Authentication

One-Time MAC 的數據塊長度和 q

  • February 25, 2018

當 128 位長的數據塊不可用於一次性 MAC 時:

  1. 可以用 64 位代替嗎?
  2. 應該 $ q $ 那麼> = 64位?例如 $ 2^{64}+5 $
  3. 這是否可以進一步縮小到 32、16、……位?(塊大小和 $ q $ )

我發現的幾個理論來源:

  1. https://www.youtube.com/watch?v=OMDDvINZNnE
  2. http://www.crypto-it.net/eng/theory/mac.html

可以用 64 位代替嗎?

是的,但它降低了安全性。

假設消息長度為 $ L $ 塊,然後給定一個有效的消息,標籤對,攻擊者可以生成第二個消息/標籤對,該對將有可能進行身份驗證 $ L/q $ (當然,假設 $ L \le q $ )。通過降低 $ q $ ,您正在增加攻擊者成功的可能性。

現在,您可以並行執行多次(使用不同的隨機值 $ k_1, k_2 $ 對於每個實例;讓我們舉例說明它是如何工作的。

例如,如果您使用單個 128 位 $ q $ ,你的消息長度是 $ \ell $ 字節(因此我們有 $ L = \ell/16 $ ),這意味著攻擊者可以成功 $ 2^{-132} \ell $ .

相反,如果你有一個 64 位 $ q $ ,並並行執行兩次,您的消息長度為 $ \ell $ 字節(等等 $ L = \ell/8 $ ),這意味著攻擊者可以成功 $ 2^{-134} \ell^2 $ (請注意,即使常數因子較小,這也總是較大,因為我們假設 $ \ell $ 是多個塊,所以 $ \ell \ge 16 $ ).

因為第二種情況將安全性降低為消息長度的平方,所以如果可能出現長消息,它的降級速度會顯著加快。它是否降級太快取決於a)可以容忍多少偽造機率,以及b)無論如何您的消息有多長。

這是否可以進一步縮小到 32、16、……位?(塊大小和 $ q $ )

是的,但是根據消息長度,您會遇到更快的降級。

引用自:https://crypto.stackexchange.com/questions/55878