minimal example of forgery

$\mathbf{O}\mathbf{C}\mathbf{B}2$伪造攻击： $minimalexampleofforgery部分$

---

$ALice$与$Bob$进行认证加密：

$ALice$的认证加密： $Encrypt(N,A,M)$
  $N$表示$128bit$随机数，
  $A$表示空相关数据，
  $M$表示长度为2$n$($n=128$)的消息$M=M[1]||M[2]$：$M[1]=len(0^n)$，$M[2]$的值可以是任意的$n_{bit}$。例如：$M[2]=0^{128}$。
认证加密的结果： 密文$C=C[1]||C[2]$，标签$Tag$ 。

$Bob$进行认证解密：$Decrypt(N,A,C,Tag)$：

  $Bob$对接收到$Alice$的密文$C=C[1]||C[2]$，标签$Tag$ ，进行认证解密。解密之后的$Ta{g}_{dec}$与$Alice$的$Tag$相等，则认证成功，解密出来的明文即$M$（$Alice真正发送的明文$）。

---

$Bob$本应该接收到$Alice$发送过来的认证加密结果，进行如上的认证解密。然而此时 $Eva$从中作怪，$Eva$对$Aice$认证加密的结果进行伪造，并把伪造结果发送给$Bob$。
$Eva$伪造:
  $N^{\prime }$=$N$          //使解密认证的$N$与加密认证的$N$相同
  $A^{\prime }=\epsilon$         //$A^{\prime }$为空
  $C^{\prime }=C[1]\oplus len(0^n)$ //把$2n_{bit}的$$C$伪造成$n_{bit}$$C^{\prime }$
  $T^{\prime }=M[2]\oplus C[2]$   //把$Tag$伪造成$T^{\prime }$

$Bob$对$Eva$伪造过的认证加密结果进行认证解密：
$Decrypt(N^{\prime },A^{\prime },C^{\prime },T^{\prime })$: 其中$|C^{\prime }|=n$
解密之后的$Ta{g}_{dec-eva}$与$Eva$伪造的$T^{\prime }$相同，此时$Bob$认为自己认证成功，则认为自己解密出来的明文就是$Alice$发送的明文$M$。事实上：解密之后的密文$M_{dec-eva}$并不是$Alice$发送的密文。
      这就是$Eva$伪造成功了！！！！！！

---