CBC-MAC - CBC-MAC

Yilda kriptografiya, a shifr bloklarini zanjirlovchi xabarlarni tasdiqlash kodi (CBC-MAC) a ni qurish texnikasi xabarni tasdiqlash kodi dan blok shifr. Xabar ba'zi bir blok shifrlash algoritmi bilan shifrlangan CBC rejimi har bir blok avvalgi blokning to'g'ri shifrlanishiga bog'liq bo'ladigan bloklar zanjirini yaratish. Ushbu o'zaro bog'liqlik har qanday oddiy matnli bitning o'zgarishi yakuniy shifrlangan blokning blok shifrining kalitini bilmasdan turib bashorat qilish yoki unga qarshi tura olmaydigan tarzda o'zgarishiga olib kelishini ta'minlaydi.

Xabarning CBC-MAC-ni hisoblash uchun $m$ , bittasi shifrlaydi $m$ nol bilan CBC rejimida boshlash vektori va oxirgi blokni saqlaydi. Quyidagi rasm bloklarni o'z ichiga olgan xabarni CBC-MAC hisoblashini chizib beradi ${ displaystyle m_ {1} | m_ {2} | cdots | m_ {x}}$ maxfiy kalit yordamida $k$ va blok shifr $E$ :

Ruxsat etilgan va o'zgaruvchan uzunlikdagi xabarlar bilan xavfsizlik

Agar ishlatilgan blok shifr xavfsiz bo'lsa (bu a degan ma'noni anglatadi yolg'on tasodifiy almashtirish ), keyin CBC-MAC sobit uzunlikdagi xabarlar uchun xavfsizdir.^[1] Biroq, o'z-o'zidan, u o'zgaruvchan uzunlikdagi xabarlar uchun xavfsiz emas. Shunday qilib, har qanday bitta kalit faqat sobit va ma'lum uzunlikdagi xabarlar uchun ishlatilishi kerak. Buning sababi, ikkita xabar uchun to'g'ri xabar yorlig'ini (ya'ni CBC-MAC) biladigan tajovuzkor ${ displaystyle (m, t)}$ va ${ displaystyle (m ', t')}$ uchinchi xabarni yaratishi mumkin ${ displaystyle m ''}$ kimning CBC-MAC ham bo'ladi ${ displaystyle t '}$ . Bu birinchi blokni XORing qilish orqali amalga oshiriladi ${ displaystyle m '}$ bilan $t$ keyin biriktirish $m$ bu o'zgartirilgan bilan ${ displaystyle m '}$ ; ya'ni qilish orqali ${ displaystyle m '' = m | [(m_ {1} ' oplus t) | m_ {2}' | dots | m_ {x} ']}$ . Xabar uchun MACni hisoblashda ${ displaystyle m ''}$ , biz MACni hisoblaymiz $m$ odatdagi tarzda $t$ , ammo bu qiymat sahnadagi hisoblash uchun oldinga zanjirlanganda ${ displaystyle E_ {K _ { text {MAC}}} (m_ {1} ' oplus t)}$ biz birinchi xabarning MAC uchun olingan qiymati bilan eksklyuziv YOKI operatsiyani bajaramiz. Ushbu xabarning yangi xabarda mavjudligi, bekor qilinishini anglatadi va birinchi xabarda oddiy matn bloklaridan MACga hech qanday hissa qo'shmaydi. $m$ : ${ displaystyle E_ {K _ { text {MAC}}} (m_ {1} ' oplus t oplus t) = E_ {K _ { text {MAC}}} (m_ {1}')}$ va shuning uchun ${ displaystyle m ''}$ bu ${ displaystyle t '}$ .

Ushbu muammoni oxiriga xabar hajmidagi blok qo'shish bilan hal qilib bo'lmaydi.^[2] O'zgaruvchan uzunlikdagi xabarlar uchun xavfsiz bo'lishi uchun CBC-MAC-ni o'zgartirishning uchta asosiy usuli mavjud: 1) kirish uzunligidagi kalitlarni ajratish; 2) uzunlikni oldindan belgilash; 3) oxirgi blokni shifrlash.^[2] Bunday holatda, shuningdek, boshqa ish rejimidan foydalanish tavsiya etilishi mumkin, masalan, CMAC yoki HMAC o'zgaruvchan uzunlikdagi xabarlarning yaxlitligini himoya qilish.

Uzunlik oldindan

Bitta yechim - xabarning uzunligini birinchi blokga kiritish;^[3] aslida CBC-MAC xavfsizligi isbotlangan, chunki bir-birining old qo'shimchasi bo'lgan ikkita xabar ishlatilmasa va uzunlikni oldindan belgilash bu alohida holat bo'lsa.^[4] Agar ishlov berish boshlanganda xabar uzunligi ma'lum bo'lmasligi mumkin bo'lsa, bu muammoli bo'lishi mumkin.

Shifrlash-oxirgi blok

Shifrlash-oxirgi blok CBC-MAC (ECBC-MAC)^[5] sifatida belgilanadi $CBC-MAC-ELB (m, (k 1, k 2)) = E (k 2, CBC-MAC (k 1, m))$ .^[2] CBC-MAC-ni o'zgaruvchan uzunlikdagi xabarlarga kengaytirishning boshqa muhokama qilingan usullari bilan taqqoslaganda, shifrlash-oxirgi blok hisoblashning oxirigacha xabarning uzunligini bilishning hojati yo'qligi bilan afzaldir.

CBC-MAC shifrlash-oxirgi blokini hisoblash.

Hujum usullari

Ko'pgina kriptografik sxemalarda bo'lgani kabi, shifrlarni va boshqa protokollarni sodda ravishda ishlatish hujumlarga olib kelishi mumkin, bu esa kriptografik himoya samaradorligini pasaytiradi (yoki hatto foydasiz qiladi). Biz CBC-MAC-dan noto'g'ri foydalanish tufayli mumkin bo'lgan hujumlarni taqdim etamiz.^[6]

Shifrlash va autentifikatsiya qilish uchun bir xil tugmachadan foydalanish

Umumiy xatolardan biri shu kalitni qayta ishlatishdir $k$ CBC shifrlash va CBC-MAC uchun. Garchi turli xil maqsadlar uchun kalitni qayta ishlatish umuman yomon amaliyot bo'lsa-da, bu holda xato ajoyib hujumga olib keladi:

Aytaylik, Elis Bobga shifrlangan matn bloklarini yubordi ${ displaystyle C = C_ {1} | C_ {2} | dots | C_ {n}}$ . Etkazib berish jarayonida Momo Havo har qanday narsani buzishi mumkin ${ displaystyle C_ {1}, dots, C_ {n-1}}$ shifrlash-matn bloklari va u tanlagan bitlarning bittasini xohlaganicha sozlash, agar yakuniy blok bo'lsa, ${ displaystyle C_ {n}}$ , bir xil bo'lib qolmoqda. Ushbu misol uchun va umumiylikni yo'qotmasdan, biz shifrlash jarayonida ishlatiladigan initsializatsiya vektori nollarning vektori deb hisoblaymiz.

Bob xabarni olgach, avval u shifrlangan matn bloklari yordamida Elis qo'llagan shifrlash jarayonini o'zgartirib, xabarning parolini ochadi. ${ displaystyle C = C_ {1} | C_ {2} | cdots | C_ {n}}$ . Bobga Elisning asl nusxasi o'rniga etkazilgan buzilgan xabar ${ displaystyle C '= C_ {1}' | dots | C_ {n-1} ' | C_ {n}}$ .

Bob avval olingan maxfiy kalit yordamida olingan xabarni parolini ochadi $K$ tegishli oddiy matnni olish uchun. E'tibor bering, ishlab chiqarilgan barcha oddiy matnlar dastlab Elis yuborgan matndan farq qiladi, chunki Momo Havo so'nggi shifrlangan matn bloklaridan boshqasini o'zgartirdi. Xususan, yakuniy oddiy matn, ${ displaystyle P_ {n} '}$ , aslidan farq qiladi, ${ displaystyle P_ {n}}$ , Elis yuborgan; bo'lsa-da ${ displaystyle C_ {n}}$ bir xil, ${ displaystyle C_ {n-1} ' not = C_ {n-1}}$ , shuning uchun boshqa oddiy matn ${ displaystyle P_ {n} '}$ oldingi shifrlangan matn blokini parolini echgandan so'ng eksklyuziv-OR-ga zanjirlashda hosil bo'ladi ${ displaystyle C_ {n}}$ : ${ displaystyle P_ {n} '= C_ {n-1}' oplus E_ {K} ^ {- 1} (C_ {n})}$ .

Bundan kelib chiqadiki, endi Bob CBC-MAC-dan foydalanib autentifikatsiya yorlig'ini o'zi ochgan oddiy matnning barcha qiymatlari bo'yicha hisoblab chiqadi. Yangi xabar uchun yorliq, ${ displaystyle t '}$ , tomonidan berilgan:

{ displaystyle t '= E_ {K} (P_ {n}' oplus E_ {K} (P_ {n-1} ' oplus E_ {K} ( dots oplus E_ {K} (P_ {1}) '))))}

Ushbu ifodaning tengligiga e'tibor bering

{ displaystyle t '= E_ {K} (P_ {n}' oplus C_ {n-1} ')}

bu aniq ${ displaystyle C_ {n}}$ :

{ displaystyle t '= E_ {K} (C_ {n-1}' oplus E_ {K} ^ {- 1} (C_ {n}) oplus C_ {n-1} ') = E_ {K} (E_ {K} ^ {- 1} (C_ {n})) = C_ {n}}

va bundan kelib chiqadiki ${ displaystyle t '= C_ {n} = t}$ .

Shuning uchun, Momo Havo tranzitda shifrlangan matnni o'zgartirishi mumkin edi (bu qanday aniq matnga mos kelishini bilmasdan), umuman boshqacha xabar, ${ displaystyle P '}$ , ishlab chiqarilgan, ammo ushbu xabar uchun yorliq asl nusxaning yorlig'iga to'g'ri keldi va Bob tarkibida tranzit qilinganligini bilmagan edi. Ta'rifga ko'ra, xabarni tasdiqlash kodi singan agar biz boshqa xabarni topsak (oddiy matnli juftliklar ketma-ketligi) ${ displaystyle P '}$ ) oldingi xabar bilan bir xil teg ishlab chiqaradi, $P$ , bilan ${ displaystyle P not = P '}$ . Shundan kelib chiqadiki, ushbu foydalanish stsenariysida xabarni autentifikatsiya qilish protokoli buzilgan va Bob Elis unga xabar bermagan xabarni yuborgan deb aldangan.

Agar buning o'rniga biz shifrlash va autentifikatsiya qilish bosqichlari uchun turli xil tugmachalardan foydalansak, aytaylik ${ displaystyle K_ {1}}$ va ${ displaystyle K_ {2}}$ navbati bilan ushbu hujum bekor qilindi. O'zgartirilgan shifr-matn bloklarini parolini hal qilish ${ displaystyle C_ {i} '}$ oddiy matn satrini oladi ${ displaystyle P_ {i} '}$ . Biroq, MAC-ning boshqa kalitdan foydalanishi tufayli ${ displaystyle K_ {2}}$ , biz xuddi shu tegni ishlab chiqarish uchun xabarni tasdiqlash kodini hisoblashning oldingi bosqichida parolni echish jarayonini "bekor qila olmaymiz"; har biri o'zgartirilgan ${ displaystyle P_ {i} '}$ endi tomonidan shifrlangan bo'ladi ${ displaystyle K_ {2}}$ CBC-MAC jarayonida ma'lum bir qiymatgacha ${ displaystyle mathrm {MAC} _ {i} not = C_ {i} '}$ .

Ushbu misol, shuningdek, CBC-MACni to'qnashuvlarga chidamli bir tomonlama funktsiya sifatida ishlatib bo'lmasligini ko'rsatmoqda: agar bitta kalitga "xesh" qo'yadigan boshqa xabar yaratish ahamiyatsiz bo'lsa.

Boshlash vektorining qiymat jihatidan farqlanishiga ruxsat berish

Blok shifridan foydalanib ma'lumotlarni shifrlashda shifr bloklarini zanjirlash (yoki boshqa) rejimida an ni joriy qilish odatiy holdir boshlash vektori shifrlash jarayonining birinchi bosqichiga. Odatda ushbu vektorni tasodifiy tanlash talab qilinadi (a nonce ) va blok shifr ishlaydigan biron bir maxfiy kalit uchun takrorlanmasligi. Bu semantik xavfsizlikni ta'minlaydi, xuddi shu oddiy matnning bir xil shifrlangan matnga shifrlanmaganligini va tajovuzkorning aloqada bo'lishiga imkon beradi.

Xabarni autentifikatsiya qilish kodini hisoblashda, masalan CBC-MAC da, boshlash vektoridan foydalanish mumkin bo'lgan hujum vektori hisoblanadi.

Shifrlangan matn blokirovkalash zanjiri ishida oddiy matnning birinchi bloki eksklyuziv OR (yoki ${ displaystyle P_ {1} oplus IV}$ ). Ushbu operatsiyaning natijasi shifrlash uchun blok shifriga kirishdir.

Shunga qaramay, shifrlash va parolni echishni amalga oshirishda biz boshlang'ich vektorini oddiy matnga yuborishimiz kerak - odatda birinchi shifr matni blokining oldidagi blok kabi - oddiy matnning birinchi bloki parolini ochish va muvaffaqiyatli tiklash uchun. Agar MACni hisoblasak, biz boshlang'ich vektorini boshqa tomonga oddiy matnda etkazishimiz kerak, shunda ular xabardagi yorliqni ular hisoblagan qiymatga mos kelishini tekshirishlari mumkin.

Agar biz ishga tushirish vektorini o'zboshimchalik bilan tanlab olishga imkon bersak, unda bitta matn yorlig'ini ishlab chiqarishda oddiy matnning birinchi bloki potentsial ravishda o'zgartirilishi (boshqa xabarni uzatish) mumkin.

Xabarni ko'rib chiqing ${ displaystyle M_ {1} = P_ {1} | P_ {2} | nuqtalar}$ . Xususan, CBC-MAC uchun xabar yorlig'ini hisoblashda biz boshlang'ich vektorini tanladik ${ displaystyle IV_ {1}}$ Shunday qilib MACni hisoblash boshlanadi ${ displaystyle E_ {K} (IV_ {1} oplus P_ {1})}$ . Bu (xabar, teg) juftligini hosil qiladi ${ displaystyle (M_ {1}, T_ {1})}$ .

Endi xabarni yarating ${ displaystyle M_ {2} = P_ {1} '| P_ {2} | nuqtalar}$ . O'zgartirilgan har bir bit uchun ${ displaystyle P_ {1} '}$ , boshlash vektorini ishlab chiqarish uchun boshlash vektoridagi mos bitni aylantiring ${ displaystyle IV_ {1} '}$ . Bundan kelib chiqadiki, ushbu xabar uchun MACni hisoblash uchun biz tomonidan hisoblashni boshlaymiz ${ displaystyle E_ {K} (P_ {1} ' oplus IV_ {1}')}$ . Oddiy matndagi va boshlang'ich vektoridagi bitlar bir xil joylarda aylantirilganligi sababli, ushbu birinchi bosqichda modifikatsiya bekor qilinadi, ya'ni blok shifrining kiritilishi shu bilan bir xil bo'ladi ${ displaystyle M_ {1}}$ . Agar oddiy matnga qo'shimcha o'zgartirishlar kiritilmasa, boshqa xabar uzatilishiga qaramay, xuddi shu yorliq olinadi.

Agar boshlang'ich vektorini tanlash erkinligi olib tashlansa va CBC-MACning barcha tatbiq etilishi ma'lum bir boshlash vektoriga o'rnatilsa (ko'pincha nollarning vektori, lekin nazariy jihatdan, barcha dasturlar kelishgan taqdirda, har qanday narsa bo'lishi mumkin), bu hujum davom eta olmaydi.

Xulosa qilib aytganda, agar tajovuzkor MAC-ni tekshirish uchun ishlatiladigan IV-ni o'rnatishga qodir bo'lsa, u MAC-ni bekor qilmasdan birinchi ma'lumotlar blokini o'zboshimchalik bilan o'zgartirishi mumkin.

Bashoratli boshlash vektoridan foydalanish

Ba'zida IV xabarlarni takroriy hujumlarini oldini olish uchun hisoblagich sifatida ishlatiladi, ammo agar tajovuzkor MAC-ni tekshirish uchun qanday IV ishlatilishini taxmin qila oladigan bo'lsa, u avvalgi kuzatilgan xabarni birinchi ma'lumot blokini o'zgartirib, o'zgarishlarning o'rnini qoplash uchun takrorlashi mumkin. Tasdiqlash uchun foydalaniladigan IV, masalan, tajovuzkor xabarni kuzatgan bo'lsa ${ displaystyle M_ {1} = P_ {1} | P_ {2} | nuqtalar}$ bilan ${ displaystyle IV_ {1}}$ va biladi ${ displaystyle IV_ {2}}$ , u ishlab chiqarishi mumkin ${ displaystyle M_ {1} '= (P_ {1} oplus IV_ {1} oplus IV_ {2}) | P_ {2} | nuqtalar}$ bilan MAC tekshiruvidan o'tadi ${ displaystyle IV_ {2}}$ .

Eng oddiy qarshi choralar - uni ishlatishdan oldin IV ni shifrlash (ya'ni ma'lumotlarga IV ni oldindan belgilash). Shu bilan bir qatorda CFB rejimida MAC ishlatilishi mumkin, chunki CFB rejimida IV ma'lumotlar bilan XORed qilinmasdan oldin shifrlanadi.

Yana bir yechim (agar xabarni takroriy hujumlaridan himoya qilish zarur bo'lmasa) har doim nol vektor IV dan foydalanish kerak.^[7] Uchun yuqoridagi formulaga e'tibor bering ${ displaystyle M_ {1} '}$ bo'ladi ${ displaystyle M_ {1} '= (P_ {1} oplus 0 oplus 0) | P_ {2} | dots = P_ {1} | P_ {2} | dots = M_ {1}}$ . Shunday qilib, beri ${ displaystyle M_ {1}}$ va ${ displaystyle M_ {1} '}$ bir xil xabar, ta'rifi bo'yicha ular bir xil tegga ega bo'ladi. Bu soxtalashtirish emas, aksincha CBC-MAC-dan maqsadli foydalanish.

Algoritmni belgilaydigan standartlar

FIPS PUB 113 Kompyuter ma'lumotlarini tasdiqlash (endi eskirgan) AQSh hukumati standarti yordamida CBC-MAC algoritmini ishlatgan DES blok shifr sifatida.

CBC-MAC algoritmi teng keladi ISO / IEC 9797-1 MAC algoritmi 1.

Shuningdek qarang

CMAC - Har xil uzunlikdagi xabarlar uchun xavfsiz bo'lgan blok-shifrga asoslangan MAC algoritmi (tomonidan tavsiya etilgan NIST ).
OMAC va PMAC - Bloklash shifrlarini xabarlarni tasdiqlash kodlariga (MAC) aylantirishning boshqa usullari.
Bir tomonlama siqishni funktsiyasi - Hash funktsiyalari blok shifrlaridan amalga oshirilishi mumkin. Ammo shuni ta'kidlash kerakki, xavfsizlik va ulardan foydalanish o'rtasida sezilarli farqlar mavjud MAClar (masalan, CBC-MAC) va xeshlar.

Adabiyotlar

^ M. Bellare, J. Kilian va P. Rogauey. Shifr bloklarini zanjirlovchi xabarlarning autentifikatsiya kodining xavfsizligi. JCSS 61 (3): 362-399, 2000 yil.
^ ^a ^b ^v Bellare va boshqalarning 5-bo'limiga qarang.
^ ISO / IEC 9797-1: 1999 Axborot texnologiyalari - Xavfsizlik texnikasi - Xabarlarni tasdiqlash kodlari (MAC) - 1-qism: Blok shifridan foydalanadigan mexanizmlar, 6.1.3-band. To'ldirish usuli 3
^ C. Rackoff va S. Gorbunov. Blokni zanjirlovchi xabarni tasdiqlash kodining xavfsizligi to'g'risida.
^ http://spark-university.s3.amazonaws.com/stanford-crypto/slides/05.3-integrity-cbc-mac-and-nmac.pptx
^ Nima uchun men CBC-MAC-dan nafratlanaman tomonidan Metyu D. Yashil
^ Zamonaviy kriptografiyaga kirish, Jonathan Kats va Yuda Lindellning ikkinchi nashri

[BKR-1] M. Bellare, J. Kilian va P. Rogauey. Shifr bloklarini zanjirlovchi xabarlarning autentifikatsiya kodining xavfsizligi. JCSS 61 (3): 362-399, 2000 yil.

[:0-2] v Bellare va boshqalarning 5-bo'limiga qarang.

[3] ISO / IEC 9797-1: 1999 Axborot texnologiyalari - Xavfsizlik texnikasi - Xabarlarni tasdiqlash kodlari (MAC) - 1-qism: Blok shifridan foydalanadigan mexanizmlar, 6.1.3-band. To'ldirish usuli 3

[:1-4] C. Rackoff va S. Gorbunov. Blokni zanjirlovchi xabarni tasdiqlash kodining xavfsizligi to'g'risida.

[5] ttp://spark-university.s3.amazonaws.com/stanford-crypto/slides/05.3-integrity-cbc-mac-and-nmac.pptx

[6] Nima uchun men CBC-MAC-dan nafratlanaman tomonidan Metyu D. Yashil

[7] Zamonaviy kriptografiyaga kirish, Jonathan Kats va Yuda Lindellning ikkinchi nashri

[1]

[2]

[3]

[4]

[5]

[6]

[7]