超级会员免费看
消息认证码与CCA安全认证加密技术解析
1. 信息论消息认证码的局限性
信息论消息认证码在安全性上存在一定的限制。对于任何 ε - 安全的一次性消息认证码(MAC),其密钥长度至少为 1/ε²。而对于 ε - 安全的 ℓ - 次 MAC(允许攻击者请求 ℓ 条消息的标签),密钥长度至少为 1/ε(ℓ + 1)。这意味着不存在能够为无限数量的消息提供信息论安全认证的 MAC。
1.1 定理证明
设 Π = (Gen, Mac, Vrfy) 是一个 ε - 安全的一次性 MAC,密钥空间为 K。固定两个不同的消息 m0 和 m1,直观上,m0 的标签至少有 ε⁻¹ 种可能性,否则攻击者猜对的概率会大于 ε。并且,即使已知 m0 的标签值,m1 的标签也至少有 ε⁻¹ 种可能性,否则攻击者伪造 m1 标签的概率会大于 ε。由于每个密钥定义了 m0 和 m1 的标签,所以密钥数量至少为 ε⁻¹ × ε⁻¹ = ε⁻²。
具体证明如下:
设 K 为密钥空间,对于任何可能的标签 t0,定义 K(t0) 为使得 t0 是 m0 的有效标签的密钥集合,即 K(t0) = {k | Vrfyk(m0, t0) = 1}。对于任何 t0,必须有 |K(t0)| ≤ ε·|K|,否则攻击者可以输出 (m0, t0) 作为伪造标签,其有效伪造的概率至少为 |K(t0)|/|K| > ε,这与声称的安全性矛盾。
考虑攻击者 A,它请求 m0 的标签,收到标签 t0 后,从 K(t0) 中均匀选择一个密钥 k,并输出 (m1, Mack(m1)) 作为伪造标签。A 输出有效伪造标签的概率至少为:
[
\sum_{t0} Pr[M
订阅专栏 解锁全文
扫一扫
11
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
