CCM 真實性綁定
有人可以幫助我了解 Phillip Rogaway 約束的 CCM 真實性嗎?即成功機率< $ q_{\text{dec}}/2^\tau + \sigma/2^b $ .
$ \tau $ 是標籤長度,其中 $ b $ 是塊長度。 $ q_{\text{dec}} $ 是偽造嘗試的次數,我不知道是什麼” $ \sigma $ “ 是?
此外,如果我不是在尋找偽造嘗試,而是在尋找導致無效消息通過 CBC MAC 的通道錯誤。那麼對於那種情況 $ q_{\text{dec}}=1 $ . 我對嗎?我正在嘗試發送 500MB 的數據?那麼由於通道錯誤而通過 CBC MAC 的未驗證消息的數量是多少。
如果您指的是Rogaway 的這篇論文,“Evaluation of Some Blockcipher Modes of Operation”(PDF,相關頁面為 120),那麼它非常清楚地記錄了所有內容。
- $ q_{\text{dec}} $ 是對手要求的解密查詢總數。如果您在使用不同的密鑰之前只接受一個解密查詢,這可以近似為 $ 1 $ .
- $ \sigma $ 是該模式將對對手的查詢序列進行的分組密碼呼叫總數。因此,如果所有對抗性查詢(加密和解密)一起需要 4 個分組密碼呼叫來處理,那麼 $ \sigma=4 $ . 對於 500 MByte 的數據(在單個查詢中),這意味著 $ \sigma\approx 2^{26} $
還要注意論文中規定的界限(注意 $ \sigma $ ) 是
$$ \leq \frac{q_{\text{dec}}}{2^\tau}+\frac{\sigma^2}{2^b} $$ 插入上述值會產生以下優勢 $ \leq 1/2^\tau+2^{52}/2^b $ 它限制了任何對手的成功機率。現在,隨機雜訊通常並不是一個聰明的對手,因此隨機雜訊(成功)偽造的可能性要低得多。
因此,讓我們澄清一下“分組密碼呼叫”實際上是什麼。像 CCM 這樣的操作模式建立在被建模為函式的分組密碼之上 $ C=E_K(P) $ 對於一些明文 $ P $ , 一些鍵 $ K $ 以及對應的密文 $ C $ 在哪裡 $ P $ 和 $ C $ 是相同的,固定的大小。一次計算 $ C $ 從 $ K,P $ 或 $ P $ 從 $ K,C $ 被稱為一個分組密碼呼叫(因為在實現中您為此呼叫分組密碼函式)。現在對於 CCM 模式,我將在此處跳過描述,最終每個數據塊大約有 2 個分組密碼呼叫(一個用於隱私,一個用於真實性),產生上述 $ 2^{26}\approx 2\cdot 500\cdot 10^6/16 $ .