134
есть вычислите ti = Macr (A»i»mi) для всех i, где A обозначает длину сообщения
в битах. (И снова же, длину блока |mi| необходимо будет уменьшить.) Данная схема
уязвима для атаки с комбинированием блоков, когда злоумышленник объединяет
блоки из различных сообщений.
Например, если злоумышленник получит теги
(t1, . . . , td) и (tr , . . . , tr ) на сообщения m = m1, . . . , md and mr = mr , . . . , mr , соот-
ветственно, он может вывести действительный тег (t1, tr , t3, tr , . . .) на сообщениях
m1, mr , m3, mr , . . .. Мы можем предотвратить последнюю атаку, также введя слу-
чайный «идентификатор сообщений» вместе с каждым блоком, что защитит блоки
из разных сообщений от комбинирования. Это приводит нас к Конструкции 4.7.
Достарыңызбен бөлісу: