Book Introduction to Modern Cryptography

BUKU

Introduction to Modern Cryptography

Di Rangkum Oleh : Muhammad Rizki
Mahasiswa Universitas Teknologi Sumbawa (UTS)
Nim 17.01.071.077

Chapter 4

4.5 CBC-MAC

CBC-MAC didasarkan pada mode enkripsi dan CBC banyak digunakan dalam praktek. Ini bekerja dengan cara yang mirip dengan Konstruksi 4.3 di bahwa pesan dipecah menjadi blok, dan blok sandi kemudian diterapkan. Namun, untuk menghitung tag pada pesan dengan panjang l · n, di mana n adalah ukuran blok, cipher blok diterapkan l kali.

Selanjutnya ukurannya dari tag MAC hanya n bit (yaitu, satu blok). Kami mulai dengan menghadirkan konstruksi dasar CBC-MAC. Namun, seperti yang akan dibahas di bawah ini, ini skema dasar tidak aman dalam kasus umum.

Jika F adalah fungsi pseudorandomsedemikian rupa sehingga untuk setiap k ∈ {0, 1} n fungsi F k memetakan n-bit string ke n-bit string, maka Konstruksi 4.7 adalah MAC panjang tetap dengan parameter Panjangl · n yang secara eksistensial tidak dapat dikalahkan di bawah serangan pesan yang dipilih.

Bukti Teorema 4.8 sangat terlibat dan karenanya dihilangkan. Kita tekankan bahwa Konstruksi 4.7 hanya aman ketika panjang pesan tetap. Tentu saja, keuntungan dari konstruksi ini dibandingkan Konstruksi 4.3 adalah bahwa setiap panjang dapat dipilih (selama itu diperbaiki), dan kami tidak terbatas oleh panjang input / output fungsi pseudorandom. Kami juga berkomentar bahwa tidak benar-benar perlu untuk mengambil panjang untuk menjadi kelipatan n selama sebagai padding digunakan.

Enkripsi CBC-MAC versus CBC. Ada dua perbedaan di antara keduanya

CBC-MAC dasar dan mode enkripsi CBC:

1. Enkripsi CBC menggunakan IV acak dan ini sangat penting untuk mendapatkan keamanan. Sebaliknya, CBC-MAC tidak menggunakan IV - atau IV tetap - dan ini juga penting untuk mendapatkan keamanan (yaitu, CBC-MAC dengan acak IV bukan MAC yang aman).

2. Dalam enkripsi CBC semua blok dihasilkan oleh algoritma enkripsisedangkan di CBC-MAC hanya blok terakhir adalah output. Mungkin terlihat seperti itu  ini adalah perbedaan teknis berdasarkan fakta bahwa untuk enkripsi semuablok harus berupa output untuk mengaktifkan dekripsi, sedangkan untuk aMAC ini sama sekali tidak perlu dan begitu juga tidak dilakukan. Namun, jika semuanyablok adalah output dalam pengaturan MAC, maka hasilnya tidak aman MAC.

Ini adalah contoh fakta yang bagus bahwa modifikasi yang tampak tidak berbahaya untuk konstruksi kriptografi dapat menghasilkan mereka tidak aman. Sangat penting untuk selalu menerapkan konstruksi yang tepat, dan bukan varian sedikit (kecuali Anda punya bukti). Selain itu, sangat penting untuk memahami konstruksi. Misalnya, dalam banyak kasus, sebuah kriptografi perpustakaan menyediakan seorang programmer dengan "fungsi CBC." Namun, tidak demikian membedakan antara penggunaan fungsi ini untuk enkripsi atau untuk pesan autentikasi.Konstruksi 4,7 dan pesan panjang variabel. Teorema 4.8 menyatakan bahwa konstruksi CBC-MAC dasar hanya aman untuk pesan dengan panjang tetap. Namun, dalam kasus umum pesan panjang variabel mudah untuk menghasilkan pemalsuan untuk konstruksi CBC dasar. Kami meninggalkan tugas menemukan.

Sangat penting untuk selalu menerapkan konstruksi yang tepat, dan bukan varian sedikit (kecuali Anda punya bukti). Selain itu, sangat penting untuk memahami konstruksi. Misalnya, dalam banyak kasus, sebuah kriptografi perpustakaan menyediakan seorang programmer dengan "fungsi CBC." Namun, tidak demikian membedakan antara penggunaan fungsi ini untuk enkripsi atau untuk pesan autentikasi.Konstruksi 4,7 dan pesan panjang variabel. Teorema 4.8 menyatakan bahwa konstruksi CBC-MAC dasar hanya aman untuk pesan dengan panjang tetap. Namun, dalam kasus umum pesan panjang variabel mudah untuk menghasilkan pemalsuan untuk konstruksi CBC dasar. Kami meninggalkan tugas menemukan.

Serangan aktual sebagai latihan. Kami berkomentar bahwa serangan yang ada terjadi tidak memberikan banyak kontrol kepada musuh atas konten yang dipalsukan pesan. Namun demikian, seperti yang telah kita bahas, kriptografi itu sangat penting konstruksi aman untuk semua aplikasi dan kami tidak tahu bahwa serangan yang dijelaskan di atas tidak akan merusak aplikasi apa pun. Tambahan, kami juga tidak memiliki cara untuk mengetahui bahwa serangan lain, mungkin lebih dahsyat, tidak ada. Ketika satu serangan diketahui, ini sering berarti lebih banyakmungkin. Amankan CBC-MAC untuk pesan panjang variabel. Untuk mendapatkan MAC yang aman melalui konstruksi CBC untuk pesan panjang variabel, struction 4.7 harus dimodifikasi. Ini dapat dilakukan dengan beberapa cara. Tiga kemungkinan opsi yang telah terbukti aman adalah:

1. Terapkan fungsi pseudorandom (blok cipher) ke panjang blok l dari pesan input untuk mendapatkan kunci k l . Kemudian, hitungdasar CBC-MAC menggunakan kunci k l dan mengirim tag yang dihasilkan Bersama panjang blok.

2. Tambahkan pesan dengan panjang bloknya l, lalu hitung CBC-MAC (blok pertama berisi jumlah blok yang harus diikuti). Kita tekankan bahwa menambahkan pesan dengan panjang bloknya tidak aman.

3. Pilih dua tombol berbeda k 1 ← {0, 1} n dan k 2 ← {0, 1} n . Lalu, pute CBC-MAC dasar menggunakan k 1 ; biarkan t 1 menjadi hasilnya. Hasil Tag-MAC didefinisikan sebagai t = F k 2 (t 1 ).

 Kami mencatat bahwa opsi ketiga memiliki keunggulan yang tidak perlu ketahui panjang pesan sebelum mulai menghitung MAC. Ini disadvan- Yang penting adalah membutuhkan dua kunci. Namun, dengan mengorbankan dua tambahan aplikasi fungsi pseudorandom, dimungkinkan untuk menyimpan satu kunci k dan kemudian mendapatkan kunci k 1 = F k (1) dan k 2 = F k (2) di awal komputasi.