Введение в современную криптографию
Шифрование, затем аутентификация
жүктеу/скачать 6.4 Mb. Pdf көрінісі
|
- Бұл бет үшін навигация:
- КОНСТРУКЦИЯ 4.18
| Шифрование, затем аутентификация . В этом подходе сообщение сначала
шифруется, а затем MAC вычисляется по результату. То есть сообщение - это пара (c, t) , где c ← EnckE (m) и t ← MackM (c). Дешифрование (c, t) осуществляется путем выведения ┴ , если VrfykM (c, t) ƒ≠ 1, иначе выводится DeckE (c). См. Конструкцию 4.18 для формального описания КОНСТРУКЦИЯ 4.18 Пусть ΠE = (Enc, Dec) будет схемой шифрования с закрытым ключом, и пусть ΠM = (Mac, Vrfy) будет кодом аутентификации сообщений, где в каждом слу- чае генерирование ключа выполняется путем простого подбора универсального n-битного ключа. Определим схему шифрования с закрытым ключом (Genr , Encr , Decr) следующим образом: • Genr: при вводе 1n, выбрать независимый, универсальный kE, kM ∈ {0, 1}n и вывести ключ (kE, kM ). • Encr: при вводе ключ (kE, kM ) и открытый текст сообщения m, вычислить c ← EnckE (m) и t ← MackM (c). Вывести шифротекст (c, t). • Decr: при вводе ключ (kE, kM ) и шифротекст (c, t), сначала проверить верно ли Vrfy kM(c, t) =? 1. Если да, вывести Dec kE(c); если нет, тогда вывести ┴. Типичная конструкция схемы аутентифицированного шифрования . 151 Данный подход является работоспособным, пока MAC является строго за- щищенным, кк определено Определением 4.3. Интуиция касательно защиты данного подхода подсказывает, что шифротекст (c, t) является действительным, если t является действительным тегом MAC на c. Сильная защита MAC обе- спечивает то, что злоумышленник не сможет сгенерировать какой-либо верный шифртекст, который он не получил из его оракула шифрования. Это непосред- ственно предполагает, что Конструкция 4.18 не поддается подделке. Что ка- сается CCA-защиты, MAC, вычисляемый по шифротексту, влияет на оракула шифрования, делая его бесполезным, поскольку за каждым шифротекстом (c, t) злоумышленник обращается к своему оракулу дешифрования либо злоумыш- ленник уже знает дешифрование (если он получил (c, t) от своего собственно- го оракула шифрования) либо еще как-нибудь может ожидать, что в результате будет ошибка (поскольку злоумышленник не может гене рировать какие-либо новые шифротексты). Это означает, что CCA-защита комбинированной схемы уменьшается до CPA-защиты ΠE . Можно также увидеть, что MAC проверяет- ся перед дешифрованием ; таким образом, проверка MAC не может упустить каких-либо данных об открытом тексте (в сравнении с атакой с оракулом до- полнения, которую мы наблюдали при подходе «аутентификация, затем шифро- вание»). А теперь мы формализуем вышеперечисленные аргументы. жүктеу/скачать 6.4 Mb. Достарыңызбен бөлісу:
|