Mac

這個 MAC 安全嗎?

  • May 24, 2017

假設我們有一個偽隨機函式 $ F $ . 我們計算消息上的標籤 $ m=m_1,m_2,…,m_l $ 和 $ F_k(\langle 1\rangle\mathbin\Vert m_1) \oplus \dots\oplus F_k(\langle l\rangle\mathbin\Vert m_l) $ , 其中統一鍵 $ k \in {0, 1}^n $ , $ m_i \in {0, 1}^{n/2} $ 和 $ \langle i\rangle $ 表示一個 $ n/2 $ - 整數的位編碼 $ i $ . 我認為這是安全的 MAC,因為高效的對手無法為兩條不同的消息找到相同的標籤,即使他使用預言機。但我無法證明。我錯了嗎?

我錯了嗎?

你錯了。

一方面,攻擊者的任務不是兩個為兩個不同的消息找到相同的標籤(實際上,使用這個 MAC,他可以做一些工作,但這實際上並不是破壞 MAC 的安全保證所必需的)。相反,他的任務是生成一個消息,MAC 對,他沒有查詢,但仍然驗證,如果他生成的 MAC 不是 oracle 生成的任何 MAC 也沒關係。

因此,在這種情況下,考慮攻擊者向 Oracle 查詢三個消息的 MACS 的情況 $ M^1 = m_1 m_2 $ , $ M^2 = m’_1 m_2 $ 和 $ M^3 = m_1 m’_2 $ . 我們能推導出第四條消息的MAC嗎 $ M^4 = m’_1 m’_2 $ ?

引用自:https://crypto.stackexchange.com/questions/47684