Cbc
使用可預測 IV 的 CBC-MAC
想像一下,您有一個明文字元串 (
a)、IV ( ) 和明文( )ai的 MAC ( )。am``a如何
bm為不同的明文字元串() 生成 MAC (b) - 使用您選擇的 IV (ib),使用相同的密鑰 - 您不知道也無法檢索。您還可以假設兩個明文的長度相同。
**編輯:**我發現了這個問題,我認為它提供了一個線索:CBC-MAC insecure with random IV
但我不確定我是否理解正確。您還可以假設您的明文是單塊明文。
這應該證明帶有隨機 IV 的 cbc-mac 是不安全的。
謝謝你。
您是說我們正在查看長度為一個塊的消息和使用隨機 IV 的 CBC-MAC 變體。(我假設我們正在查看固定長度消息的 CBC-MAC,即我們可以忽略填充問題。)然後我們有
$$ am:=(ai,E(k,a\oplus ai)) $$ 為消息偽造MAC $ b $ 如果我們選擇,我們可以重用標籤的第二部分 $ bi $ 這樣$$ b \oplus bi = a \oplus ai $$$$ \implies bi = a\oplus ai \oplus b $$ 即,給定 $ a $ 和 $ am=(ai,t) $ 簡單地輸出 $ bm=(a\oplus ai \oplus b,t) $ .