斯坦福大学密码学公开课——验证加密（二）

Authenticated Encryption (AE)在2000年被提出

下图介绍了几种基本的组合方案：

Combining MAC and ENC

值得注意的是，两种方案的密钥是独立的. 我们称第一种方案为 mac-then-enc,第二种为 enc-then-mac，第三种为 enc-and-mac.

• IPSec采用的方案是绝对安全的
• SSH的会泄露消息的具体信息（因为是根据m计算出来的）
• SSL则因为MAC和ENC结合性的问题，也会出现对应的问题（后面会具体涉及到）

A.E. Theorems

现在常用的几种标准：

image
其中，nonce-based指的是 OCB: a direct construction on from a PRP