Cryptography Reference
In-Depth Information
die Variante, bei der die Länge der Nachricht hinten als Block angefügt wird, unsicher
(siehe Aufgabe 9.8.6). Eine andere Variante des CBC-MACs, die ebenfalls Sicherheit für
Nachrichten unterschiedlicher Länge bietet, wurde unter der Bezeichnung CMAC vom Na-
tional Institute of Standards and Technology (NIST) veröffentlicht (siehe Abschnitt 9.9
für weitere Angaben).
Die gerade geführte Diskussion zeigt, dass kleine, zunächst plausibel erscheinende
Änderungen in der Konstruktion von MACs dazu führen können, dass ein MAC völ-
lig unsicher wird. Dies unterstreicht die Notwendigkeit, die Sicherheit kryptographischer
Konstruktionen zu beweisen, auch über den konkreten Fall der MACs hinaus.
9.4
Authentifizierungsschemen basierend auf Hashfunktionen
Wir beschreiben nun ein allgemeines Konstruktionsprinzip für MACs, mit dem man aus
einem MAC für Nachrichten fester und kurzer Länge und einer Familie von (schwach)
kollisionsresistenten Hashfunktionen einen MAC für Nachrichten beliebiger oder großer
Länge konstruieren kann. Was in diesem Zusammenhang »schwach« bedeutet, werden
wir noch definieren.
Das Hash-then-MAC-Schema. Bei diesem Schema wird zur gegebenen Nachricht
zunächst der Hashwert berechnet und dann wird für den Hashwert ein Etikett berechnet.
Dadurch, dass zunächst ein Hashwert berechnet wird, wird die Nachricht auf einen kur-
zen Bitvektor »komprimiert«, was Komplikationen, die durch die iterierte Berechnung
eines Etiketts auftreten könnten, wie etwa diejenigen, mit denen wir in der am Ende von
Abschnitt 9.3.1 vorgestellten Konstruktion zu kämpfen hatten, direkt ausschließt. Außer-
dem ist die Berechnung eines Hashwertes sehr e
zient möglich, was insgesamt zu einem
praktikablen Ansatz führt.
Es gibt mehrere Möglichkeiten, dieses allgemeine Konstruktionsprinzip zu instanziie-
ren. Zum Beispiel kann man eine der in Kapitel 8 kennengelernten Familien kollisionsre-
sistenter Hashfunktionen mit einem in Abschnitt 9.3 vorgestellten MAC für Nachrichten
fester Länge kombinieren. Eine andere Art der Instantiierung, die auf iterierten Hash-
funktionen basiert, werden wir in den Abschnitten 9.5 und 9.6 kennenlernen. Diese Kon-
struktion hat, unter dem Namen HMAC, Eingang in einen Standard gefunden (siehe
Abschnitt 9.9).
Das allgemeine Konstruktionsprinzip ist in folgender Definition festgehalten.
Definition 9.4.1 (Hash-then-MAC). Es sei
h
k
}
k∈K
H
eine Familie
(
L, n
)
-be-
schränkter Hashfunktionen mit
L>n>
0
. Es sei weiter
p
:
{
0
,
1
}
H
=
{
n
→{
0
,
1
}
r
,für
r ≥ n
,
r
,l
)
-Authentifizie-
rungsschema. Dann ist HashMAC
[
H ,p,M
]
das symmetrische
(
L, l
)
-Authentifizierungs-
schema, das gegeben ist durch
eine injektive Funktion und
M
=(
K
M
,T
)
ein symmetrisches
(
{
0
,
1
}
HashMAC
[
H ,p,M
]=(
K
H
× K
M
,T
)
mit
T
(
x,
(
k
h
,k
m
))=
T
(
p
(
h
k
h
(
x
))
,k
m
)
}
≤L
und
(
k
h
,k
m
)
für alle
x
∈{
0
,
1
∈
K
H
×
K
M
.
