Mac

給定 MAC 函式中的衝突,是否可以計算出 MAC 函式的工作原理並為任何消息生成有效的 MAC 值?

  • November 24, 2020

因此,如果您可以找到任何 MAC 值的衝突,那麼在不知道密鑰的情況下這是否可行。即使您無法弄清楚 MAC 函式是如何工作的,您是否可以在不需要知道它是如何工作的情況下找到消息的有效 MAC 值。

如果是這樣,你會怎麼做。

不,您通常無法做到這一點。如果您發現沒有密鑰的衝突,則表明輸出大小太小。MAC 通常依賴於分組密碼或散列函式。後者根據定義是單向的,前者是單向的,除非您知道密鑰。

如果您發現 MAC 衝突當然是一個不同的命題,因為您發現了算法的弱點或密鑰的建立。如果攻擊者發現了一個弱點,那麼攻擊者很可能已經知道該算法。是的,如果攻擊者知道密鑰,遊戲就結束了。如果輸出大小足夠大,則查找另一個碰撞可能仍然很棘手,具體取決於所使用的算法。

“您能否在不知道其工作原理的情況下找到有效的消息 MAC 值”。不,除了長度擴展攻擊可能起作用,例如對於 CBC-MAC 和 CMAC。但是,這將需要計算的完整輸出,因此對於具有足夠大塊大小的密碼(例如 AES 而不是 DES),您可能不會發現衝突。

引用自:https://crypto.stackexchange.com/questions/86421