CBC-MAC

În criptografie , un bloc înlănțuirea Mesaj Cod de autentificare Cifru, abreviat CBC-MAC, este o tehnică pentru construirea unui cod de autentificare mesaj folosind un cifru bloc. Mesajul este criptat cu un algoritm de cifrare a blocurilor în modul CBC pentru a crea un lanț de blocuri în care fiecare dintre ele depinde de cifrarea blocului anterior. Această interdependență asigură că o modificare a oricărui bit al textului simplu va provoca o schimbare în blocul criptat final care nu poate fi prezis sau calculat fără a cunoaște cheia de criptare.

Pentru a calcula CBC-MAC al mesajului m, m este criptat în modul CBC cu vectorul de inițializare la zero. Figura de mai jos arată calculul CBC-Mac al unui mesaj împărțit în blocuri $m_{1}\|m_{2}\|\dots \|m_{x}$ ${\ displaystyle m_ {1} \ | m_ {2} \ | \ dots \ | m_ {x}}$ ${\ displaystyle m_ {1} \ | m_ {2} \ | \ dots \ | m_ {x}}$ folosind o cheie secretă k și un cifru bloc E.

Securitate cu mesaje de lungime fixă și variabilă

Dacă cifrul bloc utilizat este sigur, CBC-MAC este sigur pentru mesajele cu lungime fixă. Cu toate acestea, în sine, nu este sigur pentru mesajele cu lungime variabilă.

Această etichetă este codul CBC-MAC al unui mesaj $m$ ${\ displaystyle m}$ $m$ , și a indicat eticheta cu $t$ ${\ displaystyle t}$ $t$ , un atacator care cunoaște perechi de etichete-mesaj $(m,t)$ ${\ displaystyle (m, t)}$ ${\ displaystyle (m, t)}$ Și $(m',t')$ ${\ displaystyle (m ', t')}$ ${\ displaystyle (m ', t')}$ poate genera un al treilea mesaj $m^{″}$ ${\ displaystyle m ''}$ ${\ displaystyle m ''}$ a cărui etichetă coincide cu $t^{'}$ ${\ displaystyle t '}$ $nu$ .

$m^{″}$ ${\ displaystyle m ''}$ ${\ displaystyle m ''}$ poate fi obținut după cum urmează:

m''=m\|[(m_{1}'\oplus t)\|m_{2}'\|\dots \|m_{x}']

{\ displaystyle m '' = m \ | [(m_ {1} '\ oplus t) \ | m_ {2}' \ | \ dots \ | m_ {x} ']}

{\ displaystyle m '' = m \ | [(m_ {1} '\ oplus t) \ | m_ {2}' \ | \ dots \ | m_ {x} ']}

Calculul CBC-MAC pentru mesaj $m^{″}$ ${\ displaystyle m ''}$ ${\ displaystyle m ''}$ procedează după cum urmează:

se calculează MAC până la $m$ ${\ displaystyle m}$ $m$ , care este echivalent cu $t$ ${\ displaystyle t}$ $t$ : $E_{K_{\text{MAC}}}(m)=t$ ${\ displaystyle E_ {K _ {\ text {MAC}}} (m) = t}$ ${\ displaystyle E_ {K _ {\ text {MAC}}} (m) = t}$
se calculează MAC-ul blocului $(m_{1}'\oplus t)$ ${\ displaystyle (m_ {1} '\ oplus t)}$ ${\ displaystyle (m_ {1} '\ oplus t)}$ , XORing valoarea obținută la pasul 1 cu primul bloc modificat de $m^{'}$ ${\ displaystyle m '}$ $eu$ și apoi trimiterea rezultatului la cifrul bloc: ${\displaystyle E_{K_{\text{MAC}}}(t\oplus (m_{1}'\oplus t))}$ ${\ displaystyle {\ displaystyle E_ {K _ {\ text {MAC}}} (t \ oplus (m_ {1} '\ oplus t))}}$ ${\ displaystyle {\ displaystyle E_ {K _ {\ text {MAC}}} (t \ oplus (m_ {1} '\ oplus t))}}$ pentru proprietățile $\oplus$ ${\ displaystyle \ oplus}$ $\ oplus$ cele două etichete $t$ ${\ displaystyle t}$ $t$ sunt anulate, contribuția de $t$ ${\ displaystyle t}$ $t$ la MAC calculat până acum: $E_{K_{\text{MAC}}}(t\oplus (m_{1}'\oplus t))=E_{K_{\text{MAC}}}(m_{1}'\oplus t\oplus t)=E_{K_{\text{MAC}}}(m_{1}')$ ${\ displaystyle E_ {K _ {\ text {MAC}}} (t \ oplus (m_ {1} '\ oplus t)) = E_ {K _ {\ text {MAC}}} (m_ {1}' \ oplus t \ oplus t) = E_ {K _ {\ text {MAC}}} (m_ {1} ')}$ ${\ displaystyle E_ {K _ {\ text {MAC}}} (t \ oplus (m_ {1} '\ oplus t)) = E_ {K _ {\ text {MAC}}} (m_ {1}' \ oplus t \ oplus t) = E_ {K _ {\ text {MAC}}} (m_ {1} ')}$
continuând din $E_{K_{\text{MAC}}}(m_{1}')$ ${\ displaystyle E_ {K _ {\ text {MAC}}} (m_ {1} ')}$ ${\ displaystyle E_ {K _ {\ text {MAC}}} (m_ {1} ')}$ , continuăm cu calculul MAC pe blocurile rămase $m_{2}'\|\dots \|m_{x}'$ ${\ displaystyle m_ {2} '\ | \ dots \ | m_ {x}'}$ ${\ displaystyle m_ {2} '\ | \ dots \ | m_ {x}'}$ , care deci coincide cu MAC-ul din $m^{'}$ ${\ displaystyle m '}$ $eu$ : $E_{K_{\text{MAC}}}(m')=t'$ ${\ displaystyle E_ {K _ {\ text {MAC}}} (m ') = t'}$ ${\ displaystyle E_ {K _ {\ text {MAC}}} (m ') = t'}$ obținându-se astfel $t^{'}$ ${\ displaystyle t '}$ $nu$ și, prin urmare, că eticheta de $m^{″}$ ${\ displaystyle m ''}$ ${\ displaystyle m ''}$ coincide cu $t^{'}$ ${\ displaystyle t '}$ $nu$ .

Această problemă nu poate fi rezolvată prin adăugarea unui bloc de lungime a mesajului (de exemplu, cu întărirea Merkle-Damgård ).

În cazul mesajelor cu lungime variabilă, se recomandă utilizarea unui alt mod de operare, de exemplu CMAC sau HMAC , pentru a proteja integritatea mesajelor cu lungime variabilă.

Folosind aceeași cheie pentru a cripta și autentifica

O greșeală obișnuită este reutilizarea aceleiași chei $k$ ${\ displaystyle k}$ $k$ pentru criptare CBC și CBC-MAC. Deși reutilizarea cheii în scopuri diferite nu este în general recomandată, în acest caz particular greșeala duce la un atac spectaculos.

Să presupunem că un utilizator criptează un mesaj $m_{0}\|m_{1}\|\cdots \|m_{x-1}$ ${\ displaystyle m_ {0} \ | m_ {1} \ | \ cdots \ | m_ {x-1}}$ ${\ displaystyle m_ {0} \ | m_ {1} \ | \ cdots \ | m_ {x-1}}$ în modul CBC folosind un IV $c_{-1}$ ${\ displaystyle c _ {- 1}}$ ${\ displaystyle c _ {- 1}}$ și obținerea următorului text cifrat: $c_{0}\|c_{1}\|\cdots \|c_{x-1}$ ${\ displaystyle c_ {0} \ | c_ {1} \ | \ cdots \ | c_ {x-1}}$ ${\ displaystyle c_ {0} \ | c_ {1} \ | \ cdots \ | c_ {x-1}}$ , unde este $c_{i}=E_{k}(m_{i}\oplus c_{i-1})$ ${\ displaystyle c_ {i} = E_ {k} (m_ {i} \ oplus c_ {i-1})}$ ${\ displaystyle c_ {i} = E_ {k} (m_ {i} \ oplus c_ {i-1})}$ . În plus, generează codul CBC-MAC pentru IV și pentru mesaj: $t=M(m_{-1}\|\cdots \|m_{x-1}).$ ${\ displaystyle t = M (m _ {- 1} \ | \ cdots \ | m_ {x-1}).}$ ${\ displaystyle t = M (m _ {- 1} \ | \ cdots \ | m_ {x-1}).}$ .

Acum, un atacator poate schimba fiecare bit înainte de ultimul bloc $c_{x-1}$ ${\ displaystyle c_ {x-1}}$ ${\ displaystyle c_ {x-1}}$ iar codul MAC va fi în continuare valid. Motivul este că $t=E_{k}(m_{x-1}\oplus c_{x-2})=c_{x-1}$ ${\ displaystyle t = E_ {k} (m_ {x-1} \ oplus c_ {x-2}) = c_ {x-1}}$ ${\ displaystyle t = E_ {k} (m_ {x-1} \ oplus c_ {x-2}) = c_ {x-1}}$ (acesta este de fapt motivul pentru care oamenii fac această greșeală atât de frecvent - poate crește performanța cu un factor de doi). Dacă nu se schimbă ultimul bloc, echivalența $t=\ c_{x-1}$ ${\ displaystyle t = \ c_ {x-1}}$ ${\ displaystyle t = \ c_ {x-1}}$ rămâne valabil, deci codul CBC-MAC este corect.

Acest exemplu arată, de asemenea, că un CBC-MAC nu poate fi folosit ca o funcție unilaterală rezistentă la coliziune: având o cheie, este banal să creezi un mesaj diferit care generează același cod.

Elemente conexe

Referințe

( EN ) ISO / IEC 9797-2: 2002 , pe iso.org .
( RO ) Securitatea codului de autentificare a mesajului înlănțuit de blocul cifrat. ( PDF ), pe cs.ucdavis.edu . Adus la 28 decembrie 2013 (arhivat din original la 5 februarie 2012) .

Portal de criptografie : Accesați intrările Wikipedia care se ocupă de criptografie

CBC-MAC

Securitate cu mesaje de lungime fixă ​​și variabilă

Folosind aceeași cheie pentru a cripta și autentifica

Elemente conexe

Referințe

Securitate cu mesaje de lungime fixă și variabilă