 |
Главная Случайная страница Контакты | Мы поможем в написании вашей работы! | |
Однонаправленная хэш-функция MAC
|
|
В качестве MAC может быть использована и однонаправленная хэш-функция [1537]. Пусть Алиса и Боб используют общий ключ К, и Алиса хочет отправить Бобу MAC сообщения М. Алиса объединяет КиМ,и вычисляет однонаправленную хэш-функцию объединения: ЩК,М). Это хэш-значение и является кодом MAC. Так как Боб знает К, он может воспроизвести результат Алисы, а Мэллори, которому ключ неизвестен, не сможет это
сделать.
Со методами MD-усиления этот способ работает, но есть серьезные проблемы. Мэллори всегда может добавить новые блоки к концу сообщения и вычислить правильный MAC. Это вскрытие может быть предотвращено, если к началу сообщения добавить его длину, но Пренел сомневается в этой схеме [1265]. Лучше добавлять ключ к концу сообщения, ЩМ,К), но при этом также возникают проблемы [1265]. Если Я однонаправленная функция, которая не защищена от столкновений, Мэллори может подделывать сообщения. Еще лучше ЩК,М,К) или H(KhM,Ki), где Кх и К2 различны [1537]. Пренел не уверен и в этом [1265].
Безопасными кажутся следующие конструкции:
ЩКи ЩК2, Щ
щк, щк,щ
ЩК, р,М,Щ), где р дополняет К до полного блока сообщения.
Лучшим подходом является объединение с каждым блоком сообщения по крайней мере 64 битов ключа. Это делает однонаправленную функцию менее эффективной, так как уменьшаются блоки сообщения, но так она становится намного безопаснее [1265].
Или используйте однонаправленную хэш-функцию и симметричный алгоритм. Сначала хэшируйте файл,
потом зашифруйте хэш-значение. Это безопаснее, чем сначала шифровать файл, а затем хэшировать зашифр о-ванный файл, но эта схема чувствительна к тому же вскрытию, что и конструкция ЩМ,К) [1265].
MAC с использованием потокового шифра
Эта схема MAC использует потоковые шифры (см. 3-й) [932]. Криптографически безопасный генератор псевдослучайных битов демультиплексирует поток сообщения на два подпотока. Если на выходе генератора битов k единица, то текущий бит сообщения от, отправляется в первый подпоток, если ноль, то от, отправляется во второй подпоток. Каждый подпоток отправляется на свой LFSR (раздел 16.2). Выходом MAC просто является конечное состояние обоих регистров.
К несчастью этот метод небезопасен по отношению к небольшим изменениям в сообщении [1523]. Например, если изменить последний бит сообщения, то для создания поддельного MAC нужно будет изменить только 2 бита соответствующего MAC; это может быть выполнено с заметной вероятностью. Автор предлагает более безопасный, и более сложный, вариант.
 | |
 |
|
Сдвиговый регистр 1
Сдвиговый регистр 1
Рис. 18-15. MAC с использованием потокового шифра
Дата публикования: 2014-11-03; Прочитано: 541 | Нарушение авторского права страницы | Мы поможем в написании вашей работы!
