4、对McOE - X的简单密钥恢复攻击

对McOE - X的简单密钥恢复攻击

1. 引言

认证加密在信息安全中至关重要。当两方通过网络通信时，认证加密算法可用于保障数据的隐私性和认证性。通常，数据若未经认证，其保密性的价值就会大打折扣，认证往往比保密更重要。

认证加密可以通过结合加密方案和消息认证码（MAC）来实现。常见的组合方式有三种：先MAC后加密（MtE）、先加密后MAC（EtM）和加密并MAC（E&M）。研究表明，EtM方式能实现最强的认证加密安全性。然而，通用组合方案存在一些缺点，比如需要两种不同算法和两个不同密钥，且消息需处理两次，这在某些应用中不太实用。

为此，ISO/IEC除了指定通用的EtM组合方式外，还为分组密码指定了五种认证加密模式，包括OCB、SIV（密钥包装）、CCM、EAX和GCM。这些模式大多比通用组合方案更快，并且在底层分组密码为理想状态时，能抵御尊重随机数的对手。但除SIV外，其他方案都容易受到重复使用随机数的对手攻击。SIV虽能抵抗随机数重复使用攻击，但它是离线的，加密时要么需将整个消息存储在内存中，要么需读取消息两次。

Fleischmann等人提出了一种新的在线认证加密方案家族，包括McOE - X、McOE - D和McOE - G。该家族方案一方面能抵御重复使用随机数的对手，另一方面是在线的，它扩展了Rogaway和Zhang提出的在线加密方案TC3，使其成为可证明安全的、抗随机数重复使用的在线认证加密方案。

本文提出了对McOE - X的密钥恢复攻击。攻击的基本思想是利用McOE - X中每加密一个消息块就确定性地改变密钥这一特性，通过固定某些分组密码操作的消息输入，并使用时间 - 内存权衡策略来恢复密钥。在最佳设置下，攻击复