产生MAC函数应满足的要求 产生MAC的函教一般为多到1映射。nbit长的MAC共有 2n个可能的取值,可能的消息数远大于2。 密钥长度为kbt,可能的密钥数为2k。 敌手可获得明文和MAC敌手可穷举攻击密钥。如果 k>n,很多密钥.(2k个)可产生相同的MAC,敌手无法确 定,还需要在这2k个密钥中辚续试验。 对消息认证码的穷举攻击代价大于攻击加密算法。 敌手有可能不直接攻击密钥,而伪造能够通过检验的 MAC和M。 2021/2/21
2021/2/21 7 产生MAC函数应满足的要求 ◼ 产生MAC的函数一般为多到1映射。nbit长的MAC共有 2 n个可能的取值,可能的消息数远大于2 n 。 ◼ 密钥长度为kbit,可能的密钥数为2 k 。 ◼ 敌手可获得明文和MAC,敌手可穷举攻击密钥。如果 k>n,很多密钥.(2k-n个)可产生相同的MAC,敌手无法确 定,还需要在这2 k-n个密钥中继续试验。 ◼ 对消息认证码的穷举攻击代价大于攻击加密算法。 ◼ 敌手有可能不直接攻击密钥,而伪造能够通过检验的 MAC和M
产生MAC函数应满足的要求 假定敌手知道函数C,不知道K ■如果敌手得到M和CkM),则构造一满足 CK(M")=CkM)的新峭息在计算上不可行 "CK(M)在以下意义下是均勺分布的:随机 选两个MM,Pr[CK(M)=CK(M)]=2 若M是M的某个变换 Pr[CK(M)=CK(M)]=2 2021/2/21
2021/2/21 8 产生MAC函数应满足的要求 ◼ 假定敌手知道函数C,不知道K ◼ 如果敌手得到M和CK (M),则构造一满足 CK (M’)= CK (M)的新消息在计算上不可行 ◼ CK (M)在以下意义下是均匀分布的:随机 选两个M,M’,Pr[CK (M)=CK (M’)]=2-n ◼ 若M’是M的某个变换, Pr[CK (M)=CK (M’)]=2-n