Cbc

使用可預測 IV 的 CBC-MAC

  • April 27, 2018

想像一下,您有一個明文字元串 ( a)、IV ( ) 和明文( )ai的 MAC ( )。am``a

如何bm為不同的明文字元串() 生成 MAC ( b) - 使用您選擇的 IV ( ib),使用相同的密鑰 - 您不知道也無法檢索。

您還可以假設兩個明文的長度相同。

**編輯:**我發現了這個問題,我認為它提供了一個線索:CBC-MAC insecure with random IV

但我不確定我是否理解正確。您還可以假設您的明文是單塊明文。

這應該證明帶有隨機 IV 的 cbc-mac 是不安全的。

謝謝你。

您是說我們正在查看長度為一個塊的消息和使用隨機 IV 的 CBC-MAC 變體。(我假設我們正在查看固定長度消息的 CBC-MAC,即我們可以忽略填充問題。)然後我們有

$$ am:=(ai,E(k,a\oplus ai)) $$ 為消息偽造MAC $ b $ 如果我們選擇,我們可以重用標籤的第二部分 $ bi $ 這樣$$ b \oplus bi = a \oplus ai $$$$ \implies bi = a\oplus ai \oplus b $$ 即,給定 $ a $ 和 $ am=(ai,t) $ 簡單地輸出 $ bm=(a\oplus ai \oplus b,t) $ .

引用自:https://crypto.stackexchange.com/questions/58659