175
что получатель получит правильное значение Hs(m), стойкость к коллизиям гарантирует,
что атакующий не сможет найти отдельное сообщение mr , которое хэшируется в это же
значение. Строго говоря, скажем, отправитель использует Конструкцию 5.5, чтобы аутен-
тифицировать некоторый набор сообщений Q, а атакующий A может подделать верный
тег на новом сообщении m* ƒ∈ Q. Существуют два возможных случая:
Случай 1: есть сообщение m ∈
Q , так чтоHs(m*) = Hs(m). Тогда A нашел
коллизию в Hs, противоречащую стойкости к коллизиям (Gen, H).
Случай 2: для каждого сообщения m ∈
Q справедливо, что Hs(m*) ƒ= Hs(m).
Пусть Hs(Q) {Hs(m) | m ∈ Q}. Тогда Hs(m*) ∉/ Hs(Q). В
этом случае A
подделал верный тег на «новом сообщении» Hs(m*) относительно кода аутен-
тификации сообщений фиксированной длины Π. Это противоречит предполо-
жению, что Π является защищенным MAC. Сейчас мы превратим вышесказан-
ное в формальное доказательство.
Достарыңызбен бөлісу: