4.2 Message Authentication Codes – Definitions

最新推荐文章于 2023-08-26 23:34:05 发布

TooSIMple_

最新推荐文章于 2023-08-26 23:34:05 发布

阅读量905

点赞数

分类专栏：密码学

本文链接：https://blog.csdn.net/i1020/article/details/104202111

版权

密码学专栏收录该内容

6 篇文章 6 订阅

订阅专栏

文章目录

序：

Encryption一般并不能解决Message Integrity问题，对于这个问题最常用的工具是Message Authentication Code, MAC，MAC的目标就是检测message是否被敌手篡改。

The Syntax of a Message Authtication Code

这部分主要讲述MAC的定义以及如何使用。在对称加密中，通信双方首先共享密钥 $k$ ，sender发送 $(m, t)$ 给接收方，其中 $t$ 是MAC tag,计算方法为 $\leftarrow Mac_k(m)$ ；receiver接收 $(m, t)$ ，并通过Vrfy验证 $t$ 是否有效，即 $m$ 是否被敌手篡改。
正式描述如DEFINITION 4.1所示。
在这里插入图片描述

Canonical verification

Canonical verification的基本思想是再计算一遍 $m$ 的Mac值，计算出的 $\tilde{t}$ 和接收到的 $t$ 相等则通过验证。该方法隐含着 $Mac_k()$ 是一个确定算法。

Security of Message Authentication Codes

MAC安全最直观的定义是：不存在Efficient Adversary对任何未经发送或者验证的信息生成Valid tag。
对于正式的模型来说允许敌手选择任意的message通过访问MAC $o r a c l e$ $Mac_k(·)$ 获得有效的tag。如果敌手能够对任意message都输出valid tag则称敌手可以破坏MAC方案，其中敌手并没有请求过对应message的valid tag。因此，Replay Attack并没有破坏MAC，但其在安全方面仍然备受关注。
故定义Message Authentication实验如下：其中 $Π = (G e n, M a c, V r f y)$ 在这里插入图片描述
如果不存在Efficient Adversary在MAC-forge实验中以Non-negligible的概率成功，则称MAC是安全的。正式描述如下：

Is the definition too strong?

上述定义强在两个方面：
1.敌手被允许可以向oracle请求其选择的任意信息并获得tag；在现实中，敌手能够获得的相关信息的有效tag往往是受限的，并不是任意的。
2.如果敌手能够输入任意未经验证信息的有效tag，则称敌手就破坏了MAC安全；在现实中，敌手应该是能够输入未验证的有用信息的有效tag，而不是任意未验证信息的有效tag。

Replay attacks

正如前面所述，MAC并不能抵抗Replay attack，因为Replay attack并没有破坏MAC的安全性。
那么如何抵抗Replay attack呢?

方法	sequence numbers (or counters)	time-stamps
描述	序列号(计数)，详细描述在4.5.3节	sender发送当前时间 $T$ ,并通过 $T\\|m$ 计算tag $t$
条件	通信双方保持同步状态	通信双方保持相近的同步时钟
缺点	概率性的丢包可能会产生一些问题	Replay attack足够快时也有可能攻击成功

Strong MACs

secure MAC保证敌手不能对New Message伪造有效的tag，但并没有限制敌手不能够对验证过的message伪造有效的tag：假设 $Mac_k()$ 是一个随机函数，即 $Mac_k(m_i)$ 可能存在多个有效的tag $t_i$ ，那么敌手就能够对验证过得message $m_i$ 求得一个新的有效tag $\tilde{t_i} != t_i$ ，这种情况在现实中可能会对通信双方造成某些损害。为了排除这种情况，需要定义Strong MAC。
首先定义Mac-sforge实验，和Mac-forge唯一的区别就在于：验证集合由 ${m_1,...,m_n\}$ 变成 ${(m_1,t_1),...,(m_n,t_n)\}$ ；这样定义后Mac-sforge就避免了敌手对已验证message伪造新的有效tag。
在这里插入图片描述
很容易得出，Mac-forge在canonical verification条件下和Mac-sforge是等价的。

Verification Queries

Definition4.2和4.3中都允许敌手去访问verification oracle。

A potential timing attack

上面没有提到的一个问题是对MAC verification进行timing attack。敌手发送 $(m, t)$ 给接收方，不仅能够了解到是accepts或者rejects的状态，还能了解到接收方作出这个决定花费了多长的时间；由这一特性，提出了timing attack：已知敌手伪造的前 $i$ 位的tag是对的，现在需要验证第 $i + 1$ 位是否正确；如果第 $i + 1$ 位正确，那么rejects的时间会稍长，否则和前 $i$ 位正确时所花费的时间一样。
对于timing attack的应对措施就是：再进行验证时比较tag的all bytes。

TooSIMple_

关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
4.2 Message Authentication Codes – Definitions

文章目录序：The Syntax of a Message Authtication CodeSecurity of Message Authentication Codes序： Encryption一般并不能解决Message Integrity问题，对于这个问题最常用的工具是Message Authentication Code, MAC，MAC的目标就是检测message是否被敌手篡改。...
复制链接

扫一扫