Mac

MAC偽造問題

  • September 28, 2019

在 MAC 偽造中,是否假設攻擊者擁有密鑰?我在維基百科中找到了這個,但仍然不清楚。

存在性偽造是(由對手)創建至少一個消息/簽名對 (m, σ),其中 σ 不是由合法簽名者產生的。對手不需要對 m 有任何控制權,m 不需要有任何特定的含義;消息內容是無關緊要的——只要 (m, σ) 對是有效的,對手就成功地建構了一個存在的偽造品。

該條目的關鍵部分是“……其中 σ 不是由合法簽名者產生的。 ”。合法簽名者是密鑰持有者。我們假設對手不擁有密鑰,但無論如何都希望有一種方法來生成 MAC 標籤。

線上 應用密碼學手冊第 9 章中的定義 9.7定義了 MAC,並說(我的粗體字):

此外,給定函式族的描述 $ h $ , 對於每個固定的允許值 $ k $ (對手未知),以下屬性成立:[…計算阻力屬性的定義…]

定義之後的以下文本也沒有意義,除非關鍵 $ k $ 是秘密:

如果計算阻力不成立,則 MAC 算法會受到MAC 偽造的影響。雖然計算抗性意味著密鑰不可恢復的屬性(它必須在計算上不可行才能恢復 $ k $ , 給定一個或多個 text-MAC 對 $ (x_i, h_k(x_i)) $ 為了那個原因 $ k $ ),密鑰不可恢復並不意味著計算阻力(密鑰並不總是需要實際恢復以偽造新的 MAC)。

手冊有點過時,但它對這些基本定義非常有用。

引用自:https://crypto.stackexchange.com/questions/41539