MAC seguro cuando el adversario tiene un oráculo de verificación

Un código de autenticación de mensaje (MAC) se define por un triple de algoritmos eficientes , que satisfacen lo siguiente (la definición se toma de la sección 4.3 de Katz -Lindell libro ): $(\mathsf{Gen}, \mathsf{MAC}, \mathsf{Verif})$

En la entrada , el algoritmo genera una clave . $1^n$ $\mathsf{Gen}$ $k \ge n$
En la entrada generada por , y algún mensaje , el algoritmo genera una etiqueta . Escribimos . $k$ $\mathsf{Gen}$ $m \in \{0,1\}^*$ $\mathsf{MAC}$ $t$ $t \gets \mathsf{MAC}_k(m)$
En la entrada un triple , el algoritmo genera un solo bit . Escribimos . $(k,m,t)$ $\mathsf{Verif}$ $b$ $b \gets \mathsf{Verif}_k(m,t)$

Se requiere que para todas las salidas de y todas las , tengamos . $k$ $\mathsf{Gen}$ $m \in \{0,1\}^*$ $\mathsf{Verif}_k(m, \mathsf{MAC}_k(m)) = 1$

El requisito de seguridad se define mediante el siguiente experimento, entre el retador y el adversario : $A$

$k \gets \mathsf{Gen}(1^n)$ .
$(m,t) \gets A^{\mathsf{MAC}_k(\cdot)}(1^n)$ .
Deje que denote el conjunto de todas las consultas que le preguntó a su oráculo. $Q$ $A$
El resultado del experimento se define como 1 si y solo si:
- $\mathsf{Verif}_k(m, t) = 1$ , y
- $m \notin Q$ .

El MAC se considera seguro si la probabilidad de que el experimento produzca 1 es insignificante en . $n$

El experimento anterior se asemeja a un experimento de "texto sin formato elegido" contra un esquema de cifrado simétrico, donde el adversario puede obtener textos cifrados correspondientes a los mensajes de su elección. En un ataque más poderoso, llamado ataque de "texto cifrado elegido", el adversario también tiene acceso a un oráculo de descifrado.

Entonces, mi pregunta es:

¿Qué sucede si permitimos que el adversario de MAC acceda también a un oráculo de verificación? En otras palabras, ¿qué pasa si la línea 2 del experimento se reemplaza por la siguiente?

$(m,t) \gets A^{\mathsf{MAC}_k(\cdot),\ \ \mathsf{Verif}_k(\cdot, \cdot)}(1^n)$ .

Observe que en el nuevo experimento, solo incluye consultas que le pide al oráculo . $Q$ $A$ $\mathsf{MAC}_k$

cr.crypto-security

— MS Dousti
fuente

Para futuras referencias: consulte El poder de las consultas de verificación en Autenticación de mensajes y Cifrado autenticado para más discusiones.

— MS Dousti

Si hay un código de autenticación de mensaje seguro de acuerdo con cualquiera de las definiciones,
entonces hay un sistema que la definición del libro clasifica como un
código de autenticación de mensaje seguro y su definición clasifica como insegura.

Deje sea seguro de acuerdo con cualquiera de las definiciones. Dado que la definición del libro es más débil que su definición, es particularmente segura de acuerdo con la definición del libro. Arregle una codificación eficientemente computable y eficientemente invertable de pares ordenados, por ejemplo, concatenando una representación sin prefijo eficientemente computable y eficientemente invertible de la entrada izquierda a la entrada derecha. Deje que funcione emparejando la salida de $\:\langle \operatorname{Gen}\hspace{.02 in},\hspace{-0.02 in}\operatorname{MAC}\hspace{.02 in},\hspace{-0.05 in}\operatorname{Verif}\hspace{.02 in}\rangle\:$ $\;\;$

$\operatorname{MAC}_k\hspace{-0.09 in}'$ $\operatorname{MAC}_k$ con la cuerda vacía
Deje que acepte si y solo si [[ aceptaría el mensaje y la entrada izquierda de la etiqueta] y [la entrada derecha de la entrada es un prefijo de ]]. es claramente eficiente y satisface el requisito. Dado que [emparejar las etiquetas con la cadena vacía para] y [tomar la entrada izquierda de la salida de] un adversario factible atacando el libro $\operatorname{Verif}_k\hspace{-0.09 in}'$ $\operatorname{Verif}_k$
$k$ $\;\;$ $\:\langle \operatorname{Gen}\hspace{.02 in},\hspace{-0.02 in}\operatorname{MAC}\hspace{.01 in}\hspace{-0.03 in}'\hspace{-0.02 in},\hspace{-0.04 in}\operatorname{Verif}\hspace{.01 in}\hspace{-0.03 in}'\hspace{.02 in}\rangle\:$ $\;\;\;$

definición de la seguridad de no puede tener un non- probabilidad insignificante de romper la definición de seguridad del libro para , del libro definición también se clasifica $\:\langle \operatorname{Gen}\hspace{.02 in},\hspace{-0.02 in}\operatorname{MAC}\hspace{.01 in}\hspace{-0.03 in}'\hspace{-0.02 in},\hspace{-0.04 in}\operatorname{Verif}\hspace{.01 in}\hspace{-0.03 in}'\hspace{.02 in}\rangle\:$
$\:\langle \operatorname{Gen}\hspace{.02 in},\hspace{-0.02 in}\operatorname{MAC}\hspace{.02 in},\hspace{-0.05 in}\operatorname{Verif}\hspace{.03 in}\rangle\:$ $\:$
$\:\langle \operatorname{Gen}\hspace{.02 in},\hspace{-0.02 in}\operatorname{MAC}\hspace{.01 in}\hspace{-0.03 in}'\hspace{-0.02 in},\hspace{-0.04 in}\operatorname{Verif}\hspace{-0.01 in}\hspace{-0.03 in}'\hspace{.02 in}\rangle\:$ como un código de autenticación de mensaje seguro.
Sin embargo, una vez que un adversario obtiene un par válido de etiqueta de mensaje para , consultas adaptativas a es suficiente para aprender , lo que permitiría falsificaciones en cualquier mensaje. Por lo tanto, su definición clasifica $k$ $\:2\hspace{-0.03 in}\cdot \hspace{-0.03 in}(\operatorname{length}(k)\hspace{-0.04 in}+\hspace{-0.05 in}1)\:$
$\operatorname{Verif}_k\hspace{-0.09 in}'$ $k\hspace{.01 in}$
$\:\langle \operatorname{Gen}\hspace{.02 in},\hspace{-0.02 in}\operatorname{MAC}\hspace{.01 in}\hspace{-0.03 in}'\hspace{-0.02 in},\hspace{-0.04 in}\operatorname{Verif}\hspace{-0.01 in}\hspace{-0.03 in}'\hspace{.02 in}\rangle\:$ como inseguro. QED $\;\;\;$

Las fuertes versiones de las dos definiciones son imposibles de olvidar .

(Las versiones de "fuerte imperdibilidad" se obtienen reemplazando con el conjunto dado en mi próxima oración, y eso es necesario para que la construcción cifrar-luego-mac proporcione integridad de texto cifrado y sea IND-CCA2). $Q$
$Q^+$

Inicialice como el conjunto vacío y ponga into cada vez que genera on una consulta de . Definir una consulta para ser tratando si y sólo si se somete a un par que ya se puso en . Defina una consulta para que se intente de forma anticipada si y solo si está intentando y no se produjo después de una consulta de que aceptado. $\:Q^+\:$ $\: \langle m,\hspace{-0.03 in}t\rangle \:$ $\:Q^+$
$\operatorname{MAC}_k$ $t$ $m$

$\:\operatorname{Verif}_{\hspace{-0.02 in}k}\:$ $\:Q^+\:$

$\:\operatorname{Verif}_{\hspace{-0.02 in}k}\:$

$B^{\hspace{.02 in}\operatorname{MAC}_k(\cdot)}\hspace{-0.02 in}\left(\hspace{-0.03 in}1^n,\hspace{-0.02 in}q,\hspace{.02 in}j\hspace{-0.01 in}\right) \;$ interactúa con siguiente manera: $A$

Usando menos de bits aleatorios, elijacasi uniformemente "Reenviar" todas las 's consultas a y dar la salida (real) de ese oráculo a , dar como las salidas en la primera hasta consultas de prueba y dar $\hspace{.02 in}j$ $\;\; r \: \in \: \left\{\hspace{-0.03 in}1,\hspace{-0.03 in}2\hspace{.02 in},\hspace{-0.03 in}3,...,\hspace{-0.02 in}q\hspace{-0.04 in}-\hspace{-0.04 in}2\hspace{.02 in},\hspace{-0.02 in}q\hspace{-0.04 in}-\hspace{-0.05 in}1,\hspace{-0.02 in}q\hspace{-0.02 in}\right\} \;\;$
$A$ $\:\operatorname{MAC}_k(\cdot)\:$ $\:\operatorname{MAC}_k(\cdot)\:$
$A$ $0$ $r\hspace{-0.04 in}-\hspace{-0.05 in}1$
$1$ como las salidas de en consultas que no están intentando. If hace un -ésima tratando consulta, entonces la salida lo que la consulta era. If da salida, luego da esa misma salida. Con todo el azar arreglado, si $\:\operatorname{Verif}_{\hspace{-0.02 in}k}\:$
$\:A^{\operatorname{MAC}_k(\cdot),\operatorname{Verif}_k(\cdot,\cdot)}\hspace{-0.03 in}\left(\hspace{-0.03 in}1^n\hspace{-0.02 in}\right)\:$ $r$
$\:A^{\operatorname{MAC}_k(\cdot),\operatorname{Verif}_k(\cdot,\cdot)}\hspace{-0.03 in}\left(\hspace{-0.03 in}1^n\hspace{-0.02 in}\right)\:$

$\:A^{\operatorname{MAC}_k(\cdot),\operatorname{Verif}_k(\cdot,\cdot)}\hspace{-0.03 in}\left(\hspace{-0.03 in}1^n\hspace{-0.02 in}\right)\:$ realiza exactamente consultas de prueba temprana y tiene éxito en la fuerte versión de su experimento, y luego tiene éxito en el fuerte experimento del libro de la versión de inolvidable. $\:r\hspace{-0.03 in}-\hspace{-0.04 in}1\:$
$B^{\hspace{.02 in}A,\operatorname{MAC}_k(\cdot)}\hspace{-0.03 in}\left(\hspace{-0.03 in}1^n,\hspace{-0.02 in}q,\hspace{.02 in}j\hspace{-0.01 in}\right)\:$

Por lo tanto, es una reducción constructiva en línea recta de tener éxito en la versión fuerte de la imposibilidad de olvidar de su experimento con una probabilidad de al menos de una manera que hace menos de consultas iniciales, para tener éxito en la versión fuerte de la invencibilidad del experimento del libro con mayor probabilidad de. usa menos de bits aleatorios, tiene que manejar inserciones y pruebas de membresía para [un conjunto con menos de $B$ $\epsilon$
$q$
$\;\; \left(\hspace{-0.03 in}\frac1q\hspace{-0.03 in}-\hspace{-0.03 in}\frac{q}{2\text{^}j}\hspace{-0.04 in}\right)\cdot \epsilon \;\;\;$
$B$ $\hspace{.02 in}j$
$q$ elementos, cada uno de los cuales es un par ordenado cuya
entrada izquierda es una de las consultas del algoritmo interno a y cuya entrada derecha es 's respuesta a esa consulta], y solo tiene una complejidad adicional trivial más allá de eso. $\:\operatorname{MAC}_k\:$
$\operatorname{MAC}_k\hspace{-0.02 in}$ $\:$

Claramente, "ignorar el oráculo" es una reducción constructiva en línea recta de tener éxito en la versión fuerte e inolvidable del experimento del libro a tener éxito en la versión fuerte e inolvidable de tu experimento, y esa reducción es casi perfectamente ajustada. Por lo tanto, la versión fuerte de la imperdibilidad de su definición proporciona los mismos MAC asintóticos que la versión fuerte de la invencibilidad del experimento del libro. $\operatorname{Verif}_k$

— Comunidad
fuente