22、EAX认证加密模式的改进与优化

EAX认证加密模式的改进与优化

1. 引言

EAX是一种用于分组密码的操作模式，由Bellare、Rogaway和Wagner于1994年提出，用于实现带关联数据的认证加密（AEAD）。它已被ISO/IEC标准化，并被纳入一些流行的软件库中。2013年，Minematsu等人研究了EAX的一个变体EAX - prime，发现当输入的“明文”部分短至单个块或更短时，EAX - prime会被完全破解；而当明文长度大于单个块时，EAX - prime是安全的。

原EAX虽已被证明安全，但在对手可进行多次验证查询的情况下，其安全边界，特别是真实性边界，无法达到标准的生日型安全。原边界在一次验证查询时为$O(\sigma^2/2^n + 1/2^\tau)$，当验证查询次数$q_v \geq 1$时，可证明的安全性会从约$2^{n/2}$下降到$2^{n/3}$。基于Minematsu等人的研究，本文对EAX的真实性边界进行了改进，使其在多次验证查询时仍能达到$O(2^{n/2})$的数据不可伪造性。同时，还提出了降低EAX计算开销的方法，将预处理所需的三次分组密码调用减少到一次。

2. 预备知识

• 符号表示 ：
  • 对于二进制字符串$X$，$|X|$表示其比特长度，$|X|_n = \max{1, \lceil|X|/n\rceil}$。
  • $msb_s(X)$表示$X$的前$s$位，$\varepsilon$表示空字符串，$|\varepsilon| = 0$且$|\varepsilon|_n = 1$。
  • 所有有限长度二进制字符串