінің қараңыз

    Басты бет