Партнерка на США и Канаду по недвижимости, выплаты в крипто
- 30% recurring commission
- Выплаты в USDT
- Вывод каждую неделю
- Комиссия до 5 лет за каждого referral
Кроме варианта PMAC/add существуют PMAC/mod и PMAC/xor.
В варианте PMAC/mod вместо вычисления iL по модулю 2n используется модуль iL по модулю p.
Режим OMAC: One-Key CBC MAC
Здесь представляется режим работы блочного шифра One-key CBC MAC и доказывается его стойкость. Данный код аутентификации сообщений может быть применен для сообщений произвольной длины.
Базовая конструкция семейства OMAC.
Семейство ОМАС определяется блочным шифром Е: КEх{0,1}n®{0,1}n, n-битной константой Cst, универсальной хэш-функцией H: {0,1}n хX®{0,1}n и двумя явными константами Cst1, Cst2 Î Х, где Х – конечная область Н.
Н, Cst1 и Cst2 должны удовлетворять следующим условиям, пока Cst является произвольной. Будем писать HL(.) для H(L,.)
1. " yÎ{0,1}n, число LÎ{0,1}n : HL(Cst1)=y не более ε1.2n для достаточно малого ε1.
2. " yÎ{0,1}n, числоÎ{0,1}n : HL(Cst2)=y is не более ε2.2n для достаточно малого ε2.
3. " yÎ{0,1}n, число LÎ{0,1}n : HL(Cst1)Å HL(Cst2)=y не более ε3.2n для достаточно малого ε3.
4. " yÎ{0,1}n, число LÎ{0,1}n : HL(Cst1)Å L=y не более ε4.2n для достаточно малого ε4.
5. " yÎ{0,1}n, число LÎ{0,1}n : HL(Cst2)Å L=y не более ε5.2n для достаточно малого ε5.
6. " yÎ{0,1}n, число LÎ{0,1}n : HL(Cst1)Å HL(Cst2)Å L=y не более ε6.2n для достаточно малого ε6.
Ремарка: свойства 1 и 2 говорят, что HL(Cst1) и HL(Cst2) почти равномерно распределены. Свойство 3 удовлетворено AXU (almost XOR universal) хэш-функцией. Свайства 4, 5, 6 – новые вводимые требования.
Ограничения метода:
1. CBC MAC шифры, и OMAC в их числе, не параллелизуемы.
2. Ограниченная возможность предобработки.
Преимущества метода:
1. Минимальная длина ключа. Минимальная длина ключа в OMAC равна k-бит, тогда как в XCBC она равна (k+2n)-бит, а в TMAC – (k+n)-бит.
2. Произвольная длина сообщений. Область определения в OMAC равна {0,1} и êM÷ не обязательно быть множеством блока длиной n.
3. Оптимальное количество обращений блочного шифра. Для генерации тэга для любого непустого сообщения MÎ{0,1}; OMAC требуется é|M|/nù обращений блочного шифра. (Пустая последовательность – исключение, для нее требуется одно обращение).
4. Оптимальное количество разработок ключей блочного шифра. OMAC требуется однократный запрос ключа.
5. Доказуемая стойкость. Авторы доказывают, что OMAC – псевдорандомизованная функция изменяемой вводной длины VIPRF с фиксированной исходящей длиной, из чего следует, что данный блочный шифр – псевдослучайная перестановка (пермутация)(PRP).
6. Не используется модуль расшифрования. Как и в любых других CBC MAC шифрах, OMAC не использует модуль расшифрования блочного шифра.
7. Простота. Благодаря простоте OMAC нетребователен ни к программным, ни к аппаратным средствам.
Также в марте 2003 года после анализа OMAC, Tetsu Iwata и Kaoru Kurosawa предложили новый вариант OMAC, названный OMAC1. В OMAC1 константа Cst1 равна некоторому u2 вместо u-1 в OMAC(он же OMAC2).
Режим Randomized MAC (RMAC)
A randomized MAC beyond the birthday paradox limit
Первым из методов в работе над AES, предложенным NIST (Национальным институтом стандартов и технологии США) был RMAC (Randomized Message Authentication Code, рандомизированный код аутентификации сообщений). Его преимуществом является наличие доказательства стойкости. По сути, если использовать тройной DES в качестве основы для RMAC (метод RMAC может работать с любым блочным шифром), то полученная конструкция будет доказуемо стойкой.
RMAC является стойким в модели, называемой моделью с идеальным шифрованием. Согласно предположениям этой модели, лежащий в основе блочный шифр должен быть стойким против целого ряда атак, включая атаки со связанными ключами. Если блочный шифр поддается атакам со связанными ключами, то он не подходит для моделирования идеальным шифром, и доказательство стойкости RMAC неприменимо.
Если тройной DES может быть смоделирован идеальным шифром, то тройной DES-RMAC должен быть стойким. В действительности, стандарт RMAC, предложенный NIST, включает тройной DES-RMAC как одну из двух опций. (Другой опцией является AES-RMAC.) Однако было показано, что тройной DES не является стойким против атак со связанными ключами. Его атака требует выбора 216 сообщений и около 256 вычислительных операций, что делает ее практически реализуемой с сегодняшними вычислительными ресурсами.
Доказательство стойкости для RMAC проходит только в том случае, когда предполагается использование идеального шифра. Если вы хотите сделать какие-либо выводы о RMAC с реальным блочным шифром наподобие тройного DES или AES, вы должны надеяться, что ваш реальный блочный шифр подобен идеальному шифру до такой степени, что то же самое доказательство переносится на этот случай. В случае тройного DES эта надежда оказалась ложной. Тройной DES не может быть хорошо смоделирован идеальным шифром, так как тройной DES поддается атакам со связанными ключами. И если существуют атаки со связанными ключами на ваш реальный блочный шифр, то это не только делает несостоятельным доказательство и "недействительной гарантию стойкости", но может также привести к серьезным атакам на RMAC.
В настоящее время наиболее интересным вопросом является вопрос о том, будет ли AES-RMAC стойким. Если вы хотите думать, что доказательство стойкости для RMAC что-нибудь говорит об AES-RMAC, то вы должны надеяться, что AES ведет себя наподобие идеального шифра. Одним из необходимых условий для последнего является стойкость AES против атак со связанными ключами.
AES - новый шифр, и его стойкость против атак со связанными ключами не была хорошо изучена. Главным образом, криптоаналитики сосредоточивают свое внимание на стандартной модели угроз (атаки с выбором открытого текста и шифр-текста), а атаки со связанными ключами изучались лишь изредка. Наши небольшие знания о стойкости AES против атак со связанными ключами наводят на мысль о том, AES имеет значительно меньшую стойкость против атак со связанными ключами, чем против нормальных атак: лучшая атака со связанными ключами (найденная после всего лишь нескольких недель анализа) разламывает за девять раундов». (Из перевода статьи в Crypto-Gram от 15 января 2003 г).
Существует разделение RMAC на два режима, слегка отличающихся друг от друга дополнениями к сообщению.
Размер MAC тэга в RMAC оптимален, и составляет 2 величины блочного шифра. Более того, благодаря его конструкции, вычислительные накладные расходы незначительны по сравнению с результатом простых нерандомизированных шифров CBC-MAC.
Режимы шифрования и аутентификации
При создании систем передачи информации очень часто встает задача обеспечить как конфиденциальность, так и целостность данных одновременно. Для этого можно применять два различных режима работы блочного цикла – один для шифрования, другой для проверки целостности, а можно воспользоваться специально разработанными режимами, которые сочетают в себе возможность шифрования данных с проверкой целостности одновременно. Применение таких режимов оправдано для больших объемов передаваемых данных...
Режим A Conventional Authenticated-Encryption Mode EAX
Данный режим работы блочного шифра, EAX предназначен для аутентифицированного шифрования со связанными данными (AEAD).
При заданном случайном числе N, сообщении М и заголовке H, режим предохраняет и секретность М, а также подлинность и М и H. Строки N, М, H Î {0,1} являются произвольными, и данный режим использует 2[M/n]+[H/n]+[N+n] запросы блочного шифра, когда эти строки не пусты, и n - длина блока основного блочного шифра. Среди характеристик метода EAX - то, что он является сетевым и фиксированный заголовок может быть предобработан, что эффективно снижает стоимость закрепления его в зашифрованный текст. EAX получен реализацией простого универсального композиционного метода, EAX2, и последующим слиянием его двух ключей в один.
EAX доказуемо стоек по стандартному сложностно-теоретическому допущению. EAX может быть альтернативой CCM, так как тоже не запатентован.
Описание режима:
Для начала введем функции, используемые в данном алгоритме:
Algorithm CTRNK (M) 20 m | |M|/n | 21 S EK(N)|| EK(N+1) … EK(N+m-1) 22 C M Å S [first |M| bits] 23 return C | Algorithm CBCK (M) 10 Let M1 …Mm M where |Mi| = n 11 C0 0n 12 for i =1 to m do 13 Ci EK(Mi ÅCi-1) 14 return Cm |
Algorithm pad (M; B; P) 30 if |M| Î {n; 2n; 3n;…} 31 then return M Å’ B, 32 else return (M || 10n-1-(|M| mod n) ) Å’ P | Algorithm OMACK (M) 40 L EK(0n); B 2L; P 4L 41 return CBCK(pad (M; B; P)); Algorithm OMACtK (M) 50 return OMACK([t]n || M) |
Здесь операция “Å’” – сложение по модулю 2 более короткой строки с концом более длинной.
Режим Counter with CBC-MAC (CCM)
Счетчик с режимом CBC-MAC (CCM) разработан, чтобы использовать блочный шифр с AES (Advanced Encryption Standard, улучшенный стандарт шифрования), или любые другие блочные шифры с размером блока 128 битов и больше, для обеспечения аутентификации и шифрования, используя единственный ключ блочного шифра, установленный заранее.
CCM предназначен для использования в пакетной среде; ввод открытого текста включает заголовок, который заверен, но не зашифрован, и полезный груз, который заверен и зашифрован.
CCM оперирует целыми пакетами; он не поддерживает ни частичную, ни потоковую обработку данных. Пакет должен быть целым числом октетов. Каждый пакет задается как единственное значение, так называемое «случайное число». Размер случайного числа определяет максимум количества пакетов, которые могут быть заверены и зашифрованы одним ключом блочного шифра. Общее количество октетов, защищенных единственным ключом, ограничено 264 октетов.
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 |
