通過證明顯示 CBC-MAC 不具有抗原像性
所以假設我有一個在 CBC-MAC 模式下執行的任意分組密碼,它使用公共和靜態 $ IV $ 以及一個靜態鍵 $ K $ .
我希望能夠使用任意單塊消息的證明來防止原像抗性 $ P $ 散列到給定的摘要 $ T $ . 到目前為止,我已經做到了$$ T = E(P \oplus IV, K) $$ $$ D(T, K) = P \oplus IV $$ $$ P = D(T, K) \oplus IV $$ 我一生都無法弄清楚如何從這個轉移到可以表明該操作不具有原像抗性的東西。據我了解如果 $ K $ 和 $ IV $ 是固定的,它應該在計算上不可行找到另一個 $ T_x $ 這樣$$ D(T,K) \oplus IV = D(T_x, K) \oplus IV $$
理想情況下,我希望能夠擴展它以表明 $ P $ 我能找到任何長度的 $ T_x $ .
如果使用的分組密碼是安全的(意味著它是偽隨機排列),那麼 CBC-MAC 對於固定長度的消息是安全的。
$$ 1 $$但是,它本身對於可變長度消息並不安全。因此,任何單個密鑰只能用於固定且已知長度的消息。
您的案例不存在此類漏洞,因為您正在散列固定數量的塊( $ 1 $ ,確切地說)。如果要計算可變長度消息的 CBC-MAC,則可以執行這樣的原像攻擊。
如果問題陳述可以理解為 $ K $ 是公開的,或者在某處可用的分組密碼的解密預言,那麼問題中的推理已經解決了它。
在下文中,我將假設其他情況,並且該問題確實要求為任意一個塊原像 $ T $ . 此外,我將假設可以使用產生 MAC 的預言機,因為這是攻擊 MAC 時的標准假設。
這 $ D(T,K)=P \oplus IV $ 等式表明,所要求的內容等同於分組密碼的解密預言。並且可以類似地表明,產生 MAC 的預言機產生和加密預言機。
對於任意密碼,我們不能將加密預言機變成解密預言機。因此,即使產生 MAC 的預言機可用,所問的也被證明是不可能的。正確的答案是:不能,這是一個防彈的論據。這往往是學生面臨的最佳選擇,甚至更多的是從業者!