Cryptography is an indispensable tool for protecting information in computer systems. In this course you will learn the inner workings of cryptographic systems and how to correctly use them in real-world applications. The course begins with a detailed discussion of how two parties who have a shared secret key can communicate securely when a powerful adversary eavesdrops and tampers with traffic. We will examine many deployed protocols and analyze mistakes in existing systems. The second half of the course discusses public-key techniques that let two parties generate a shared secret key. Throughout the course participants will be exposed to many exciting open problems in the field and work on fun (optional) programming projects. In a second course (Crypto II) we will cover more advanced cryptographic tasks such as zero-knowledge, privacy mechanisms, and other forms of encryption.
PMAC and the Carter-Wegman MAC
Loading...
来自 Stanford University 的课程
Cryptography I
2621 个评分
从本节课中
Message Integrity
Week 3. This week's topic is data integrity. We will discuss a number of classic constructions for MAC systems that are used to ensure data integrity. For now we only discuss how to prevent modification of non-secret data. Next week we will come back to encryption and show how to provide both confidentiality and integrity. This week's programming project shows how to authenticate large video files. Even if you don't do the project, please read the project description --- it teaches an important concept called a hash chain.
与讲师见面
Dan BonehProfessor
Computer Science
在之前的两节课我们讨论了 将CBC-MAC和NMAC来将一个用于短消息的PRF
转化成用于更长消息的PRF 这两种结构是
按次序的 从这种意义上说如果你有 多个处理器你不能将这个
结构运行的更快。在这个 部分我们将关注一个也可以将
一个小PRF转化成大RPF的平行MAC 但通过一种非常
可平行化的方式 我们将特别 关注一种被称为PMAC
的平行MAC结构 用一个基础的PRF 去构成一个用于更大量消息的
PRF 特别是 这个PRF能 处理更长的消息以允许
多样性的长度存在并拥有尽可能多的 L 分组 现在这个结构运行
如下 我们将我们的消息 分解成分组 然后我们独立的
运行每一个分组 所以 我们要做的第一件事 是我们估算一些
函数 P 然后我们异或这个结果 成第一个消息分组 接下来我们
用一个密钥 k1 运行我们的函数F 我们对每一个消息分组进行一样的动作
然后你会发现我们能够 平行的进行 所有的消息分组都
独立于其他的运行 接着我们收集所有的结果总结进一些
最终的异或 然后我们再一次加密 以得到最终的标记值 现在由于一个
技术原因 事实上在 最后一个 我们实际上不需要应用
这个PRF F 但如我所说 由于技术原因 我将
暂时忽略这点 现在 我想要 解释这个函数P 代表什么和
它的作用 所以想象一下 就一秒 想象函数P 事实上并不
在这里 这就是 想象我们实际上 直接的将每一个消息分组
不加任何操作的放进PRF 然后我断言这个
结果的MAC是完全不安全的 原因是本质上没有命令被
执行于这些信息分组之中 尤其是 如果我交换两个信息分组
最终的标签值不会被改变 因为这个异或是交互的
不论我们是否交换这些分组 标签值都是一样的 因此 一个攻击者
可以请求面向指定信息的 标签 然后他索取到两个分组
交换的信息 那被视为一个存在
伪造 所以函数 P试图去做的是 根本上执行命令于那些
分组 然后你需要注意到这个函数 所取得值 首先 这是一个
所以它取用一个密钥作为输入值 其次 更重要的是 它取用分组数
作为输入值 换句话说 每个分组的
函数值都是不同的 并且这 事实上正是防止这个
分组交换攻击 所以函数P 事实上 是个非常易于计算的
函数 根本上特定的密钥和 信息分组 所有的一切 只是
一个在某些有限域的乘法 所以 这是一个运算起来非常非常简单
的函数 它仅仅增加了一点点 PMAC的运行时间 但是 它
足以保证这个PMAC 事实上是安全的 正如我们说过的 这个
PMAC的密钥是一对密钥 一个用于 PRF 另一个用于这个隐藏的
函数P 最后 我要告诉你 如果这个消息的长度不是
分组长度的倍数 就是说 想象最后一个分组短于
完整的分组的长度 那么PMAC实际上用了 一个类似于CMAC的填充 因此
没有必要加一个额外的虚构的 分组 这就是PMAC的
结构并且和往常一样 我们可以申明 它的安全法则 那么这个安全
法则 到现在为止 你应该掌握了 基本上 它告诉我如果你给我
一个对手攻击PMAC 我能够 建立一个对手攻击
隐藏的PRF 外加一个额外的差误 项 而因为这个PRF是
安全的 我们知道这个条目是 可忽略的 所以如果我们想让这个条目
可以被忽略 我们知道 我们需要这个 差误项也是可以被忽略的 这里 和
往常一样 q是使用一个特殊密钥的MAC-ed 信息的数字 然后L
是这些信息的最大长度 同时PMAC是安全的 只要
它的乘积小于这个模块 的平方根 所以对于A 对 这将是
2的128次方 而这个的平方根 由此得出 将是2的64 所以这个
MAC将是安全的 只要Q乘L 小于2的64次方 每一次
当它更接近那个值 当然 你需要改变密钥
来继续MAC更多的 消息 所以需要记住的要点是
PMAC也给我们一个PRF 而且 它运行时每一个消息分组独立于其他的
任何一个 结果发现PMAC也 有一个非常有趣的属性 话句话说
PMAC的数学是递增的 让我来 给你解释一下这意味着什么 现在假设
用于构建PMAC的函数F 不只是一个PRF 但是 事实上
是一个置换 PRF 所以我们实际上可以 在我们需要的时候转换它 现在假定
我们已经完成了一个特定 长消息m的MAC 然后现在
假设这个长消息只有 一个消息模块发生了改变 所以这里 m[1]
被换成'[m1] 但是 其余的消息分组都保持
不变 对于其他的MAC-s 比如CBC-MAC 即使只有一个消息分组被更改 你
将要重新计算整个消息 的标签 重新计算这个标签
所需要的时间基本上 与消息的长度成正比
事实证明 通过PMAC 如果我们只 更改一个分组 或者一小部分
分组 事实上 我们可以非常 非常快的再次计算新消息的
标签值 下面来让我问你一个问题 看你是否能够自己搞懂
这是怎么做到的 并且要记住 这个 函数F是一个PRF 因此是可逆的
所以来看一下你能不能自己 弄清楚如何在新消息中计算这个MAC
事实证明这是可以做到的 然后你能够用这里的第三行
很快的重新计算出这个新消息的标签 只想确认一下我们都看到了
这个的结果让我们回到 PMAC的原始图标然后我可以给你
展示我的意思 那么想象一下这一个 消息分组更改成了其他的
分组 比如说 他变成了M'[1] 接下来 我们可以做的是我们选取更改
之前的原始消息上的标签 这样我们能够转换函数F 然后
确定使用函数F之前的值 现在 既然我们已经有
包含一堆分组的一个异或 我们 可以做的是删除来自
原始消息模块的异或 基本上通过把来自原始信息
模块的值异或到这个 异或过的累加器 然后再把
应该来自新消息分组的值 异或会这个异或
累加器 接着再次运行函数F 这将提供给我们只有一个
更改过的分组的标签 所以 基本上 用符号表示 我写了
这里的这个公式 你能看出 基本上 我们解密这个标签 然后我们
异或这个来自原始消息分组 的分组 我们再一次异或这个
来自新消息的分组 接着我们重新给最终
异或累加器加密以得到 一个分组被更改的消息的标签 所以
这就是一种美好的特质 它一定程度的 表明了如果你有很大量的
消息 你能够很快的更新这些 标签 当然你会需要密钥
来完成更新 但如果你只有 很少量的信息分组需要被
更改 你可以很快的更新标签而这 总结了我们关于PMAC的讨论 现在
我想要暂时换一个话题 来 说一说关于一次性MAC的内容
基本上类似于一次性 密码本 但属于完整性的内容
那么让我通过这个来解释一下我所说的 想象一下我们想要构建一个
只用于一个消息的完整性的MAC 换句话说 每一次我们计算
指定消息的完整性的时候 我们也 更改这个密钥 那么任意指定密钥
只用于一条消息的完整性 然后我们能够将这个安保游戏
定义成 简单说 攻击者将看到 一条信息 因此 我们只允许他
进行一条选中的消息攻击 那么他 只能提交一次消息查询 并且他
得到了那一次消息查询所对应的 标签 那么他现在的目标是
去伪造一个消息认证标签数对 好的 那么你能看到他的目标是生成一个
能正确认证的消息标签数对 并且 要不同于他实际所给出的
数对 正如我们将要看到的 就像 一次性密码本和流加密很实用
一样 事实表明对于相同的应用 当我们想用一个密钥来
来为一条消息加密或提供完整性时 一次性MAC-s也相当实用
所以像往常一样我们 可以说一次性行为是安全的
因为基本上没有对手可以赢得 这个游戏 此时有意思的是
一次性MAC-s 就像一次性密码本 能够安全的对抗无限
强大的对手 同时不仅如此 因为他们被设计为一次性
安全保护 它们事实上能比 基于RPFs的MAC-s运行的更快
因此我只想给你一个简短的 一次性MAC的例子 这是一个
经典的一次性MAC结构 让我向你展示一下它是如何运行的
第一步是选一个比我们的分组 规模稍大一点的基础值 在这个例子里
我们将采用128位分组 所以 我们选择稍大于2的128次方
的基础值 比如说 2的128次方加51 此时密钥
将会是一对范围是1到我们的基础值 的随机的数字 那么就是1到q 所以我们
任意选择两个范围在1到q之间的整数 现在我们有一个给定的消息 那么我们
将要选取我们的消息把它 分解进128位一个的分组
接下来我们将把每个数字视为 一个在0到2的128次方范围内的整数
此时这个MAC被限定为如下 首先我们将选取
我们的消息分组 接着我们大概 从中构建多项式 那么
如果我们的消息中有L个分组 我们将构建L度的
多项式 同时你注意到多项式 中的常数项被设为0 那么
我们可以很简单的确定MAC 基本上我们要做的就是我们
选取对应消息的多项式 我们计算处于密钥的一半
的K点 然后我们加上剩下一半的
密钥值A 是的 这就是全部的MAC 就是
基础地构建对应我们 的消息的多项式 计算
位于密钥一半的多项式的值 接着在结果上加上剩下一半
密钥 然后减少最后的 结果模q 好了就是这样
那么整个的MAC 这是一个一次性安全的MAC 我们认为这个MAC是一
次性安全 本质上可以认为说 如果我告诉你一个特定消息
的MAC值 然后不告诉你 任何其他MAC的值
那么其结果是 即使 你已经看到了一个特定消息
的MAC值 你也没有任何机会 伪造其他消息上的这个MAC
现在我要强调的是这是一个 一次性MAC 但它保证不能二次安全
换句话说 如果如果你在两个 不同的消息上看到这个MAC
那么事实上这个密钥就完全 妥协了 这样实际上你可以通过
你的选择预测出第三或第四条消息的 MAC 由此这个MAC就变成可以伪造的了
但是作为一次性使用 它是一个非常 安全的MAC 同时我可以告诉你实际上
这也是一个估算起来非常快的MAC 那么现在我们已经构建了一次性MAC-s
发现实际上有一个通用的 技巧可以将一次性MAC-s
转化成多次的MAC-s 我只是想 简略的给你展示一下是如何做到的
那么假设我们有我们的一次性MAC 让我们用S和V来表示签名和
验证算法 让我们知识 假设这些标签本身有n位
串 另外 让我们也看一下一个 PRF 一个安全的PRF 这边恰好在
输出n位串的时候同时 输入n位串 那么现在我们确定
一个MAC的一般结构 这些 被称为Carter-Wegman(卡特-魏格曼)MAC-s
运行方式如下 基本上我们能做的 是我们将会对消息M应用
一次性MAC 接着我们将要 用PRF将结果加密 所以我们是
如何加密结果的呢? 我们随机 选择一个r然后我们通过
对r应用PRF计算出一个来自r 的一次性路径 然后我们用
实际的一次性MAC异或结果 因此这个结构漂亮的地方在于
这个高速的一次性MAC是运用于 可能长达千兆的长消息
而这个较慢的PRF只用于 后续用来加密这个MAC最终
结果的一次性随机数r 同时 你可以认为如果作为
构建块给我们的MAC是一 次性安全的MAC 同时PRF是安全的
那么 事实上 我们得到了一个输出是 2n位标签的多次安全MAC
这样我们将在之后讨论到 认证加密的时候再次见到
Carter-Wegman (卡特-魏格曼) MAC-s 事实上 一种用完整性进行加密的NIST标准方法
正是用了一个Carter-Wegman(卡特-魏格曼) MAC-s 来提供完整性 我想提一下
这个Carter-Wegman(卡特-魏格曼)MAC是 一个一次性随机数r根据每次计算的标签而
重新选择的随机MAC的很好的例子 因此举个例子如果你设法
将同一条消息的标签计算两遍 那么每次你将选择一个不同r
这样做的结果是你将分别获得 不同的表现 并且这也是非
伪随机数函数的MAC的 例子 并不是一个PRF 因为
一条消息其实可以被映射到很多 不同的标签 所有的标签都是应用于
同一条消息 总结一下我们关于 Carter-Wegman(卡特-魏格曼)MAC的讨论 让我
问你一下几个问题 这里是 Carter-Wegman(卡特-魏格曼)MAC的
方程式 和之前一样 你看到作为MAC 一部分的随机数r 而这个MAC的第二部分
我将标记为t 这基本上 是应用于消息M的一次性MAC
然后把伪随机数函数 应用于一次性随机数r
来加密 接着我们把这个 异或的结果标记为t 那么我的
问题是 J基于给定的用于指定消息的 Carter-Wegman(卡特-魏格曼) MAC对(r,t)
你如何验证这个MAC是有效的? 同时回忆一下这里的算法V
适用于基本的一次性MAC的 验证算法 这样正确答案
在这里 想知道为什么 只需要观察 这个把数量值t解密成
纯文本值的异或 这 基本上是原始的基本一次性
MAC 那么因此我们可以直接将 把这个输入进这个一次性MAC
的验证算法 最后一种 我想给你们介绍的MAC是
一种在网络协议中很流行的 叫做HMAC 但在介绍HMAC之前我们
需要讨论哈希函数 尤其是 耐冲突的哈希
函数 而这些内容我们将在下一个模块 进行 所以这就是我们第一个
MAC-s模块的结束 我想指出 构建所有我们看到的MAC-s
所用到的一个优美的理论 我给你突出展现了
主要的结构 但 事实上有不少理论
也参与了这些MAC-s的构建 如果你想知道更多相关内容
我列出了一些你可能想看 的关键的论文 让我很快的给你介绍
一下它们都是什么 第一个 被称为 三密钥结构 这是CMAC的
基础 这份精美的论文提供了 一种非常有效的CBC-MAC结构
第二份论文是一份更加技术性 的论文 但基本上展现了如何证明
CBC-MAC的界限是PRF 第三份论文讨论了PMAC和它的
结构 又一次 是一篇相当尖锐的论文 第四篇论文介绍了NMAC和
HMAC的安全性 我们将在 下一个模块介绍HMAC 我列出的
最后一篇论文提出了一个有趣的问题 回忆一下我们所有的结构 我们
总是假设ASE是一个用于 16位消息的伪随机函数 接着我们
就建立一个伪随机函数 也就是 一个用于更长消息的MAC
这篇论文提出 如果ASE不是 一个伪随机函数 但依然
满足一些较弱的安全属性 叫做 不可预测函数 我们该怎么做 接着
他们问如果AES只是一个不可预测 函数 而不是一个伪随机
函数 我们是否还能构建用于长消息 的MAC-s? 然后他们事实上成功地
给出只是基于AES是一个 不可预测函数的较弱的假设
的结构 但是他们的 结构远比不过我们这几节课
讨论过的CBC-MAC NMAC或PMAC 所以如果你
对如何通过像AES之类的 块加密构建MAC-s的不同角度
感兴趣 请看一下这篇论文 同时这个部分也有一些不错的
开放性问题可以来解答 这就结束了我们关于完整性的第一节课
在下一节课中 我们来讨论 抗碰撞性的内容
