17、消息认证码与CCA安全认证加密技术解析

消息认证码与CCA安全认证加密技术解析

信息论消息认证码的局限性

信息论消息认证码在保障消息安全方面有着重要作用，但也存在一定的局限性。任何 ε - 安全的一次性消息认证码（MAC），其密钥长度至少为 1/ε²。而对于 ε - 安全的 ℓ 次 MAC（允许攻击者请求 ℓ 条消息的标签），密钥长度至少为 1/ε(ℓ + 1)。这意味着不存在能够为无限数量的消息提供信息论安全认证的 MAC。

下面我们来证明一个定理：设 Π = (Gen, Mac, Vrfy) 是一个 ε - 安全的一次性 MAC，密钥空间为 K，则 |K| ≥ ε⁻²。
证明过程如下：
1. 固定不同的消息 m₀ 和 m₁。直观来看，m₀ 的标签至少有 ε⁻¹ 种可能性，否则攻击者猜对的概率会大于 ε。而且，即使已知 m₀ 的标签值，m₁ 的标签也至少有 ε⁻¹ 种可能性，否则攻击者伪造 m₁ 标签的概率会大于 ε。
2. 设 K 为密钥空间，对于任何可能的标签 t₀，K(t₀) 表示使得 t₀ 是 m₀ 的有效标签的密钥集合，即 K(t₀) = {k | Vrfyₖ(m₀, t₀) = 1}。对于任何 t₀，必须有 |K(t₀)| ≤ ε·|K|。否则，攻击者可以简单地输出 (m₀, t₀) 作为伪造标签，其成为有效伪造的概率至少为 |K(t₀)|/|K| > ε，这与声称的安全性相矛盾。
3. 考虑一个攻击者 A，它请求 m₀ 的标签，收到标签 t₀ 后，从 K(t₀) 中均匀选择一个密钥 k，并输出 (m₁, Macₖ(m₁)) 作为伪造标签。A 输出有效伪造标签的概率至少为：
[
\sum_{t₀} Pr[Macₖ(m₀) = t₀] \cdot \frac{1