Cryptography Reference
In-Depth Information
Blöcke. Mit den Bezeichnungen aus Definition 9.3.1 ist ein Etikett also nun von der Form
y
0
...y
m−
1
.
Aufgabe
9.8.6 (CBC-MAC für Nachrichten variabler Länge)
.
In dieser Aufgabe untersu-
chen wir die (Un-)sicherheit des CBC-MAC für Nachrichten variabler Länge.
a) Zeigen Sie, dass der CBC-MAC unsicher ist, falls er auf Nachrichten variabler Länge
angewendet werden darf.
b) Zeigen Sie, dass man auch keine Sicherheit erhält, wenn man die Blockanzahl
m
bei
einem
(
m·l
)
-Bitvektor
x
=
x
1
x
2
...x
m
als
(
m
+1)
-ten Block (geeignet kodiert,
m<
2
l
sei angenommen) an
x
anhängt und davon den üblichen CBC-MAC berechnet. Es
bezeichne CBC-MAC-APPEND den resultierenden MAC.
Hinweis: Es seien
b
,
b
und
c
drei
l
-Blöcke, mit
b
=
b
. Es sei weiter
0
l−
1
1
ein
l
-
Block, der die Zahl
1
kodiert. Betrachten Sie nun einen Fälscher für das CBC-MAC-
APPEND-Schema, der sein MAC-Orakel auf die drei Nachrichten
b
,
b
und
b
0
l−
1
1
·
·
c
anwendet, wobei, wie üblich, »
« die Konkatenation von Bitvektoren bezeichnet. Zei-
gen Sie, dass der Fälscher aus den drei zurückgelieferten Etiketten ein gültiges Etikett
(bzgl. CBC-MAC-APPEND) für eine neue Nachricht konstruieren kann. (Wählen Sie
die neue Nachricht von der Form
b
·
·
c
für einen geeignet gewählten
l
-Block
c
.)
Aufgabe
9.8.7 (CBC-MAC mit zufälligem Initialisierungsvektor)
.
Zeigen Sie, dass der
CBC-MAC unsicher ist, falls bei jeder Berechnung eines Etiketts der Initialisierungs-
vektor zufällig gewählt wird und dieser an den Anfang des Etiketts gehängt wird. Ein
Etikett hat also die Form
t
0
·
0
l−
1
1
·
t
1
,wobei
t
0
der Initialisierungsvektor ist und
t
1
das wie
üblich bzgl.
t
0
berechnete Etikett.
Aufgabe
9.8.8 (MACs und iterierte Hashfunktionen)
.
Es sei
f
eine
(
l,b
)
-Kompressions-
funktion,
p
eine MD-kompatible
(
r, b
)
-Füllfunktion,
u
l
ein Initialisierungsvektor
∈{
0
,
1
}
und
h
=
h
f,
u
die zugehörige iterierte MD-Hashfunktion.
a) Es sei
(
{
0
,
1
}
b
,T
)
ein MAC mit
T
(
x, k
):=
h
(
k·x
)
. Man zeige, dass dieser MAC un-
sicher ist, d. h., man konstruiere einen Angreifer auf diesen MAC, der einen großen
Vorteil im zugehörigen Experiment besitzt.
b) Diskutieren Sie auch (informell), warum
T
(
x, k
):=
h
(
x
·
k
)
eine ungeeignete Konstruk-
tion ist.
Aufgabe
9.8.9 (Sicherheit des Hash-then-MAC-Schemas)
.
Wir betrachten die Experimen-
te
E
F
weak
C
in Satz 9.4.1. Bestimmen Sie die Laufzeiten sowie die Anzahl der
Orakelanfragen und die Länge der an die Orakel gesendeten Nachrichten in diesen Expe-
rimenten im Vergleich zum Experiment
und
E
E
M
F
. Leiten Sie daraus, zusammen mit Satz 9.4.1,
präzise Aussagen über die Sicherheit des Hash-then-MAC-Schemas im Sinne von Defini-
tion 9.2.3 ab.
Aufgabe
9.8.10 (HMAC-kompatible Füllfunktion)
.
Zeigen Sie, dass für eine geeignete
Wahl der Parameter
b
,
l
und
r
die Merkle-Damgård-Füllfunktion (siehe Definition 8.4.4)
eine HMAC-kompatible
(
r, b, l
)
-Füllfunktion sowie eine MD-kompatible
(
r, b
)
-Füllfunkti-
on ist.
Aufgabe
9.8.11 (schwache vs. starke Kollisionsresistenz)
.
Wie in Abschnitt 9.4 erwähnt,
stellt die schwache Kollisionsresistenz nicht immer eine schwächere Anforderung an eine
Familie von Hashfunktionen dar als die starke Kollisionsresistenz. Mit anderen Worten