177
ственной основе хэш-функции? Первой мыслью является определение Mack (m) =
H(k||m); мы должны предполагать, что, если H является «хорошей» хэш-функцией,
тогда должно быть тяжело атакующему предугадать значение H(k||mr), учитывая
значение H(k||m), для любых mr ƒ= m, предполагая, что k подобран случайным об-
разом (и неизвестен атакующему). К несчастью, если H построена с использовани-
ем преобразования Меркле-Дамгорда, как и большинство реальных хэш-функций,
тогда MAC, разработанный таким образом, является полностью незащищенным,
как вам и было предложено показать в Упражнении 5.10.
Вместо этого, мы можем попробовать использовать два слоя хэширования.
См. Конструкцию 5.7 для стандартизированной схемы под названием HMAC
на основе данной идеи.
Достарыңызбен бөлісу: