14、消息认证码（MAC）的构建与安全分析

消息认证码（MAC）的构建与安全分析

1. MAC验证的时间攻击及防范

在消息认证码（MAC）的验证过程中，存在一种时间攻击的风险。攻击者可以通过提交大量不同的标签进行验证，观察验证所需的时间差异来推断有效标签的字节信息。具体来说，攻击者会提交一系列标签，其中大部分标签很可能会被拒绝，但恰好有一个标签的前 (i + 1) 个字节是正确的，其拒绝时间会比其他标签稍长。通过这种方式，攻击者最多使用 256 次查询到验证预言机，就能得知有效标签的每个字节。对于一个 16 字节的标签，这种攻击最多需要 16 × 256 = 4096 次验证查询来获取整个标签。

这种攻击在实际系统中是真实存在的。例如，Xbox 360 中使用 MAC 来验证代码更新，其 MAC 验证实现每比较一个字节大约需要 2.2 毫秒，攻击者利用这一点将盗版游戏加载到硬件上。

为了防范这种时间攻击，MAC 验证应该使用与时间无关的字符串比较方法，即始终比较所有字节。

2. 固定长度 MAC 的构建

伪随机函数是构建安全消息认证码的自然工具。如果标签 t 是通过对消息 m 应用伪随机函数得到的，那么攻击者要伪造一个未认证消息的标签，就需要正确猜测伪随机函数在“新”输入点的值。对于一个随机函数，在新点上猜测其值的概率是 2⁻ⁿ（如果函数的输出长度为 n），而对于伪随机函数，猜测这样一个值的概率只会略微大一点。

下面是通过伪随机函数构建固定长度 MAC 的具体方法：
- 构造 4.5 ：
- Mac ：输入一个密钥 k ∈ {0, 1}ⁿ 和一个消息 m ∈ {0,