Введение в современную криптографию


Эксперимент аутентификации сообщения Mac-forge



Pdf көрінісі
бет90/249
Дата14.06.2023
өлшемі6.4 Mb.
#475029
1   ...   86   87   88   89   90   91   92   93   ...   249
Криптография Катц

Эксперимент аутентификации сообщения Mac-forge
1. С помощью алгоритма Gen(1n) генерируется ключ k.
2. Противник A получает вход 1n и доступ к Mack (•). Противник в конечном 
итоге выдеает (m, t). Пусть Q обозначает множество всех запросов, которые 
A задал своему оракулу.
3. A умеет успех тогда и только тогда, когда (1) Vrfyk (m, t) = 1 и (2) m ƒ∈ Q.
В этом случае исход эксперимента будет 1.
КАС является безопасным, если никакой эффективный противник не может 
иметь успех в этом эксперименте с непренебрежимой вероятностью:
ОПРЕДЕЛЕНИЕ 4.2 Код аутентификации сообщения Π = (Gen, Mac, Vrfy) эк-
зистенциально не подлежит подделке при адаптивной атаке с выбором сообщения, 
или просто безопасен, если для всех вероятностных противников, работающих в по-
линомиальном времени А, существует пренебрежимо малая функция negl , такая что:
Pr[Mac-forgeАП(n) = 1] ≤ negl(n).
Является ли это определение слишком строгим? Вышеприведенное опре-
деление достаточно строгое в двух отношениях. Во-первых, противнику разре-
шается запросить тэги КАС для любых сообщений по своему выбору. Во-вторых, 
считается, что противник «взломал» схему, если он может выдать действующий 
тэг для любого сообщения, прежде не аутентифицированного. Можно поспо-
рить, что оба эти компонента определения нереалистичны и слишком строги: при 
использовании КАС в «реальном мире» честные участники аутентифицируют 
только «значимые» сообщения (контроль противника над которыми ограничен), 


127
и соответственно, если противник может подделать действующий тэг для «зна-
чимого» сообщения, то это должно считаться только нарушением безопасности. 
Почему мы не можем исправить определение, чтобы это учесть?
Важнейшим моментом здесь является то, что понятие значимого сообщения полно-
стью зависит от приложения. Хотя некоторые приложения КАСа могут аутентифици-
ровать только сообщения на английском языке, другие приложения могут аутентифи-
цировать файлы с электронными таблицами, базы данных и другие необработанные 
данные. Также можно создавать протоколы, где может быть аутентифицировано все, 
что угодно — в действительности, некоторые протоколы для аутентификации объектов 
как раз это позволяют. Делая определение безопасности для КАС как можно строже, 
мы удостовериваемся, что безопасные КАС широко применимы для многих целей, без 
необходимости беспокоиться о совместимости КАС с семантикой приложения.


Достарыңызбен бөлісу:
1   ...   86   87   88   89   90   91   92   93   ...   249




©dereksiz.org 2024
әкімшілігінің қараңыз

    Басты бет