CBC-MAC

Az oldal jelenlegi verzióját még nem ellenőrizték tapasztalt közreműködők, és jelentősen eltérhet a 2020. január 2-án felülvizsgált verziótól ; az ellenőrzések 4 szerkesztést igényelnek .

A CBC MAC -in kriptográfia egy üzenet-hitelesítési kód létrehozására szolgáló technológia blokk titkosításból . Az üzenet titkosítása valamilyen blokk titkosítási algoritmussal történik CBC módban , hogy blokkokból álló láncot hozzon létre azzal a szabállyal, hogy minden blokk az előző megfelelő (helyes) titkosításától függ. Ez a kölcsönös függés biztosítja, hogy a nyílt szöveg bármely bitjének változása olyan változást eredményezzen a végső titkosított blokkban, amelyet nem lehet előre megjósolni vagy kiszámítani, ha a blokk titkosítási kulcsa nem ismert.

Ezt használták (a DES algoritmus E helyett) az Egyesült Államok kormányzati szabványaként - DAA .

Referencia információ

A CBC MAC algoritmus egy jól ismert módszer az üzenet hitelesítési kód generálására blokkrejtjel alapján .

Bellare, Kilian és Rogaway bebizonyította az algoritmus biztonságát ( security ) egy rögzített m * n bites üzenethosszra, ahol n az E alapblokk titkosításának hossza.

Köztudott azonban, hogy a MAC CBC nem biztonságos, hacsak az üzenet hossza nincs rögzítve. Így a változó üzenethosszúságú algoritmus többféle változatát javasolták. Először javasolták a titkosított imitációs beillesztést (EMAC) , amelyet a CBC MAC értékének E-vel és egy új kulccsal történő titkosításával kapnak . Azaz $K^{2}$

EMAC_{K_1,K_2}(M) = E_{K_2}(CBC_{K_1}(M)))

ahol M az üzenet, a CBC MAC kulcs és az üzenet CBC MAC értéke. M. Petrrank és Rackoff később bebizonyította, hogy az EMAC biztonságos, ha az üzenet hossza n többszöröse (Vaudenay, dekorrelációs elméletet használva , közzétéve újabb bizonyíték). Az EMAC azonban két kulcsütemezést igényel az E alapblokk-rejtjelhez. $K_1$ $CBC_{K_1}(M)$

Továbbá Black és Rogaway javasolta az XCBC-t, amelyhez csak egy kulcsütemezés szükséges az E alapblokk-rejtjelből. Az XCBC három kulcsot ad: a K1 blokkrejtjel egyik kulcsát és két, egyenként n bites kulcsot. Az XCBC-t a következő ábra írja le

A táblázat a kulcshosszak összehasonlítását mutatja.

	XCBC	TMAC	OMAC
Kulcs hossza	(k + 2n) bit	(k + n) bit	k bit

Ha néhány m > 0, akkor az XCBC pontosan úgy kerül kiszámításra, mint a CBC MAC, kivéve a kulcs (n bites) XOR műveletét ("kizárólagos vagy") az utolsó blokk titkosításáig. $\bal | M\jobbra | = mn$ $K_{2}$

Ellenkező esetben (ahol ) hozzáadódik M-hez, és az XCBC pontosan úgy kerül kiszámításra, mint a fogadott üzenet MAC CBC-je. Kivéve egy másik kulcs (n bites) XOR-át az utolsó blokk titkosításáig. Az XCBC hátránya azonban, hogy három kulcsot, azaz összesen (k + 2n) bitet igényel. Ennek eredményeként Kurosawa és Iwata kétkulcsos CBC MAC-t (TMAC) javasolt. A TMAC két kulcsot fogad el, összesen (k + n) bitet: a blokk titkosítási kulcsot és a kulcsot (n bit). A TMAC-ot az XCBC-ből úgy kapjuk meg, hogy mozgatjuk (vagy lecseréljük) -ra , ahol u valamilyen nem nulla állandó, és a "•" a szorzást jelöli . Mint már említettük, az OMAC (egykulcsos CBC MAC ) csak egy K kulcsot fogad el az E blokk titkosításból. A kulcs hossza, k bit, minimális, mivel az alaprejtjelnek tartalmaznia kell egy K kulcsot, amely minden esetben k bitből áll. . $\ 10^i$ $i = n-1-\left | M\jobbra | \mod\n$ $K_{3}$ $K_1$ $K_2$ $\(K_2,K_3)$ $(K_2\cdot u,K_2)$ $\GF(2^n)$

OMAC

Az OMAC az OMAC1 és az OMAC2 szülőneve. Az OMAC1-et az XCBC-ből úgy kapjuk meg , hogy valamilyen nem nullától eltérő u állandót helyettesítünk a -ban , ahol L-t a következő kifejezés adja: . Az OMAC2 hasonló módon érhető el a . Hatékonyan számolhatunk egy műszakban és XOR be és , ill . Az OMAC1-et (illetve az OMAC2-t) a következő diagram írja le: $\(K_2,K_3)$ $(L \cdot u, L \cdot u^2)$ $\GF(2^n)$ $L \ = \ EK( 0 ^ n )$ $(L \cdot u, L \cdot u^{-1})$ $(L\cdot u)$ $(L \cdot u^{-1})$ $(L \cdot u^2) = \{(L \cdot u) \cdot u\}$ $\ L$ $(L\cdot u)$

1. Ha valamilyen m > 0, akkor az OMAC pontosan úgy kerül kiszámításra, mint a CBC MAC, kivéve az XOR műveletet az utolsó blokk titkosítása előtt. 2. Ellenkező esetben (ahol ) hozzáadódik M-hez, és az OMAC pontosan úgy számítható ki, mint a fogadott M üzenet CBC MAC-je, kivéve a (illetve az utolsó blokk titkosítása előtti) XOR műveletet. $\bal | M\jobbra | = mn$ $(L\cdot u)$
$\ 10^i$ $i = n-1-\left | M\jobbra | \mod\n$ $(L\cdot u^2)$ $(L \cdot u^{-1})$

Ezenkívül a TMAC-ban a kulcs a kulcs része, míg az OMAC-ban az L nem része a kulcsnak, és a K-ből jön létre. A kulcs hosszának megőrzése miatt az OMAC biztonsága sokkal nehezebben bizonyítható, mint a TMAC, amint az alább látható. . A 2. ábrán legyen M[1] = . Ekkor L az első kimenete . L mindig újra megjelenik az utolsó mondatban. Alapvetően az L ilyen újrafelhasználása a biztonsági igazolás holtpontjához vezetne. (OCB módban és PMAC-ban univerzális hash kulcsként is használatos. L azonban elhanyagolható valószínűséggel jelenik meg valamilyen belső blokk kimeneteként.) Azonban bebizonyítottuk, hogy az OMAC ugyanolyan biztonságos, mint az XCBC, ahol a biztonsági elemzés az abszolút biztonság példája [1]. Továbbá az OMAC minden egyéb pozitív tulajdonságot kapott, amellyel az XCBC (és a TMAC) felruházott. Így az OMAC terület {0,1}, szükség van az E alapblokk titkosítás egykulcsos ütemezésére és a blokk titkosítási hívásokra (hivatkozásokra). $K_{2}$ $0^n$ $E_{K}$ $L = EK(0^n)$ $\max\{1,[\left|M\right|/n]\}$

Jelölés

Az A halmaznál x←A azt jelenti, hogy x véletlenszerűen van kiválasztva A halmazból, és az A halmazból bármely érték választása egyenlő valószínűséggel. Ha a, b (∈ {0, 1}*) egyenlő méretű karakterláncok, akkor a ⊕ b a bitenkénti XOR műveletük. Ha a, b (∈ {0, 1}*) nem egyenlő karakterláncok, akkor a ◦ b az összefűzésüket jelöli . (Az egyszerűség kedvéért a következő jelölést vezetjük be: ab:= a ◦ b). Egy n-bites karakterlánc ∈ {0, 1}* esetén jelölje az << 1 = n-bites karakterláncot, amely 1 bittel balra van eltolva, eközben pedig egy >> 1 = n bites karakterláncot, amely egy bittel jobbra van eltolva. Ha egy ∈ {0, 1}* egy karakterlánc, akkor |a| jelölje a bithosszát. Bármely bitre az a ∈ {0, 1}* karakterlánc olyan, hogy |a| ≤ n, definiáljuk , ahol az üres karakterlánc egy blokknak számít. $a = a_{n-1} ... a_1a_0$ $a$ $a_{n-2}...a_1a_00$ $0a_{n-1} ... a_2a_1$
$(1) \ pad_n(a) = \begin{cases} & \ a10^{n-\left| a \right|-1}, \if \left| a \jobbra|<n,\\ & \ a, \if \left| a \right|= n. \end{cases}$
$\left\| a \right \|_n = max\{1, [\left|a\right|/n]\}$

CBC MAC

Az E blokk titkosítás egy E : × → , ahol minden E(K, •) = EK(•) a permutációja , viszont a lehetséges kulcsok halmaza, n pedig a blokk hossza. A CBC MAC [6, 7] a legegyszerűbb és legismertebb algoritmus MAC létrehozására E blokkrejtjelből. Legyen az üzenet M = M[1] ◦M[2] ◦ … ◦M[m], ahol | M [1]| = |M[2]| = … = |M[m]| = n. Ekkor az M üzenet CBCK(M), CBC MAC-ja K kulcs esetén Y [m]-ként van definiálva, ahol Y [i] = EK(M[i] ⊕ Y [i − 1]) i = 1 esetén, … ,m és Y[0] = . Bellare, Kilian és Rogaway bebizonyította a CBC MAC biztonságát fix üzenethosszúságnál, mn bitnél. $K_E$ $\{0, 1\}^n$ $\{0,1\}^n$ $\{0,1\}^n$ $K_E$ $0^n$

Pontozott mező $2^{n}$

Tekinthetjük az a pontot a következő módokon: (1) mint absztrakt pont az a mezőben ; (2) n-bites karakterláncként ∈ ; (3) formális polinomként bináris együtthatókkal. Ahhoz, hogy 2 pontot adjunk hozzá , vegyük figyelembe a bitenkénti XOR műveletet rajtuk. Jelölje ezt a műveletet a ⊕ b-vel. Két pont szorzásához rögzítünk néhány f(u) polinomot bináris együtthatóval és n fokszámmal. A nagyobb pontosság érdekében lexikográfiailag az első polinomot választjuk ugyanazon n fokú polinomok közül, amelyeknek minimális együtthatói vannak. Felsorolunk néhány polinomot n = 64, n = 128 és n = 256 esetén. Két a ∈ és b ∈ pont szorzásához tekintsük a és b polinomokat , és a c(u) művelet eredménye, ahol a GF(2) együtthatóit összeadjuk és megszorozzuk, és a c(u) f(u)-val való elválasztásának maradékát vesszük. Ezenkívül különösen könnyű egy a ∈ pontot megszorozni u - val. Például, ha n = 128, csak osszuk el az a ∈ pontot u-val, szem előtt tartva, hogy a megszorozzuk u reciprokát a mezőben: . Például, $GF(2^n)$ $a_{n-1} ... a_1a_0$ $\{0,1\}^{n}$ $a(u) = a_{n-1}u^{n-1}+ ... +a_1u + a_0$ $GF(2^n)$
$\ f(u) = u^{64} + u^4 + u^3 + u + 1$
$\ f(u) = u^{128} + u^7 + u^2 + u + 1$
$\ f(u) = u^{256} + u^{10} + u^5 + u^2 + 1$
$GF(2^n)$ $GF(2^n)$ $a(u) = a_{n-1}u^{n-1} + ... + a_1u + a_0$ $b(u) = b_{n-1}u^{n-1} + ... + b_1u + b_0$ $\{0,1\}^{n}$
$(2) \ a \cdot u = \begin{cases} & \ a\ll 1 \ if \ a_{127} = 0, \\ & \ (a\ll 1)\oplus 0^{120}10000111 \ egyébként . \end{cases}$
$\{0,1\}^{n}$ $a \cdot u^{-1}$
$(3) \ a \cdot u = \begin{cases} & \ a\gg 1 \ if \ a_{0} = 0, \\ & \ (a\gg 1)\oplus 0^{120}10000111 \ egyébként . \end{cases}$

Az OMAS család alapvető kialakítása

Az OMAC családot egy E : KE × → blokkrejtjel , egy n bites Cst konstans, egy H : × X → univerzális hash függvény és két egyedi ∈ X konstans határozza meg , ahol X a H függvény véges tartománya. . H, és teljesítenie kell a következő feltételt: (a konstansok véletlenszerűek. Írjunk HL(•)-t H(L, •-re). $\{0,1\}^{n}$ $\{0,1\}^{n}$ $\{0,1\}^{n}$ $\{0,1\}^{n}$ $Cst_1$ $Cst_2$ $Cst_1$ $Cst_2$

1. Bármely y ∈ esetén az L ∈ szám olyan, hogy HL( ) = y legfeljebb néhány kellően kicsi esetén . 2. Bármely y ∈ esetén az L ∈ szám olyan, hogy HL( ) = y legfeljebb néhány kellően kicsi esetén . 3. Bármely y ∈ esetén az L ∈ szám olyan, hogy HL( ) ⊕ HL( ) = y legfeljebb néhány kellően kicsi esetén . 4. Bármely y ∈ esetén az L ∈ szám olyan, hogy HL( ) ⊕L = y legfeljebb néhány kellően kicsi esetén . 5. Bármely y ∈ esetén az L ∈ szám olyan, hogy HL( ) ⊕L = y legfeljebb néhány kellően kicsi esetén . 6. Bármely y ∈ esetén az L ∈ szám olyan, hogy HL( ) ⊕ HL(Cst2) ⊕ L = y legfeljebb néhány kellően kicsi esetén . $\{0,1\}^{n}$ $\{0,1\}^{n}$ $Cst_1$ $\epsilon_1 \cdot 2^n$ $\epsilon_1$
$\{0,1\}^{n}$ $\{0,1\}^{n}$ $Cst_2$ $\epsilon_2 \cdot 2^n$ $\epsilon_2$
$\{0,1\}^{n}$ $\{0,1\}^{n}$ $Cst_1$ $Cst_2$ $\epsilon_3 \cdot 2^n$ $\epsilon_3$
$\{0,1\}^{n}$ $\{0,1\}^{n}$ $Cst_1$ $\epsilon_4 \cdot 2^n$ $\epsilon_4$
$\{0,1\}^{n}$ $\{0,1\}^{n}$ $Cst_2$ $\epsilon_5 \cdot 2^n$ $\epsilon_5$
$\{0,1\}^{n}$ $\{0,1\}^{n}$ $Cst_1$ $\epsilon_6 \cdot 2^n$ $\epsilon_6$

A következő egy pszeudokód, amely leírja az OMAC családot.

Algorithm $OMAC-family_K(M)$
L ← $E_K(Cst)$ ;
Y [0] ← $0^n$ ;
Partition M into M[1] ... M[m]
for i ← 1 to m − 1 do
X[i] ← M[i] ⊕ Y [i − 1];
Y [i] ← $E_K(X[i]$ );
X[m] ← $pad_n(M[m]$ ) ⊕ Y [m − 1];
if |M[m]| = n then X[m] ← X[m] ⊕ $H_L(Cst_1)$ ;
else X[m] ← X[m] ⊕ $H_L(Cst_2)$ ;
T ← $E_K(X[m]$ );
return T;

Az OMAC család algoritmusát a 3. ábra szemlélteti, ahol (•) az (1)-ben van definiálva. Az OMAC család K kulcstere: . Egy K ∈ kulcsértéket és egy M ∈ {0, 1}* üzenetet vesz fel, és egy karakterláncot ad vissza a régióból . $pad_n$ $K=K_E$ $K_E$ $\{0,1\}^{n}$

Javasolt specifikáció

Az OMAC1-ben beállítjuk Cst = , (x) = L•x, = u és = , ahol a "•" szorzást jelent -ben . , és egyenértékűek. Az OMAC2 hasonló az OMAC1-hez, kivéve . , és egyenértékűek. Ezen túlmenően, és hatékonyan kiszámítható egy eltolással és egy XOR művelettel a és -ből , a (2) és (3) szerint. Könnyen belátható, hogy a Sec. Az OMAC1-ben és OMAC2-ben a 3 . Az OMAC1 és OMAC2 a 2. ábrán látható, és leírásuk a következő: 1. OMAC1 esetén: $0^n$ $H_L$ $Cst_1$ $Cst_2$ $u^2$ $GF(2^n)$ $L = E_K(0^n)$ $H_L(Cst_1) = L \cdot u$ $H_L(Cst_2) = L \cdot u^2$ $Cst_2 = u^{-1}$ $Cst_2 = u^2$ $L = E_K(0^n)$ $H_L(Cst_1) = L \cdot u$ $H_L(Cst_2) = L \cdot u^{-1}$ $L\cdot u$ $L \cdot u^{-1}$ $L \cdot u^2 = (L \cdot u) \cdot u$ $L$ $L\cdot u$ $\epsilon_1 = ... = \epsilon_6 = 2-n$

Algorithm $OMAC1_K(M)$
L ← $E_K(0^n)$ ;
Y [0] ← $0^n$ ;
Partition M into M[1] ... M[m]
for i ← 1 to m − 1 do
X[i] ← M[i] ⊕ Y [i − 1];
if |M[m]| = n
then X[m] ← X[m] ⊕ $L \cdot u$ ;
else Y[i] ← E_k(X[i]);
X[m] ← $pad_n(M[m]$ ) ⊕ Y [m − 1];
if |M[m]| = n then X[m] ← X[m] ⊕ $L \cdot u$ ;
else X[m] ← X[m] ⊕ $L \cdot u^2$ ;
T ← $E_K(X[m]$ );
return T;

1. OMAC2 esetén:

Algorithm $OMAC2_K(M)$
L ← $E_K(0^n)$ ;
Y [0] ← $0^n$ ;
Partition M into M[1] ... M[m]
for i ← 1 to m − 1 do
X[i] ← M[i] ⊕ Y [i − 1];
if |M[m]| = n
then X[m] ← X[m] ⊕ $L \cdot u$ ;
else Y[i] ← E_k(X[i]);
X[m] ← $pad_n(M[m]$ ) ⊕ Y [m − 1];
if |M[m]| = n then X[m] ← X[m] ⊕ $L \cdot u$ ;
else X[m] ← X[m] ⊕ $L \cdot u^{-1}$ ;
T ← $E_K(X[m]$ );
return T;

Az OMAC család biztonsága

A biztonság meghatározása

Legyen Perm(n) az összes permutáció halmaza -ból , és legyen P egy véletlenszerű permutáció , ha P véletlenszerű minta Perm(n-ből). Az E blokkrejtjel biztonsága számszerűsíthető a következővel: A maximális előny, amelyet egy A ellenfél nyerhet, amikor megpróbálja kivonni (egy véletlenszerűen kiválasztott K kulccsal) egy véletlenszerű P(•) permutációból, amikor a t és q lekérdezési időket számítjuk ( ami vagy ). Ezt az előnyt a következőképpen határozzuk meg. Tegyük fel, hogy az E blokk titkosítás biztonságos, ha lényegében kicsi. Hasonlóképpen a MAC algoritmus F : × → , ahol egy kulcshalmaz, akkor F(K, •)-re írunk . Tegyük fel, hogy az ellenfél tör, ha A visszatér , ahol A soha nem kér M-et tőle . Ezután az előnyt a következőképpen határozzuk meg $\{0,1\}^{n}$ $Adv^{prp}_E(t, q)$ $E_K( \cdot )$ $E_K(\cdot)$ $P(\cdot )$
$\begin{cases} & Adv^{prp}_E(A):= \left|Pr(K\overset{R}{\leftarrow}K_E : A^{E_K(\cdot)} = 1) - Pr(( K\overset{R}{\leftarrow}Perm(n):A^{P(\cdot)} = 1)\right|\\ & Adv_E^{prp}(t,q) := max\{Adv^ {prp}_E(A)\} \end{cases}$
$K_F$ $\{0,1\}^{n}$ $\{0,1\}^{n}$ $K_F$ $F_K(\cdot)$ $A^{F_K(\cdot)}$ $(M,F_K(M))$ $F_K(\cdot)$

$\begin{cases} & Adv^{mac}_E(A):= \Pr(K\overset{R}{\leftarrow}K_F : A^{F_K(\cdot)} forges) \\ & Adv_E^{mac }(t,q,\mu) := max\{Adv^{mac}_F(A)\} \end{cases}$

ahol a maximumot átveszi az összes ellenfél, akik legfeljebb t időn belül "dolgoznak", legfeljebb q kérést adnak, és minden kérés legfeljebb μ bit. Azt mondjuk, hogy a MAC algoritmus védett (biztonságos), ha az érték elhanyagolható. Jelölje Rand(∗, n) az összes függvény halmazát {0, 1}*-tól ig . Ezt a halmazt egy valószínűségi mértékkel adjuk meg, feltételezve, hogy a Rand(∗, n) halmaz egy R véletlenszerű eleme kapcsolódik vagy társítva van az R(M)∈ véletlenszerű sor minden M ∈ {0, 1}* sorához . Ezután az előnyt úgy határozzuk meg, hogy a maximumot átveszi az összes ellenfél, akik legfeljebb t időt „dolgoznak”, legfeljebb q kérelmet adnak le, és egy kérés legfeljebb μ bitet jelent. Ekkor azt mondhatjuk, hogy a MAC algoritmus pszeudo-véletlen, ha az érték elhanyagolható (a viprf a Variablelength Input PseudoRandom Function - változó hosszúságú pszeudo-véletlen függvények bemenetére van beállítva). Az általánosság elvesztése nélkül feltételezhető, hogy az ellenfelek soha nem kérnek a tartományon kívül , és soha nem ismétlik meg a kéréseket. $\{0,1\}^{n}$ $\{0,1\}^{n}$
$\begin{cases} & Adv^{viprf}_F(A):= \left|Pr(K\overset{R}{\leftarrow}K_F : A^{F_K(\cdot)} = 1) - Pr(( K\overset{R}{\leftarrow}Rand(*,n):A^{R(\cdot)} = 1)\right|\\ & Adv_F^{viprf}(t,q,\mu) := max\{Adv^{viprf}_F(A)\} \end{cases}$
$\{0,1\}^{n}$

Ezután bemutatjuk a fő tételeket (bizonyítás nélküli megfogalmazásukat).

Lemma 5.1 (fő Lemma az OMAC család számára). Tegyük fel, hogy H, Cst1 és Cst2 teljesíti a Sec feltételeket. 3 elhanyagolhatóan kicsi , és legyen Cst tetszőleges n bites állandó is. Tételezzük fel azt is, hogy az OMAC családban (OMAC-család) egy P ∈ Perm(n) véletlenszerű permutációt használunk alapblokk-rejtjelként. Legyen A egy olyan ellenfél, aki legfeljebb q kérést ad le, és minden kérés legfeljebb nm bitet. (m a blokkok maximális száma az egyes lekérdezésekben.) Legyen m ≤ 2n/4. Aztán hol . A következő eredmények mind az OMAC1-re, mind az OMAC2-re vonatkoznak. Először a következő lemmát kaptuk az 5.1. lemma є = 2−n helyére cserélve. $\epszilon_1, ... , \epszilon_6$
$\left|Pr(P\overset{R}{\leftarrow}Pern(n) : A^{OMAC-család_P(\cdot)} = 1) - Pr((R\overset{R}{\leftarrow}Rand( *,n):A^{R(\cdot)} = 1)\right|\leq \frac{q^2}{2} \cdot (\frac{7m^2+2}{2^n}+ 3m^2\epszilon)$
$\epsilon = max{ \epsilon_1, . . . ,\epsilon_6}$

Lemma 5.2 (fő Lemma az OMAC család számára). Tegyük fel, hogy egy P ∈ Perm(n) véletlenszerű permutációt használunk az OMAC-ban alapblokk-rejtjelként. Legyen A egy olyan ellenfél, amely legfeljebb q kérést tesz, és minden kérés legfeljebb nm bites. Legyen m ≤ 2n/4. Ezután megmutatjuk, hogy az OMAC pszeudo-véletlen, ha a mögöttes blokk E titkosítás biztonságos.
$\left|Pr(P\overset{R}{\leftarrow}Pern(n) : A^{OMAC_P(\cdot)} = 1) - Pr((R\overset{R}{\leftarrow}Rand(*, n):A^{R(\cdot)} = 1)\right|\leq \frac{(5m^2+1)q^2}{2^n}$

Megjegyzés 5.1. Legyen E : × → az OMAC-ban használt alapblokk-rejtjel. Ekkor , ahol t' = t + O(mq) és q' = mq + 1. Végül megmutatjuk, hogy az OMAC a szokásos értelemben vett aMAC-algoritmusként védett az 5.1 megjegyzésből. 5.1. Tétel. Legyen E : KE × → az OMAC-ban használt alapblokk-rejtjel. Ekkor , ahol t' = t + O(mq) és q' = mq + 1. $K_E$ $\{0,1\}^{n}$ $\{0,1\}^{n}$ $Adv_{OMAC}^{viprf}(t,q,nm)\leq \frac{(5m^2+1)q^2}{2^n} + Adv_{E}^{prp}(t',q ')$
$\{0,1\}^{n}$ $\{0,1\}^{n}$
$Adv_{OMAC}^{mac}(t,q,nm)\leq \frac{(5m^2+1)q^2+1}{2^n} + Adv_{E}^{prp}(t' ,q')$

Analógok

Az üzenet-hitelesítési kód létrehozására szolgáló legtöbb technológia az elküldött üzenet hash-függvényeként és egy speciális kulcsként jelenik meg, amelyet a küldő és a címzett ismer, ezek közé tartozik: RIPE-MAC, IBC-MAC, UMAC, VMAC. Alapvetően a CBC-MAC különbözik a stream titkosítót használó MAC-tól (ál-véletlen számgenerátorral az információfolyamot két folyamra osztják, amelyeket egymástól külön küldenek el), de a hátránya az, hogy gyenge változásokat mutat a kis változással üzenet. Vegyük fontolóra a Poly1305-AES-t is, ahol egy 128 bites AES kulcsot használnak kulcsként, egy 106 bites kettős komplement kódot, és egy 128 bites pszeudo-véletlenszerű generálást is létrehoznak. A CBC-MAC hátrányaként a kisebb biztonságot, előnyeként pedig a számítási erőforrások kevésbé igényességét jelezheti.

Jegyzetek

Irodalom

Tetsu Iwata és Kaoru Kurosawa. OMAC: Egygombos CBC MAC . - 4-12-1 Nakanarusawa, Hitachi, Ibaraki 316-8511, Japán.: Számítástechnikai és Információtudományi Tanszék, Ibaraki Egyetem, 2003. - 32. o.
M. Bellare, J. Kilian és P. Rogaway. A titkosítási blokk láncolási üzenet hitelesítési kódjának biztonsága. JCSS, vol. 61. sz. 3, 2000. Korábbi verzió: Advances in Cryptology - CRYPTO '94, LNCS 839, pp.341–358, Springer-Verlag, 1994 . Archiválva : 2012. február 5. a Wayback Machine -nél
J. Black és P. Rogaway. CBC MAC-ok tetszőleges hosszúságú üzenetekhez: A három kulcsfontosságú konstrukció. Előrelépések a kriptológiában – CRYPTO 2000, LNCS 1880, pp. 197–215, Springer-Verlag, 2000 .
J. Black és P. Rogaway. Megjegyzések a NIST-hez az AES működési módokkal kapcsolatban: Javaslat tetszőleges hosszúságú üzenetek kezelésére a CBC MAC segítségével. Második működési módok workshop .
R. Lidl és H. Niederreiter. Bevezetés a véges mezőkbe és alkalmazásaikba, átdolgozott kiadás. Cambridge University Press, 1994 .
E. Petrrank és C. Rackoff. CBC MAC valós idejű adatforrásokhoz. J. Cryptology, vol. 13. sz. 3, pp. 315–338, Springer-Verlag, 2000 .
S. Vaudenay. Dekorreláció végtelen tartományok felett: A titkosított CBC-MAC eset. Kommunikáció az információs és rendszerekben (CIS), vol. 1, pp. 75–85, 2001. Korábbi verzió: Selected Areas in Cryptography, SAC 2000, LNCS 2012, pp. 57–71, Springer-Verlag, 2001 .
P. Rogaway. Vödör kivonatolás és alkalmazása gyors üzenet-hitelesítésre. Előrelépések a kriptológiában – CRYPTO '95, LNCS 963, pp. 29–42, Springer-Verlag, 1995 .
P. Rogaway, M. Bellare, J. Black és T. Krovetz. OCB: blokk-titkos működési mód a hatékony hitelesített titkosításhoz. Proceedings of ACM Conference on Computer and Communications Security, ACM CCS 2001, ACM, 2001 .