Введение в современную криптографию


Расширение области для кодов аутентификации сообщений



Pdf көрінісі
бет96/249
Дата14.06.2023
өлшемі6.4 Mb.
#475029
1   ...   92   93   94   95   96   97   98   99   ...   249
Криптография Катц

4.3.2 Расширение области для кодов аутентификации сообщений 
Конструкция 4.5 важна тем, что она показывает общую парадигму для построения 
безопасных кодов аутентификации сообщений из псевдослучайных функций. К со-
жалению, эта конструкция применима только к сообщениям фиксированной длины, 
которые к тому же достаточно короткие³ .Эти ограничения неприемлемы в боль-
шинстве приложений. Мы покажем, как можно построить общий КАС, работающий 
для сообщений произвольной длины, из любого КАСа фиксированной длины для 
сообщений длины n. Изображенная конструкция не очень эффективна и поэтому не 
очень часто используется на практике. В действительности, известны намного более 
эффективные конструкции защищенных MAC, как было описано в Разделах 4.4 и 
5.3.2. Мы общаемся к настоящей конструкции из-за ее простоты и универсальности.
Пусть Πr = (Macr, Vrfyr) будет защищенным MAC фиксированной длины для со-
общений длиной n. Перед представлением конструкции MAC для сообщений произ-
вольной длины, основанных на Πr, мы исключим несколько простых идей и опишем 
несколько канонических атак, которые необходимо предотвратить. Ниже мы разбе-
рем сообщение m , чтобы аутентифицировать его как последовательность блоков m1, 
. . . , md; обратите внимание, что, так как нашей целью является обработка сообщения 
произвольной длины, d может варьироваться от сообщения к сообщению. 
4.3.2.1 Стандартная первая идея заключается в том, чтобы просто аутентифици-
ровать каждый блок по отдельности, то есть вычислить ti:= Macr (mi) для всех i и 
вывести (t1, . . . , td) в качестве тега. Это не позволит злоумышленнику отсылать 
ранее неаутентифицированный блок незаметно. Однако, это не спасет от атаки с 
изменением порядков блоков, при которой атакующий перетасовывает блоки в 
аутентифицированном сообщении. В частности, если (t1, t2) действительный 
тег на сообщении m1, m2 (при m1 ƒ= m2), тогда (t2, t1) - действительный тег на 
(другом) сообщении m2, m1 (что-то, что не разрешено Определением 4.2).
4.3.2.2 Мы можем предотвратить предыдущую атаку путем аутентификации индекса 
блока вместе с каждым блоком. То есть мы теперь вычисляем ti = Macr (i»mi) для всех i 
и выводим (t1, . . . , td) в качестве тега. (Обратите внимание, что длина блока |mi| должна 
измениться.) Это не предотвращает атаку с усечением, когда атакующий просто сбра-
сывает блоки с конца сообщения (и также сбрасывает соотвествующие блоки тегов).
4.3.2.3 Атаке с усечением можно помешать посредством дополнительной аутен-
тификации длины сообщений вместе с каждым блоком. (Аутентификация длины 
сообщений в качестве отдельного блока не работает. Понимаете ли вы почему?) То 
______________________________________________________________________
с большей областью даст защищенный MAC для более длинных сообщений. Однако, суще-
ствующие прак тические псевдослучайные функции (то есть блочные шифры) принимают ко-
роткие данные фиксированной длины.


134
есть вычислите ti = Macr (A»i»mi) для всех i, где A обозначает длину сообщения 
в битах. (И снова же, длину блока |mi| необходимо будет уменьшить.) Данная схема 
уязвима для атаки с комбинированием блоков, когда злоумышленник объединяет 
блоки из различных сообщений. Например, если злоумышленник получит теги 
(t1, . . . , td) и (tr , . . . , tr ) на сообщения m = m1, . . . , md and mr = mr , . . . , mr , соот-
ветственно, он может вывести действительный тег (t1, tr , t3, tr , . . .) на сообщениях 
m1, mr , m3, mr , . . .. Мы можем предотвратить последнюю атаку, также введя слу-
чайный «идентификатор сообщений» вместе с каждым блоком, что защитит блоки 
из разных сообщений от комбинирования. Это приводит нас к Конструкции 4.7. 


Достарыңызбен бөлісу:
1   ...   92   93   94   95   96   97   98   99   ...   249




©dereksiz.org 2024
әкімшілігінің қараңыз

    Басты бет