Cryptography Reference
In-Depth Information
lige Funktion ist, woraus wiederum folgt, dass der NMAC ein sicherer MAC ist (siehe
Satz 9.3.1); analog für den HMAC, wobei man, wie in der Originalarbeit, wieder eine zu-
sätzliche Annahme für die Schlüsselableitung machen muss. Bellare betrachtet zudem die
schwächere Annahme, dass die Kompressionsfunktion als MAC aufgefasst werden kann,
verzichtet aber auch in diesem Fall auf die Annahme der (schwachen) Kollisionsresistenz
von
.
Während die in Abschnitt 8.7 angesprochenen Angriffe auf Hashfunktionen nicht di-
rekt etwas über die Pseudozufälligkeit ihrer Kompressionsfunktionen aussagen, stellt sich
die Frage, ob Hashfunktionen wie MD5 und SHA-1 die neuen in [13] gemachten Annah-
men erfüllen. Aktuelle Arbeiten (siehe etwa [105, 53, 75, 166] sowie Referenzen in diesen
Arbeiten) deuten leider darauf hin, dass man die Schwächen dieser Funktionen auch für
Angriffe auf NMAC/HMAC ausnutzen kann. Neben Angriffen auf die Pseudozufälligkeit
sowie die Eigenschaft als MAC von NMAC/HMAC werden dabei in diesen Arbeiten auch
Angriffe betrachtet, bei denen das Ziel ist, den verwendeten Schlüssel zu bestimmen. Es
sei betont, dass NMAC und HMAC unter Verwendung von als sicher erachteter Hashfunk-
tionen, einschließlich SHA-2 (auch der zukünfte Standard SHA-3 sollte darunter fallen),
von diesen Angriffen unberührt sind. Wie bereits in Abschnitt 8.7 erwähnt, ist abzusehen,
dass Hashfunktionen wie MD5 und SHA-1 bald ganz ausgedient haben werden.
Die in Abschnitt 9.7 kennengelernte Konstruktion, in der ein CPA-sicheres Krypto-
schema mit einem MAC kombiniert wird, ist auch in der Praxis weit verbreitet. Es ist
wohl bekannt, dass diese Konstruktion CCA-Sicherheit bietet (siehe [69, 23]). In [23, 112]
werden zudem andere Varianten für die Kombination CPA-sicherer Kryptoschemen und
MACs untersucht. Die Arbeit von Krawczyk [112] ist dabei dadurch motiviert, dass in
den Protokollen SSL/TLS, IPsec und SSH, die dazu dienen, Kommunikationspartnern
einen vertraulichen und authentischen Kommunikationskanal zu bieten, jeweils unter-
schiedliche Kombinationen verwendet werden. Die Arbeit von Bellare und Namprempre
[23] zielt dabei eher auf den in dieser Arbeit geprägten Begriff der im Englischen soge-
nannten
authenticated encryption
ab, der verlangt, dass die Verschlüsselung sowohl die
Vertraulichkeit also auch die Integrität einer Nachricht gewährleistet. In neueren Ansät-
zen werden eziente Betriebsarten für Block-Kryptosysteme betrachtet, die eine solche
Art der Verschlüsselung gewährleisten und als solches auch für die Realisierung sicherer
Kommunikationskanäle verwendet werden können (siehe zum Beispiel [28] und Referen-
zen in dieser Arbeit).
H
