16、消息认证码：原理、构造与安全分析

消息认证码：原理、构造与安全分析

1. 消息认证码的安全性分析

在消息认证码（MAC）的安全分析中，我们通过一系列概率推导得出重要结论。设 $\Delta = s - s_i$，有如下概率关系：
[
Pr\left[Mac - sforge_{A,\tilde{\Pi}}(n) = 1 \land repeat \land new - r\right] \leq Pr_{k\leftarrow K_n}[h_{k_h}(m) - h_{k_h}(m_i) = \Delta] \leq \varepsilon(n)
]
综合各项因素，最终得到攻击者成功伪造的概率上限：
[
Pr\left[Mac - sforge_{A,\tilde{\Pi}}(n) = 1\right] \leq 2 \cdot \varepsilon(n) + \frac{q^2}{2^{n + 1}}
]
对于基于随机数（nonce）的 MAC，在上述证明中，随机数 $r$ 的关键特性是在所有标签中具有唯一性，即不重复。这一特性使得我们可以在基于随机数的场景下证明 Construction 4.15 的安全性。

2. 差分通用函数的实例化

利用有限域上的多项式可以巧妙且高效地实例化 Construction 4.15 所需的差分通用函数。对于任意素数幂 $q$，存在包含 $q$ 个元素的有限域 $F_q$，且有限域上次数为 $\ell$ 的非零多项式最多有 $\ell$ 个根。标准化方案 GMAC 和 Poly1305 正是基于这种方法的不同实现。

为简化说明，我们聚焦于具体场景，忽略安全参数。定义一个 $