28、随机化CBC - MAC安全性及哈希函数密码分析

随机化CBC - MAC安全性及哈希函数密码分析

1. RMAC构造与计算模型

在证明消息认证码（MAC）构造的安全性时，通常先证明其信息论版本近似于随机函数，然后将结果从信息论模型转换到计算复杂度模型。这样做会增加攻击者的优势，因为攻击者可以尝试区分伪随机函数或置换与真正的随机函数或置换。一般原则是，计算复杂度模型中的优势等于信息论模型中的优势加上区分构造的每个组件与其理想化版本的优势，再乘以构造中调用的次数。

为了从信息论模型过渡到计算模型，我们用分组密码B替换随机置换f1，攻击者因此获得了区分分组密码B与随机函数的优势Advprf _B 。对于由n位密钥索引的随机置换族F2，可将其视为一个从2n位到n位的函数f2(R, X) = f ₂ ^(R) (X)，其中f ₂ ^(R) 是一个置换。我们提议用基于2n位密钥的分组密码B来替换F2，具体做法是选择一个随机的2n位密钥K，令f ₂ ^(R) (X) = B _K⊕R (X)，这里R在进行异或运算时需要用n个零进行填充。

当使用这种构造时，攻击者会获得一些新的优势，这些优势可能来自分组密码的弱点或构造本身的弱点。为了分离这两种弱点，我们假设分组密码是“完美的”。为此，我们使用一个包含2 ²ⁿ 个随机置换及编号的族F3来替换分组密码。当攻击者可以访问F3时，能否区分F2是由F3按上述方式构建的情况与F2本身是随机置换族的情况呢？显然，除非攻击者在前者情况下通过F2和F3查询到同一个函数，否则他不会获得优势。