Message Authentication Code (MAC) Szenario:

(1)

Message Authentication Code (MAC)

Szenario: Integrität und Authentizität mittels MACs.

Alice und Bob besitzen gemeinsamen Schlüssel k .

Alice berechnet für m einen MAC-Tag t als Funktion von m und k . Alice sendet das Tupel(m,t)an Bob.

Bob verifiziert, dass t ein gültiger Tag für m ist.

Definition Message Authentication Code (MAC)

Ein Message Authentication Code (MAC) besteht aus den ppt Alg.

1 Gen: k ←Gen(1ⁿ)

2 Mac: Bei Eingabe von k und m∈ {0,1}^∗ berechne t ←Mac_k(m).

3 Vrfy: Bei Eingabe(m,t)und Schlüssel k berechne (1 fallstein gültiger MAC fürmist

(2)

Sicherheitsspiel Mac-forge

Spiel Sicherheit von MACs Mac-forge

SeiΠein MAC mit Sicherheitsparameter n und AngreiferA.

1 k ←Gen(1ⁿ)

2 (m,t)← A^Mac^k⁽^·⁾(1ⁿ). Sei Q die Menge aller Mac_k(·)-Anfragen vonAan sein Orakel.

3 Mac-forgeA,Π(n) =

(1 fallsVrfy(m,t) =1undm∈/Q

0 sonst .

Definition Sicherheit eines MACs

Ein MACΠheißt existentiell unfälschbar gegenüber adaptiv gewählten Angriffen bzw. kurz sicher falls für alle ppt AngreiferAgilt

Ws[Mac-forgeA,Π(n) =1]≤negl(n).

(3)

Sicherheitsspiel Mac-forge

Mac−forgeA,Π(n) k←Gen(1ⁿ)

ti=Mack(mi)∀i

Ausgabe:

(1if Vrfypk(m, t) = 1 0else

1ⁿ

mi

ti

(m, t)

A

mi∈ M i= 1, . . . , q Berechne: (m, t) m∈ M\{mi}∀i

(4)

Replay Angriffe

Szenario: Replay Angriff

Alice schickt an ihre Bank eine authentisierte Zahlungsanweisung (m,t)über 100 Euro zugunsten Bob’s Konto.

Aufgrund der MAC-Sicherheit kann Bob den Betrag nicht ändern.

Die MAC-Sicherheit verhindert nicht, dass Bob(m,t)abfängt und dieselbe Nachricht(m,t)weitere Male an die Bank versenden.

Abhilfe: Verwenden Nummerierung oder Zeitstempel.

Seriennummer:

Berechnen MAC von i||m für eindeutige i.

MAC-Sicherheit:Akann nicht MAC für i^′||m berechnen.

Zeitstempel:

Sender berechnet MAC von Systemzeit||m.

Empfänger verifiziert, dass die Systemzeit aktuell ist.

(5)

Konstruktion eines sicheren MACs fester Länge

Algorithmus MAC Π^MAC fester Länge

Sei F eine Pseudozufallsfunktion mit Blocklänge n. Wir konstruieren einen MAC für Nachrichten m ∈ {0,1}ⁿ.

1 Gen: Wähle k ∈R {0,1}ⁿ.

2 Mac: Für m,k ∈ {0,1}ⁿberechne t :=F_k(m).

3 Vrfy: Für(m,t)∈ {0,1}ⁿ× {0,1}ⁿund k ∈ {0,1}ⁿ Ausgabe=

(1 fallst =F_k(m)

0 sonst .

(6)

Sicherheit von Π

MAC

Satz Sicherheit vonΠ^MAC

Sei F eine Pseudozufallsfunktion. Dann istΠ_MAC sicher.

Beweis:

SeiAein Angreifer fürΠ_MAC mit Erfolgswsǫ(n).

Wir konstruieren Unterscheider U für Pseudozufallsfunktionen.

Algorithmus Unterscheider U

EINGABE: 1ⁿ,O:{0,1}ⁿ→ {0,1}ⁿmitO=F_k(·)oderO=f(·).

1 (m,t)← A^Mac(^·⁾, beantworte Mac(m^′)-Anfragen mit t^′ :=O(m^′).

2 Sei Q die Menge aller vonAgestellten Mac(·)-Anfragen.

AUSGABE=

(1 fallst^′ =O(m^′),m^′ ∈/ Q, Interpretation:O=F_k(·) 0 sonst, Interpretation:O=f(·) .

(7)

Sicherheit von Π

MAC

O ∈ {Fk, f}

Ausgabe

UnterscheiderD

ti=O(mi)

Ausgabe:

(O=Fk ifO(m) =t O=f else

1ⁿ

mi

ti

(m, t)

A

∀i≤q, m^′i∈ M Q={m1, mq} Berechne: (m, t) m∈ M\Q

(8)

Sicherheit von Π

MAC

Fall 1:O=F_k(·), d.h. das Orakel ist eine Pseudozufallsfunktion.

Dann ist die Verteilung fürAidentisch zum ProtokollΠ_MAC. Damit gilt

Ws[U^F^k⁽^·⁾(n) =1] =Ws[Mac-forgeA,ΠMAC(n) =1] =ǫ(n).

Fall 2:O=f(·), d.h. das Orakel ist eine echte Zufallsfunktion.

SeiΠ^′ das ProtokollΠMAC mit f(·)statt F_k(·).

Für alle m∈/Q ist t =f(m)uniform verteilt in{0,1}ⁿ. Damit gilt

Ws[U^f(^·⁾(n) =1] =Ws[Mac-forgeA,Π^′(n) =1] = ₂¹n. Aus der Pseudozufälligkeit von F_k folgt für alle ppt U

negl(n)≥

Ws[U^F^k⁽^·⁾(n) =1]−Ws[U^f⁽^·⁾(n) =1]

=|ǫ−₂¹n|.

Damit folgtǫ≤negl(n) +₂¹n =negl(n)für alle ppt AngreiferA.

(9)

Von fester zu variabler Länge

Ziel: Konstruiere MAC für m=m₁. . .m_ℓ für variable Blockzahlℓ.

Überlegungen zu einer sicheren MAC-Konstruktion:

MAC des XOR der Blocks, d.h. t :=Mac_k(Lℓ i=1m_i).

Problem: Tag t ist z.B. gültig für m₁m₂m₃. . .m_ℓ.

MAC jeden Blocks, d.h. t =t₁. . .t_ℓfür t_i :=Mac_k(m_i).

Problem: t^′ =t₂t₁t₃. . .t_ℓist gültig für m^′ =m₂m₁m₃. . .m_ℓ. MAC mit Block-Seriennummer, d.h. t_i :=Mac_k(i||mi).

Problem: t^′ =t₁. . .t_ℓ−1ist gültig für m^′ =m₁. . .m_ℓ−1. MAC mit Nachrichtenlänge, d.h. t_i :=Mac_k(ℓ||i||mi).

Problem: Seien t =t₁. . .t_ℓ, t^′ =t₁^′ . . .t_ℓ^′ gültig für m,m^′. Dann ist

′ ′

(10)

Sicherer MAC für Nachrichten variabler Länge

Algorithmus MAC ΠMAC2 variabler Länge

SeiΠ^′ = (Gen^′,Mac^′,Vrfy^′)ein MAC für Nachrichten der Länge n.

1 Gen: k ←Gen(1ⁿ)

2 Mac: Sei k ∈ {0,1}ⁿund m=m₁. . .m_ℓ∈({0,1}ⁿ⁴)^ℓ. Wähle r ∈_R{0,1}ⁿ⁴ und berechne

t_i ←Mac_k^′(r||ℓ||i||m_i)für i =1, . . . , ℓ,

mit Kodierungenℓ,i ∈ {0,1}ⁿ⁴. Ausgabe des Tags t = (r,t₁. . .t_ℓ).

3 Vrfy: Für(m,t) = (m1. . .m_ℓ,r,t₁, . . . ,t_ℓ) Ausgabe=

(1 fallsVrfy_k^′(r||ℓ||i||mi,t_i) =1füri =1, . . . , ℓ

0 sonst .

Anmerkung:

Benötigenℓ <2ⁿ⁴, sonst kannℓnicht mit ⁿ₄ Bits kodiert werden.

(11)

Sicherheit von Π

MAC2

Satz Sicherheit vonΠMAC2

SeiΠ^′ sicher. Dann istΠMAC2 ebenfalls sicher.

Beweis:

SeiAein Angreifer fürΠ_MAC2 mit Erfolgswsǫ(n).

Wir konstruieren einen AngreiferA^′fürΠ^′. Algorithmus Angreifer A^′

EINGABE: 1ⁿ, Orakel Mac_k^′(·).

1 Beantworte Mac_k(m^′₁. . .m_ℓ^′_′)-Anfragen vonAwie folgt: Wähle r^′ ∈R {0,1}ⁿ⁴ und berechne t_i^′ =Mac_k^′(r^′||ℓ^′||i||m^′_i)für i =1, . . . , ℓ^′.

2 (m,t) = (m . . .m,r,t . . .t)← A^Mac^k⁽^·⁾(1ⁿ).

(12)

Sicherheit von Π

MAC2

Mac−forge_A′,Π′(n)

k←Gen^′(1ⁿ)

¯t^(j)_i ←Mac^′_k( ¯m^(j)_i )

Q^′=S

i,jm¯^(j)_i

Ausgabe: 1, falls Vrfy^′_k( ¯mi, ti) = 1 undmi∈/Q^′

1ⁿ

¯ m^(j)_i

¯t^(j)_i

( ¯mi, ti)

A^′

r^(j)∈R{0,1}ⁿ^/⁴

¯

m^(j)_i =r^(j)||ℓ^′||i||m^(j)_i f¨uri= 1, . . . , ℓ^′

t^(j)= (r^(j),¯t^(j)₁ , . . . ,¯t^(j)_ℓ′ ) Suche ein nicht angefragtes

¯

mi:=r||ℓ||i||mi

mit g¨ultigem Tag ti in(m, t).

1ⁿ m^(j)

t^(j) (m, t)

A

W¨ahleQ⊂ Mmit Q={m⁽¹⁾, . . . , m^(q)}, m^(j)=m^(j)₁ , . . . , m^(j)_ℓ′

undm^(j)_i ∈ {0,1}ⁿ4.

Berechne t= (r, t1, . . . , tℓ) f¨ur einm /∈Q