Введение в современную криптографию
Расширение области для кодов аутентификации сообщений
жүктеу/скачать 6.4 Mb. Pdf көрінісі
|
| 4.3.2 Расширение области для кодов аутентификации сообщений
Конструкция 4.5 важна тем, что она показывает общую парадигму для построения безопасных кодов аутентификации сообщений из псевдослучайных функций. К со- жалению, эта конструкция применима только к сообщениям фиксированной длины, которые к тому же достаточно короткие³ .Эти ограничения неприемлемы в боль- шинстве приложений. Мы покажем, как можно построить общий КАС, работающий для сообщений произвольной длины, из любого КАСа фиксированной длины для сообщений длины n. Изображенная конструкция не очень эффективна и поэтому не очень часто используется на практике. В действительности, известны намного более эффективные конструкции защищенных MAC, как было описано в Разделах 4.4 и 5.3.2. Мы общаемся к настоящей конструкции из-за ее простоты и универсальности. Пусть Πr = (Macr, Vrfyr) будет защищенным MAC фиксированной длины для со- общений длиной n. Перед представлением конструкции MAC для сообщений произ- вольной длины, основанных на Πr, мы исключим несколько простых идей и опишем несколько канонических атак, которые необходимо предотвратить. Ниже мы разбе- рем сообщение m , чтобы аутентифицировать его как последовательность блоков m1, . . . , md; обратите внимание, что, так как нашей целью является обработка сообщения произвольной длины, d может варьироваться от сообщения к сообщению. 4.3.2.1 Стандартная первая идея заключается в том, чтобы просто аутентифици- ровать каждый блок по отдельности, то есть вычислить ti:= Macr (mi) для всех i и вывести (t1, . . . , td) в качестве тега. Это не позволит злоумышленнику отсылать ранее неаутентифицированный блок незаметно. Однако, это не спасет от атаки с изменением порядков блоков, при которой атакующий перетасовывает блоки в аутентифицированном сообщении. В частности, если (t1, t2) действительный тег на сообщении m1, m2 (при m1 ƒ= m2), тогда (t2, t1) - действительный тег на (другом) сообщении m2, m1 (что-то, что не разрешено Определением 4.2). 4.3.2.2 Мы можем предотвратить предыдущую атаку путем аутентификации индекса блока вместе с каждым блоком. То есть мы теперь вычисляем ti = Macr (i»mi) для всех i и выводим (t1, . . . , td) в качестве тега. (Обратите внимание, что длина блока |mi| должна измениться.) Это не предотвращает атаку с усечением, когда атакующий просто сбра- сывает блоки с конца сообщения (и также сбрасывает соотвествующие блоки тегов). 4.3.2.3 Атаке с усечением можно помешать посредством дополнительной аутен- тификации длины сообщений вместе с каждым блоком. (Аутентификация длины сообщений в качестве отдельного блока не работает. Понимаете ли вы почему?) То ______________________________________________________________________ с большей областью даст защищенный MAC для более длинных сообщений. Однако, суще- ствующие прак тические псевдослучайные функции (то есть блочные шифры) принимают ко- роткие данные фиксированной длины. 134 есть вычислите ti = Macr (A»i»mi) для всех i, где A обозначает длину сообщения в битах. (И снова же, длину блока |mi| необходимо будет уменьшить.) Данная схема уязвима для атаки с комбинированием блоков, когда злоумышленник объединяет блоки из различных сообщений. Например, если злоумышленник получит теги (t1, . . . , td) и (tr , . . . , tr ) на сообщения m = m1, . . . , md and mr = mr , . . . , mr , соот- ветственно, он может вывести действительный тег (t1, tr , t3, tr , . . .) на сообщениях m1, mr , m3, mr , . . .. Мы можем предотвратить последнюю атаку, также введя слу- чайный «идентификатор сообщений» вместе с каждым блоком, что защитит блоки из разных сообщений от комбинирования. Это приводит нас к Конструкции 4.7. жүктеу/скачать 6.4 Mb. Достарыңызбен бөлісу:
|