137
Видимость A , когда он запущен в качестве подпрограммы посредством Ar,
распространяется идентично видимости A в эксперименте Mac-forgeAП(n) , и
поэтому вероятности событий Mac-forge A(n) = 1, а NewBlock не меняется. Если
случается NewBlock , тогда Ar выводит блок r||A||i||mi, который никогда ранее не
был аутентифицирован собственным оракулом MAC; если Mac-forgeAП(n) =
1, тогда тег на каждом блоке будет действительным (относительно Πr), и по-
этому, в частности, это истинно для блока, выведеного посредством Ar. Это
означает, что не имеет значение, верно ли, что Mac-forgeAП(n) = 1, случается ли
NewBlock, мы имеем Mac-forgeAП(n) = 1, доказывая Уравнение (4.4).
4.4 CBC-MAC
Теоремы 4.6 и 4.8 показывают, что можно создать защищенный код аутентифика-
ции сообщений для сообщений произвольной длины из псевдослучайной функции,
прини мающей данные фиксированной длины n. Это, в принципе, демонстрирует, что
безопасные КАС могут быть созданы из блочных шифров. К сожалению, полученная
конструкция чрезвычайно неэффективна: чтобы вычислить тег на сообщении длиной
dn, блочный шифр вычисляется 4d раз; тег - более 4dn бит в длину. К счастью, доступны
намного более эффективные конструкции. Мы изучаем одну такую конструкцию здесь,
которая основывается исключительно на блочных шифрах, а еще одну - в Разделе 5.3.2,
которая использует дополнительный криптографический примитив.
Достарыңызбен бөлісу: