斯坦福大学密码学公开课——消息完整性（一）

2019-01-08 本文已影响0人 Scaryang

在安全模型中，我们可以假设任何一方是不可信的。然后在此背景下，建立 Threat Model...

在这一章节，我们讨论的主要是消息的完整性，而不考虑数据的机密性。消息完整性在生活中应用十分广泛，比如它可以校验完整的磁盘文件。

1.基本思想如下：
由 $Alice$ 根据消息 $m$ 和签名 $k$ 生成 tag，验证着可以根据这个 $tag$ 进行消息完整性的验证。具体过程可以参考下图：

image

这里 Dan 拿 CRC 作为错误的例子。具体过程如下图，主要的问题是因为CRC没有私钥对其进行加密，任何的人都可以篡改（CRC本身是设计解决通信、存储过程中的随机错误）。

image

2.安全模型如下：
攻击者可以选择任意的消息，并且获取对应的 $tag$ 。在此基础上，攻击者目的是为了可以自己伪造合理的 $tag$ 给特定的消息。

基于语义安全的背景，即对于任意有效的算法，攻击者可以伪造这个 $tag$ 的几率是微乎其微的。

3.一个简单的应用

Protecting System Files

4.总结

Review: Secure MACs

在这一小节，我们主要是讨论基于PRF构建的MAC。主要的思想是用 $F(k,m)$ 来代替 $S(k,m)$ ，然后再检查这个是否是对应的函数。但是要求 $tag$ 不能太短，否则的话，根据当代攻击者的计算能力，这个很容易被攻破。

Secure PRF -> Secure MAC

下面是证明部分，经验来说，只要结果空间大于 $2^{80}$ ，我们就可以说它是安全的。

Theorem

AES就可以看作是一种MAC（对于16字节的消息输入）。现在的问题是在于，如何有效地将短字节的输入变成长字节的输入。

image

同样还有一个简单的引理：

Truncating MACs based on PRFs