Однонаправленная хэш-функция MAC

В качестве MAC может быть использована и однонаправленная хэш-функция [1537]. Пусть Алиса и Боб ис­пользуют общий ключ К, и Алиса хочет отправить Бобу MAC сообщения М. Алиса объединяет КиМ,и вычис­ляет однонаправленную хэш-функцию объединения: ЩК,М). Это хэш-значение и является кодом MAC. Так как Боб знает К, он может воспроизвести результат Алисы, а Мэллори, которому ключ неизвестен, не сможет это

сделать.

Со методами MD-усиления этот способ работает, но есть серьезные проблемы. Мэллори всегда может доба­вить новые блоки к концу сообщения и вычислить правильный MAC. Это вскрытие может быть предотвращено, если к началу сообщения добавить его длину, но Пренел сомневается в этой схеме [1265]. Лучше добавлять ключ к концу сообщения, ЩМ,К), но при этом также возникают проблемы [1265]. Если Я однонаправленная функция, которая не защищена от столкновений, Мэллори может подделывать сообщения. Еще лучше ЩК,М,К) или H(K_hM,Ki), где К_х и К₂ различны [1537]. Пренел не уверен и в этом [1265].

Безопасными кажутся следующие конструкции:

ЩК_и ЩК₂, Щ

щк, щк,щ

ЩК, р,М,Щ), где р дополняет К до полного блока сообщения.

Лучшим подходом является объединение с каждым блоком сообщения по крайней мере 64 битов ключа. Это делает однонаправленную функцию менее эффективной, так как уменьшаются блоки сообщения, но так она становится намного безопаснее [1265].

Или используйте однонаправленную хэш-функцию и симметричный алгоритм. Сначала хэшируйте файл,

потом зашифруйте хэш-значение. Это безопаснее, чем сначала шифровать файл, а затем хэшировать зашифр о-ванный файл, но эта схема чувствительна к тому же вскрытию, что и конструкция ЩМ,К) [1265].

MAC с использованием потокового шифра

Эта схема MAC использует потоковые шифры (см. 3-й) [932]. Криптографически безопасный генератор псевдослучайных битов демультиплексирует поток сообщения на два подпотока. Если на выходе генератора битов k единица, то текущий бит сообщения от, отправляется в первый подпоток, если ноль, то от, отправляется во второй подпоток. Каждый подпоток отправляется на свой LFSR (раздел 16.2). Выходом MAC просто являет­ся конечное состояние обоих регистров.

К несчастью этот метод небезопасен по отношению к небольшим изменениям в сообщении [1523]. Например, если изменить последний бит сообщения, то для создания поддельного MAC нужно будет изменить только 2 бита соответствующего MAC; это может быть выполнено с заметной вероятностью. Автор предлагает более безопасный, и более сложный, вариант.