Sicherheitsspiel Mac-forge

Message Authentication Code (MAC)

Szenario:Integrität und Authentizität mittels MACs.

Alice und Bob besitzen gemeinsamen Schlüsselk.

Alice berechnet fürmeinen MAC-Tagt als Funktion vonmundk. Alice sendet das Tupel(m,t)an Bob.

Bob verifiziert, dasstein gültiger Tag fürmist.

DefinitionMessage Authentication Code (MAC) EinMessage Authentication Code (MAC)bzgl. des NachrichtenraumenMbesteht aus den ppt Alg.

1 Gen:k ←Gen(1ⁿ)

2 Mac:Bei Eingabe vonk undm∈ Mberechnet ←Mac_k(m).

3 Vrfy:Bei Eingabe(m,t)und Schlüsselk berechne (

Sicherheitsspiel Mac-forge

SpielSicherheit von MACs Mac-forge

SeiΠein MAC mit Sicherheitsparameternund AngreiferA.

1 k ←Gen(1ⁿ)

2 (m,t)← A^Mack(·)(1ⁿ). SeiQdie Menge allerMac_k(·)-Anfragen vonAan sein Orakel.

3 Mac-forge_A,Π(n) =

(1 fallsVrfy_k(m,t) =1undm∈/Q

0 sonst .

DefinitionSicherheit eines MACs

Ein MACΠheißtexistentiell unfälschbar gegenüber adaptiv gewählten Angriffenbzw. kurzsicherfalls für alle ppt AngreiferAgilt

Ws[Mac-forge_A,Π(n) =1]≤negl(n).

Sicherheitsspiel Mac-forge

Mac−forge_A,Π(n)

k←Gen(1ⁿ)

ti=Mack(mi)∀i

Ausgabe:

(1if Vrfy_pk(m, t) = 1 0else

1ⁿ

m_i ti

(m, t)

A

mi ∈ M i= 1, . . . , q

Berechne: (m, t) m∈ M\{mi}∀i

Replay Angriffe

Szenario:Replay Angriff

Alice schickt an ihre Bank eine authentisierte Zahlungsanweisung (m,t)über 100 Euro zugunsten Bob’s Konto.

Aufgrund der MAC-Sicherheit kann Bob den Betrag nicht ändern.

Die MAC-Sicherheit verhindert nicht, dass Bob(m,t)abfängt und dieselbe Nachricht(m,t)weitere Male an die Bank versenden.

Abhilfe: Verwenden Nummerierung oder Zeitstempel.

Seriennummer:

Berechnen MAC voni||mfür eindeutigei.

MAC-Sicherheit:Akann nicht MAC füri⁰||mberechnen.

Zeitstempel:

Sender berechnet MAC vonSystemzeit||m.

Empfänger verifiziert, dass dieSystemzeit aktuell ist.

Konstruktion eines sicheren MACs fester Länge

Algorithmus MACΠMAC fester Länge

SeiF eine Pseudozufallsfunktion mit Blocklängen. Wir konstruieren einen MAC für Nachrichtenm∈ {0,1}ⁿ.

1 Gen:Wählek ∈_R {0,1}ⁿ.

2 Mac:Fürm,k ∈ {0,1}ⁿberechnet:=F_k(m).

3 Vrfy:Für(m,t)∈ {0,1}ⁿ× {0,1}ⁿundk ∈ {0,1}ⁿ Ausgabe=

(1 fallst =F_k(m)

0 sonst .

Sicherheit von Π

SatzSicherheit vonΠMAC

SeiF eine Pseudozufallsfunktion. Dann istΠ_MAC sicher.

Beweis:

SeiAein Angreifer fürΠ_MAC mit Erfolgsws(n).

Wir konstruieren UnterscheiderDfür Pseudozufallsfunktionen.

Algorithmus UnterscheiderD

EINGABE: 1ⁿ,O:{0,1}ⁿ→ {0,1}ⁿmitO=F_k(·)oderO=f(·).

1 (m,t)← A^Mack(·), beantworteMac_k(m⁰)-Anfragen mitt⁰ :=O(m⁰).

2 SeiQdie Menge aller vonAgestelltenMac_k(·)-Anfragen.

AUSGABE=

(1 fallst⁰ =O(m⁰)∧m⁰∈/ Q, (Interpretation:O=F_k(·)) 0 sonst (Interpretation:O=f(·))

Sicherheit von Π

O ∈ {F_k, f}

Ausgabe

UnterscheiderD

t_i=O(m_i)

Ausgabe:

(O=F_k ifO(m) =t O=f else

1ⁿ

m_i ti

(m, t)

A

∀i≤q, m⁰_i∈ M Q={m1, mq} Berechne: (m, t) m∈ M\Q

Sicherheit von Π

Fall 1:O=F_k(·), d.h. das Orakel ist eine Pseudozufallsfunktion.

Dann ist die Verteilung fürAidentisch zum ProtokollΠ_MAC. Damit gilt

Ws[D^Fk(·)(n) =1] =Ws[Mac-forge_A,Π

MAC(n) =1] =(n).

Fall 2:O=f(·), d.h. das Orakel ist eine echte Zufallsfunktion.

SeiΠ⁰ das ProtokollΠ_MAC mitf(·)stattF_k(·).

Für allem∈/Qistt =f(m)uniform verteilt in{0,1}ⁿ. Damit gilt

Ws[D^f(·)(n) =1] =Ws[Mac-forge_A,Π⁰(n) =1] = ₂¹n. Aus der Pseudozufälligkeit vonF_k folgt für alle pptD

negl(n)≥

Ws[D^Fk(·)(n) =1]−Ws[D^f(·)(n) =1]

=|−₂¹n|.

Damit folgt≤negl(n) +₂¹n =negl(n)für alle ppt AngreiferA.

Von fester zu variabler Länge

Ziel:Konstruiere MAC fürm=m₁. . .m<sub>`</sub> für variable Blockzahl`.

Überlegungen zu einer sicheren MAC-Konstruktion:

MAC des XOR der Blocks, d.h.t :=Mac_k(L` i=1m_i).

Problem: Tagtist z.B. gültig fürm₁m₂m₃. . .m_`.

MAC jeden Blocks, d.h.t=t₁. . .t_`fürt_i :=Mac_k(m_i).

Problem:t⁰ =t₂t₁t₃. . .t_{`</sub>ist gültig fürm<sup>0</sup> =m<sub>2</sub>m<sub>1</sub>m<sub>3</sub>. . .m<sub>`}. MAC mit Block-Seriennummer, d.h.t_i :=Mac_k(i||m_i).

Problem:t⁰ =t₁. . .t_{`−1</sub>ist gültig fürm<sup>0</sup> =m<sub>1</sub>. . .m<sub>`−1}. MAC mit Nachrichtenlänge, d.h.t_i :=Mac_k(`||i||m_i).

Problem: Seient =t₁. . .t_{`</sub>,t<sup>0</sup> =t<sub>1</sub><sup>0</sup> . . .t<sub>`}⁰ gültig fürm,m⁰. Dann ist

0 0

Sicherer MAC für Nachrichten variabler Länge

Algorithmus MACΠ_MAC2 variabler Länge

SeiΠ⁰ = (Gen⁰,Mac⁰,Vrfy⁰)ein MAC für Nachrichten der Längen.

1 Gen:k ←Gen(1ⁿ)

2 Mac:Seik ∈ {0,1}ⁿundm=m₁. . .m<sub>`</sub>∈({0,1}<sup>n4</sup>)<sup>`</sup>. Wähler ∈_R{0,1}ⁿ⁴ und berechne

t_i ←Mac_k⁰(r||`||i||m<sub>i</sub>)füri =1, . . . , `,

mit Kodierungen`,i ∈ {0,1}<sup>n4</sup>. Ausgabe des Tagst = (r,t<sub>1</sub>. . .t<sub>`</sub>).

3 Vrfy:Für(m,t) = (m₁. . .m_{`</sub>,r,t<sub>1</sub>, . . . ,t<sub>`}) Ausgabe=

(1 fallsVrfy_k⁰(r||`||i||m<sub>i</sub>,t<sub>i</sub>) =1füri =1, . . . , `

0 sonst .

Anmerkung:

Benötigen` <2<sup>n4</sup>, sonst kann`nicht mit ⁿ₄ Bits kodiert werden.

Sicherheit von Π

SatzSicherheit vonΠ_MAC2

SeiΠ⁰ sicher. Dann istΠ_MAC2ebenfalls sicher.

Beweis:

SeiAein Angreifer fürΠ_MAC2mit Erfolgsws(n).

Wir konstruieren einen AngreiferA⁰fürΠ⁰. Algorithmus AngreiferA⁰

EINGABE: 1ⁿ, OrakelMac_k⁰(·).

1 BeantworteMac_k(m¹_j . . .m<sup>`</sup><sub>j</sub><sup>0</sup>)-Anfragen vonAwie folgt: Wähle r<sub>j</sub> ∈<sub>R</sub> {0,1}<sup>n4</sup> und berechne¯t<sub>j</sub><sup>i</sup> =Mac<sup>0</sup><sub>k</sub>(r<sub>j</sub>||`||i||mⁱ_j)füri=1, . . . , `.

2 (m,t) = (m¹. . .m^{`</sup>,r,t<sup>1</sup>. . .t<sup>`})← A^Mack(·)(1ⁿ).

Sicherheit von Π

Mac−forge_A0,Π0(n)

k←Gen⁰(1ⁿ)

¯tⁱ_j=Mac⁰_k m¯ⁱ_j

Q⁰=S

i,jm¯ⁱj

Ausgabe: 1, falls Vrfy⁰_k( ¯mⁱ, tⁱ) = 1 undmⁱ∈/Q⁰

1ⁿ

¯ mⁱ_j

¯tⁱ_j

( ¯mⁱ, tⁱ)

A⁰

rj∈R{0,1}^n/4

¯

mⁱ_j=rj||`||i||m<sup>i</sup><sub>j</sub> f¨uri= 1, . . . , ` tj= (rj,¯t¹j, . . . ,¯t^`j)

Suche ein nicht angefragtes

¯

mⁱ:=r||`||i||mⁱ

mit g¨ultigem Tag tⁱin (m, t).

1ⁿ

m_j

t_j (m, t)

A

W¨ahleQ⊂ Mmit Q={m1, . . . , mq}, mj=m¹_j, . . . , m^`_j undmⁱ_j∈ {0,1}ⁿ⁴.

Berechne t= (r, t¹, . . . , t^`) f¨ur einm /∈Q

Sicherheit von Π

Wir definieren die folgenden Ereignisse

Forge: Ein Blockm¯ⁱ =r||`||i||mⁱ in(m,t)wurde nicht an Mac⁰_k(·) angefragt, aber Vrfy⁰_k( ¯mⁱ,tⁱ) =1.

Repeat: Bei 2 MAC-Anfragen wird dasselber_i =r_j verwendet.

Aufgrund der Sicherheit vonΠ⁰gilt negl(n) ≥ Ws[Mac-forge_A⁰_,Π⁰(n) =1]

= Ws[Mac-forge_A,Π

MAC2(n) =1∧Forge]

= (n)−Ws[Mac-forge_A,Π

MAC2(n) =1∧Forge]

= (n)−Ws[Mac-forge_A,Π

MAC2(n) =1∧Forge∧Repeat]

| {z }

1

−Ws[Mac-forge (n) =1∧Forge∧Repeat]

Sicherheit von Π

zu zeigen:Ws[Repeat]≤negl(n)

Seiq(n)die Anzahl der MAC-Anfragen vonAanA⁰. Bei deri-ten MAC-Anfrage wähleA⁰den Identifikatorr_i. Repeat tritt ein, fallsr_i =r_j für eini6=j. Sei dies EreignisE_i,j. Nach Geburtstagsparadoxon gilt:

Ws[Repeat] =Ws [

1≤i<j≤q(n)

E_i,j

≤ X

1≤i<j≤q(n)

Ws[E_i,j]

≤ q(n)²

2ⁿ⁴ =negl(n).

Sicherheit von Π

zu zeigen:Ws[Mac-forge_A,Π

MAC2(n) =1∧Forge∧Repeat] =0 Idee:Mac-forge_A,ΠMAC2(n) =1 undRepeat impliziertForge.

Sei(m,t) = (m¹. . .m^{`</sup>,r,t<sup>1</sup>. . .t<sup>`})die Ausgabe vonA.

Fall 1:Identifikatorr unterscheidet sich von allenr_i.

Dann ist (z.B.)r||`||1||m¹nicht-angefragt mit gültigem Tagt¹. Fall 2:r =r_i für genau eini ∈[q(n)].

Seim_i =m¹_i . . .m^`_iⁱ die vonAangefragte Nachricht.

Fall`6=`i: Dann istr||`||1||m<sup>1</sup>nicht-angefragt mit gültigem Tagt<sup>1</sup>. Fall`=`_i: Wegenm∈/ Qgiltm6=m_i.

D.h. es existiert einj, so dassm^j 6=m^j_i.

Damit wurder||`||j||m^j nicht angefragt. Tagt^j ist dafür gültig.