Bảo mật MAC khi đối thủ có lời tiên tri xác minh

Một mã xác thực thông điệp (MAC) được xác định bởi một bộ ba của các thuật toán hiệu quả , đáp ứng như sau (định nghĩa được lấy từ mục 4.3 của cuốn sách Katz-LINDELL ) :$(\mathsf{Gen}, \mathsf{MAC}, \mathsf{Verif})$

• Trên đầu vào , thuật toán G e n tạo khóa k ≥ n .$1^n$$\mathsf{Gen}$$k \ge n$
• Mở đầu vào được tạo ra bởi G e n , và một số thông điệp m ∈ { 0 , 1 } * , thuật toán M Một C tạo ra một thẻ t . Ta viết t ← M A C k ( m ) .$k$$\mathsf{Gen}$$m \in \{0,1\}^*$$\mathsf{MAC}$$t$$t \gets \mathsf{MAC}_k(m)$
• Khi nhập một bộ ba , thuật toán V e r i f tạo ra một bit b . Chúng tôi viết b ← V e r i f k ( m , t ) .$(k,m,t)$$\mathsf{Verif}$$b$$b \gets \mathsf{Verif}_k(m,t)$

Đó là yêu cầu mà cho tất cả ra bởi G e n và tất cả m ∈ { 0 , 1 } * , chúng ta có V e r i f k ( m , M Một C k ( m ) ) = 1 .$k$$\mathsf{Gen}$$m \in \{0,1\}^*$$\mathsf{Verif}_k(m, \mathsf{MAC}_k(m)) = 1$

Yêu cầu bảo mật được xác định thông qua thử nghiệm sau, giữa người thách thức và đối thủ :$A$

1. .$k \gets \mathsf{Gen}(1^n)$
2. .$(m,t) \gets A^{\mathsf{MAC}_k(\cdot)}(1^n)$
3. Đặt là tập hợp tất cả các truy vấn mà A yêu cầu đối với lời tiên tri của nó.$Q$$A$
4. Đầu ra của thử nghiệm được xác định là 1 khi và chỉ khi:
   • và$\mathsf{Verif}_k(m, t) = 1$
   • .$m \notin Q$

MAC được coi là an toàn nếu xác suất thử nghiệm đầu ra 1 không đáng kể trong .$n$

Thử nghiệm ở trên giống với thử nghiệm "bản rõ được chọn" dựa trên sơ đồ mã hóa đối xứng, trong đó đối thủ có thể có được bản mã tương ứng với các thông điệp mà anh ta chọn. Trong một cuộc tấn công mạnh mẽ hơn, được gọi là cuộc tấn công "mật mã được chọn", đối thủ cũng được phép truy cập vào một nhà tiên tri giải mã.

Vì vậy, câu hỏi của tôi là:

Điều gì xảy ra nếu chúng ta cũng cho phép đối thủ MAC truy cập vào một lời tiên tri xác minh? Nói cách khác, nếu dòng 2 của thí nghiệm được thay thế bằng dòng sau:

.$(m,t) \gets A^{\mathsf{MAC}_k(\cdot),\ \ \mathsf{Verif}_k(\cdot, \cdot)}(1^n)$

Lưu ý rằng trong thử nghiệm mới, chỉ bao gồm các truy vấn A yêu cầu từ nhà tiên tri M A C k .$Q$$A$$\mathsf{MAC}_k$

Nếu có một mã xác thực tin nhắn an toàn theo một trong hai định nghĩa,
thì có một hệ thống mà định nghĩa của cuốn sách được phân loại là
mã xác thực tin nhắn an toàn và định nghĩa của bạn được phân loại là không an toàn.

Để cho $\:\langle \operatorname{Gen}\hspace{.02 in},\hspace{-0.02 in}\operatorname{MAC}\hspace{.02 in},\hspace{-0.05 in}\operatorname{Verif}\hspace{.02 in}\rangle\:$ được an toàn theo một trong hai định nghĩa. $\;\;$




$\operatorname{MAC}_k\hspace{-0.09 in}'$$\operatorname{MAC}_k$
$\operatorname{Verif}_k\hspace{-0.09 in}'$$\operatorname{Verif}_k$
$k$$\;\;$ $\:\langle \operatorname{Gen}\hspace{.02 in},\hspace{-0.02 in}\operatorname{MAC}\hspace{.01 in}\hspace{-0.03 in}'\hspace{-0.02 in},\hspace{-0.04 in}\operatorname{Verif}\hspace{.01 in}\hspace{-0.03 in}'\hspace{.02 in}\rangle\:$ rõ ràng là hiệu quả và đáp ứng yêu cầu. $\;\;\;$Vì [ghép các thẻ với chuỗi trống cho]
và [lấy mục nhập bên trái của đầu ra của] một đối thủ khả thi tấn công
định nghĩa về bảo mật của cuốn sách $\:\langle \operatorname{Gen}\hspace{.02 in},\hspace{-0.02 in}\operatorname{MAC}\hspace{.01 in}\hspace{-0.03 in}'\hspace{-0.02 in},\hspace{-0.04 in}\operatorname{Verif}\hspace{.01 in}\hspace{-0.03 in}'\hspace{.02 in}\rangle\:$không thể có xác suất không đáng kể
phá vỡ định nghĩa về bảo mật của cuốn sách đối với$\:\langle \operatorname{Gen}\hspace{.02 in},\hspace{-0.02 in}\operatorname{MAC}\hspace{.02 in},\hspace{-0.05 in}\operatorname{Verif}\hspace{.03 in}\rangle\:$, $\:$
định nghĩa của cuốn sách cũng phân loại$\:\langle \operatorname{Gen}\hspace{.02 in},\hspace{-0.02 in}\operatorname{MAC}\hspace{.01 in}\hspace{-0.03 in}'\hspace{-0.02 in},\hspace{-0.04 in}\operatorname{Verif}\hspace{-0.01 in}\hspace{-0.03 in}'\hspace{.02 in}\rangle\:$
$k$$\:2\hspace{-0.03 in}\cdot \hspace{-0.03 in}(\operatorname{length}(k)\hspace{-0.04 in}+\hspace{-0.05 in}1)\:$
$\operatorname{Verif}_k\hspace{-0.09 in}'$$k\hspace{.01 in}$, sẽ cho phép giả mạo trên bất kỳ tin nhắn.
Do đó định nghĩa của bạn phân loại$\:\langle \operatorname{Gen}\hspace{.02 in},\hspace{-0.02 in}\operatorname{MAC}\hspace{.01 in}\hspace{-0.03 in}'\hspace{-0.02 in},\hspace{-0.04 in}\operatorname{Verif}\hspace{-0.01 in}\hspace{-0.03 in}'\hspace{.02 in}\rangle\:$ như bất an. $\;\;\;$ QED

Các phiên bản không thể tha thứ mạnh mẽ của hai định nghĩa là tương đương.

$Q$
$Q^+$

Khởi tạo $\:Q^+\:$ như bộ trống, và đặt $\: \langle m,\hspace{-0.03 in}t\rangle \:$ vào $\:Q^+$
$\operatorname{MAC}_k$$t$$m$

$\:\operatorname{Verif}_{\hspace{-0.02 in}k}\:$ một cặp đã được đặt vào $\:Q^+\:$.
Xác định một truy vấn để thử sớm khi và chỉ khi nó đang thử và
không đến sau bất kỳ truy vấn cố gắng nào$\:\operatorname{Verif}_{\hspace{-0.02 in}k}\:$


$B^{\hspace{.02 in}\operatorname{MAC}_k(\cdot)}\hspace{-0.02 in}\left(\hspace{-0.03 in}1^n,\hspace{-0.02 in}q,\hspace{.02 in}j\hspace{-0.01 in}\right) \;$$A$

Sử dụng ít hơn $\hspace{.02 in}j$$\;\; r \: \in \: \left\{\hspace{-0.03 in}1,\hspace{-0.03 in}2\hspace{.02 in},\hspace{-0.03 in}3,...,\hspace{-0.02 in}q\hspace{-0.04 in}-\hspace{-0.04 in}2\hspace{.02 in},\hspace{-0.02 in}q\hspace{-0.04 in}-\hspace{-0.05 in}1,\hspace{-0.02 in}q\hspace{-0.02 in}\right\} \;\;$
$A$$\:\operatorname{MAC}_k(\cdot)\:$ truy vấn $\:\operatorname{MAC}_k(\cdot)\:$
$A$$0$$r\hspace{-0.04 in}-\hspace{-0.05 in}1$
$1$$\:\operatorname{Verif}_{\hspace{-0.02 in}k}\:$trên các truy vấn mà không cố gắng.
Nếu$\:A^{\operatorname{MAC}_k(\cdot),\operatorname{Verif}_k(\cdot,\cdot)}\hspace{-0.03 in}\left(\hspace{-0.03 in}1^n\hspace{-0.02 in}\right)\:$$r$
$\:A^{\operatorname{MAC}_k(\cdot),\operatorname{Verif}_k(\cdot,\cdot)}\hspace{-0.03 in}\left(\hspace{-0.03 in}1^n\hspace{-0.02 in}\right)\:$đưa ra đầu ra, sau đó đưa ra đầu ra tương tự.


Với sự ngẫu nhiên của mọi thứ đã được cố định, nếu$\:A^{\operatorname{MAC}_k(\cdot),\operatorname{Verif}_k(\cdot,\cdot)}\hspace{-0.03 in}\left(\hspace{-0.03 in}1^n\hspace{-0.02 in}\right)\:$ làm chính xác $\:r\hspace{-0.03 in}-\hspace{-0.04 in}1\:$
$B^{\hspace{.02 in}A,\operatorname{MAC}_k(\cdot)}\hspace{-0.03 in}\left(\hspace{-0.03 in}1^n,\hspace{-0.02 in}q,\hspace{.02 in}j\hspace{-0.01 in}\right)\:$ thành công trong thử nghiệm cuốn sách phiên bản không thể tha thứ mạnh mẽ.

$B$$\epsilon$
$q$
$\;\; \left(\hspace{-0.03 in}\frac1q\hspace{-0.03 in}-\hspace{-0.03 in}\frac{q}{2\text{^}j}\hspace{-0.04 in}\right)\cdot \epsilon \;\;\;$
$B$$\hspace{.02 in}j$
$q$
$\:\operatorname{MAC}_k\:$
$\operatorname{MAC}_k\hspace{-0.02 in}$'S$\:$ đáp ứng với truy vấn đó] và chỉ có độ phức tạp bổ sung nhỏ hơn thế.

$\operatorname{Verif}_k$