163
Как сказано в данной главе, базовый CBC-MAC является незащищенным при ис-
пользовании для аутентификации сообщений различной длины. Одним из спосо-
бов это исправить - это добавить длину к сообщению. Недостаток заключается в
невозможности справиться в потоковыми данными, когда длина сообщения неиз-
вестна заранее. Петранк (Petrank) и Рэкофф (Rackoff) [137] предлагают альтернати-
ву, «онлайн» подход решения данного вопроса. Дальнейшие разработки была даны
Блэком (Black) и Рогавэем (Rogaway) [32] и Иватой (Iwata) и Куросавой (Kurosawa);
это привело к новому предложенному стандарту под названием CMAC.
Важность аутентифицированого шифрования по началу была точно выделена
в [100, 19], который предлагает определения идентичные тем, которые мы дали
здесь. Беллар и Нампремпрэ (Namprempre) [19] анализируют три типичных под-
хода, описанных здесь, хотя идея использования подхода «шифрование, затем ау-
тентификация» для достижения защиты от атак на соревновании подобранного
шифротекста относится к более раннему периоду, по крайней мере к работам До-
лева (Dolev) и др. [61]. Кравчик (Krawczyk) [108] проверяет другие методы дости-
жения стойкости и аутентификации, а также анализирует подход «аутентифика-
ция, затем шифрование», используемый SSL. Дегабриэль (Degabriele) и Патерсон
(Paterson) [54] показывают атаку на IPsec при конфигурации «аутентификация,
затем шифрование» (подход по умолчанию для аутентифицированного шифро-
вания, как правило, «шифрование, затем аутентификация»); однако достичь под-
хода «аутентификация, затем шифрование» можно в некоторых конфигурациях).
Некоторые нетипичные схемы для аутентифицированного
шифрования также
были
предложены; см. [110] для подробного сравнения.
Информационно-теоретические MAC впервые
были изучены Гилбертом
(Gilbert) и др. [73]. Уэгман (Wegman) и Картер (Carter) [177] представили понятие
строго универсальных функций и отметили их
применение к аутентификации
одноразовых сообщений.
Они также показывают, как уменьшить длину ключа
для этой цели, используя почти строго универсальную функцию. В
частности,
конструкция, которую мы приводим здесь, достигает 2−n- защиты для сообще-
ний длиной n с ключми длиной O(n); Уэгман и Картер показывают, как построить
2−n-защищенный MAC для сообщений длиной A с ключами (фактически) длоной
O(n•log A). Простая конструкция строго универсальной функции, которую мы при-
водим здесь, разработана (с небольшими изменениями) картером и Уэгманом [42].
Читатель, заинтересованный в более глубоком изучении информационно-теорети-
ческих MAC может обратиться к докладу Стинсона (Stinson) [166], исследованию
Симмонса (Simmons) [162] или первой редации пособия Стинсона [167, Глава 10].
Достарыңызбен бөлісу: