敵対者が検証オラクルを持っている場合のMACの保護

メッセージ認証コード（MAC）は、効率的なアルゴリズムの三重によって定義される（定義はセクション4.3から取得され、次を満たす、カッツ・リンデル帳） ：$(\mathsf{Gen}, \mathsf{MAC}, \mathsf{Verif})$

• 入力上の、アルゴリズムGのE Nキー生成K ≥ Nを。$1^n$$\mathsf{Gen}$$k \ge n$
• 入力にによって生成されたG 、E 、N、およびいくつかのメッセージM ∈ { 0 、1 } *、アルゴリズムM A Cは、タグ生成Tを。t ← M A C k（m ）と書く。$k$$\mathsf{Gen}$$m \in \{0,1\}^*$$\mathsf{MAC}$$t$$t \gets \mathsf{MAC}_k(m)$
• 入力トリプルで、アルゴリズムV e r i fは単一ビットbを生成します。b ← V e r i f k（m 、t ）と書く。$(k,m,t)$$\mathsf{Verif}$$b$$b \gets \mathsf{Verif}_k(m,t)$

それはそれはすべてのために必要とされるによって出力GのE Nと、全てのM ∈ { 0 、1 } *、我々はVのEのR I F K（M 、M A Cの K（M ））= 1。$k$$\mathsf{Gen}$$m \in \{0,1\}^*$$\mathsf{Verif}_k(m, \mathsf{MAC}_k(m)) = 1$

セキュリティ要件は、チャレンジャーと敵対者間の次の実験によって定義されます。$A$

1. 。$k \gets \mathsf{Gen}(1^n)$
2. 。$(m,t) \gets A^{\mathsf{MAC}_k(\cdot)}(1^n)$
3. してみましょうあること、すべてのクエリのセット表し、Aはその神託に尋ねたが。$Q$$A$
4. 実験の出力は、次の場合にのみ1として定義されます。
   • 、および$\mathsf{Verif}_k(m, t) = 1$
   • 。$m \notin Q$

実験が1を出力する確率がで無視できる場合、MACは安全であると見なされます。$n$

上記の実験は、対称暗号化スキームに対する「選択された平文」実験に似ており、攻撃者は選択したメッセージに対応する暗号文を取得できます。「選択された暗号文」攻撃と呼ばれるより強力な攻撃では、攻撃者は復号化オラクルへのアクセスも許可されます。

だから、私の質問は：

MAC攻撃者が検証オラクルにもアクセスできるようにするとどうなりますか？つまり、実験の2行目が次のように置き換えられた場合はどうなるでしょうか。

。$(m,t) \gets A^{\mathsf{MAC}_k(\cdot),\ \ \mathsf{Verif}_k(\cdot, \cdot)}(1^n)$

新しい実験では、はAがM A C kオラクルから要求するクエリのみが含まれていることに注意してください。$Q$$A$$\mathsf{MAC}_k$

どちらかの定義に従って 安全なメッセージ認証コードがある場合
、本の定義が安全な
メッセージ認証コードとして分類され、定義が安全でないと分類されるシステムが あります。

しましょう $\:\langle \operatorname{Gen}\hspace{.02 in},\hspace{-0.02 in}\operatorname{MAC}\hspace{.02 in},\hspace{-0.05 in}\operatorname{Verif}\hspace{.02 in}\rangle\:$ どちらかの定義に従って安全であること。 $\;\;$本の定義
はあなたの定義よりも弱いので、本の定義に よれば特に安全です。
効率的に計算可能で効率的に逆変換可能な
順序付けされたペアのコーディングを修正 します。たとえば、効率的に計算可能で
効率的に逆変換可能な 左のエントリの表現を右のエントリに連結します 。
ましょうMAC kの出力を空の文字列とペアにすることで機能します。 ましょう VERIFの$\operatorname{MAC}_k\hspace{-0.09 in}'$$\operatorname{MAC}_k$
[[ Verif kがメッセージと タグの左のエントリを受け入れる]および[入力の右のエントリが kのプレフィックスである ]場合にのみ受け入れます 。$\operatorname{Verif}_k\hspace{-0.09 in}'$$\operatorname{Verif}_k$
$k$$\;\;$ $\:\langle \operatorname{Gen}\hspace{.02 in},\hspace{-0.02 in}\operatorname{MAC}\hspace{.01 in}\hspace{-0.03 in}'\hspace{-0.02 in},\hspace{-0.04 in}\operatorname{Verif}\hspace{.01 in}\hspace{-0.03 in}'\hspace{.02 in}\rangle\:$ 明らかに効率的で、要件を満たしています。 $\;\;\;$[タグと空の文字列をペアにする]
と[出力の左側のエントリを取得する]ので、本の
セキュリティの定義を攻撃する実行可能な敵対者 $\:\langle \operatorname{Gen}\hspace{.02 in},\hspace{-0.02 in}\operatorname{MAC}\hspace{.01 in}\hspace{-0.03 in}'\hspace{-0.02 in},\hspace{-0.04 in}\operatorname{Verif}\hspace{.01 in}\hspace{-0.03 in}'\hspace{.02 in}\rangle\:$
の本のセキュリティの定義を破る無視できない確率を持つことはできません $\:\langle \operatorname{Gen}\hspace{.02 in},\hspace{-0.02 in}\operatorname{MAC}\hspace{.02 in},\hspace{-0.05 in}\operatorname{Verif}\hspace{.03 in}\rangle\:$、 $\:$本の
定義も分類します$\:\langle \operatorname{Gen}\hspace{.02 in},\hspace{-0.02 in}\operatorname{MAC}\hspace{.01 in}\hspace{-0.03 in}'\hspace{-0.02 in},\hspace{-0.04 in}\operatorname{Verif}\hspace{-0.01 in}\hspace{-0.03 in}'\hspace{.02 in}\rangle\:$安全なメッセージ認証コードとして。
ただし、攻撃者がkの有効なメッセージタグペアを取得すると、$k$$\:2\hspace{-0.03 in}\cdot \hspace{-0.03 in}(\operatorname{length}(k)\hspace{-0.04 in}+\hspace{-0.05 in}1)\:$
Verif k への適応クエリは kを学習するのに十分です$\operatorname{Verif}_k\hspace{-0.09 in}'$$k\hspace{.01 in}$、どのメッセージでも偽造が可能です。
したがって、あなたの定義は分類します$\:\langle \operatorname{Gen}\hspace{.02 in},\hspace{-0.02 in}\operatorname{MAC}\hspace{.01 in}\hspace{-0.03 in}'\hspace{-0.02 in},\hspace{-0.04 in}\operatorname{Verif}\hspace{-0.01 in}\hspace{-0.03 in}'\hspace{.02 in}\rangle\:$ 安全ではない。 $\;\;\;$ QED

2つの定義の強力な偽造防止バージョンは同等です。

$Q$
$Q^+$

初期化 $\:Q^+\:$ 空のセットとして、 $\: \langle m,\hspace{-0.03 in}t\rangle \:$ に $\:Q^+$
$\operatorname{MAC}_k$$t$$m$

$\:\operatorname{Verif}_{\hspace{-0.02 in}k}\:$ すでに入れられたペア $\:Q^+\:$。
クエリを試行し ていて、試行したクエリの後に来なかった場合にのみ 、クエリを早期試行するように定義します。
$\:\operatorname{Verif}_{\hspace{-0.02 in}k}\:$


$B^{\hspace{.02 in}\operatorname{MAC}_k(\cdot)}\hspace{-0.02 in}\left(\hspace{-0.03 in}1^n,\hspace{-0.02 in}q,\hspace{.02 in}j\hspace{-0.01 in}\right) \;$$A$

未満を使用 $\hspace{.02 in}j$$\;\; r \: \in \: \left\{\hspace{-0.03 in}1,\hspace{-0.03 in}2\hspace{.02 in},\hspace{-0.03 in}3,...,\hspace{-0.02 in}q\hspace{-0.04 in}-\hspace{-0.04 in}2\hspace{.02 in},\hspace{-0.02 in}q\hspace{-0.04 in}-\hspace{-0.05 in}1,\hspace{-0.02 in}q\hspace{-0.02 in}\right\} \;\;$ほぼ均一。
すべてを「転送」$A$$\:\operatorname{MAC}_k(\cdot)\:$ クエリ $\:\operatorname{MAC}_k(\cdot)\:$
$A$$0$$r\hspace{-0.04 in}-\hspace{-0.05 in}1$
$1$$\:\operatorname{Verif}_{\hspace{-0.02 in}k}\:$試みていないそれへのクエリで。
もし$\:A^{\operatorname{MAC}_k(\cdot),\operatorname{Verif}_k(\cdot,\cdot)}\hspace{-0.03 in}\left(\hspace{-0.03 in}1^n\hspace{-0.02 in}\right)\:$$r$
$\:A^{\operatorname{MAC}_k(\cdot),\operatorname{Verif}_k(\cdot,\cdot)}\hspace{-0.03 in}\left(\hspace{-0.03 in}1^n\hspace{-0.02 in}\right)\:$出力を与え、次に同じ出力を与えます。


すべてのランダム性が修正された場合、$\:A^{\operatorname{MAC}_k(\cdot),\operatorname{Verif}_k(\cdot,\cdot)}\hspace{-0.03 in}\left(\hspace{-0.03 in}1^n\hspace{-0.02 in}\right)\:$ 正確に作る $\:r\hspace{-0.03 in}-\hspace{-0.04 in}1\:$
$B^{\hspace{.02 in}A,\operatorname{MAC}_k(\cdot)}\hspace{-0.03 in}\left(\hspace{-0.03 in}1^n,\hspace{-0.02 in}q,\hspace{.02 in}j\hspace{-0.01 in}\right)\:$ 強力な偽造不可バージョンの本の実験に成功。

$B$$\epsilon$
$q$
$\;\; \left(\hspace{-0.03 in}\frac1q\hspace{-0.03 in}-\hspace{-0.03 in}\frac{q}{2\text{^}j}\hspace{-0.04 in}\right)\cdot \epsilon \;\;\;$
$B$$\hspace{.02 in}j$
$q$
$\:\operatorname{MAC}_k\:$
$\operatorname{MAC}_k\hspace{-0.02 in}$の$\:$ そのクエリへの応答]、そしてそれ以上にささいな追加の複雑さしかありません。

$\operatorname{Verif}_k$