超级会员免费看
密钥哈希函数构造:NMAC 安全性分析
1. NMAC 作为消息认证码的安全性
在消息认证码(MAC)的安全性证明中,我们考虑一个伪造者 A 试图伪造一个有效的消息 - 标签对 (m, τ)。假设 A 对模拟的 NMAC 预言机进行了一系列查询 Q。由于伪造是有效的,消息 m 不在 A 的查询序列中。这意味着必然存在一个索引 i,使得第 i 个查询 Q[i] 满足 m′ = Ff(k1, m) = Ff(k1, Q[i]),但 m ≠ Q[i],即 m 和 Q[i] 在 Ff(k1, ·) 上形成了碰撞。
我们可以使用游戏跳跃技术来分析这个问题。第一步,我们禁止内部计算中出现碰撞,然后在新游戏中限制外部评估中找到有效伪造的概率。具体来说,我们有以下不等式:
Advuf - cma_NMACf,A(λ) ≤ Advwcr_Ff,Bcol(λ) + Advuf - cma_f,Bmac(λ)
由于假设 Ff 是弱碰撞抗性的,并且 f 是安全的消息认证码,右边的两个求和项都是可忽略的。因此,对手 A 在针对 NMACf 的消息认证码实验中获胜的概率也是可忽略的。
备注 :
- 要使 Ff 具有弱碰撞抗性,底层函数 f 需要具有碰撞抗性。仅仅 f 的弱碰撞抗性是不够的,因为 Construction 16.1 不保留弱碰撞抗性。
- 在上述证明中,我们没有考虑填充,但这可以很容易地添加。在合并填充时,需要对归约进行轻微调整以正确模拟带填充的 NMAC,但这只是一个小的语法更改,证明结构保持不变。
2. NMAC 作为伪随机函数
NMAC(或 HMAC)通常被
订阅专栏 解锁全文
扫一扫
51
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
