儘管這不是對 Mac oracle 的查詢，但攻擊者如何使用帶有新密鑰的 Mac(.) 來計算標籤？

我在理解對手攻擊 MAC 的能力時遇到了一些麻煩。

1. 在 Jonathan Katz 和 Yehuda Lindell 的《現代密碼學導論》第 4 章中，特別是在消息身份驗證實驗中（ $ Mac-forge_{A,\Pi}(n) $ )，對手 $ A $ 被授予 MAC oracle 訪問權限 $ Mac_k(\cdot) $ 在哪裡 $ k $ 之前由 $ Gen $ . 所以我的問題是：對嗎 $ A $ 只能訪問 $ Mac(\cdot) $ 用固定鑰匙 $ k $ ? 能 $ A $ 進入 $ Mac(\cdot) $ 用不同的鑰匙 $ k’ $ 在同一個實驗中？
2. 在論文The Power of Verification Queries in Message Authentication and Authenticated Encryption中，特別是在權利要求 4.2 中，指出對手 $ A $ 簡單地執行算法 $ Mac(\cdot) $ 帶鑰匙 $ L $ 和留言 $ M $ （在哪裡 $ L $ 是由以下人員偽造的密鑰 $ A $ ）。我不明白這部分。

問：怎麼做 $ A $ 執行算法，如果它不是 $ Mac $ 詢問？如果可能的話，你能提供一個現實中的例子嗎？

在現代密碼學中，通常假設算法是公開的，只有密鑰是私有的。因此，對手可以計算 $ \operatorname{Mac}(k’, m) $ 對於任何鍵 $ k’ $ 和留言 $ m $ .

神諭 $ \operatorname{Mac}_k(\cdot) $ 在實驗中允許 $ A $ 在challenge-key下額外接收有效的mac $ k $ 它應該偽造一個有效的mac（對於一些消息 $ m^\ast $ 它沒有從所述預言中查詢）。

您問題的第二部分也是如此：算法是公開的，所以 $ A $ 可以在任何輸入上執行它。

引用自：https://crypto.stackexchange.com/questions/78014