对CMAC的可能攻击

Question

我正在研究对CMAC的可能攻击，我发现了NISTSP800-38B文档，其中定义了可能的攻击列表。然而，我对可能使用伪造消息的攻击持怀疑态度。例如：

1. 考虑到128位的密钥和128位的消息，是否可以恢复密钥(例如，如果消息为零)？
2. 与密钥长度相比，建议的最小消息长度是哪一个？为了避免伪造攻击，你有什么要求吗？
3. 您有任何关于CMAC的其他攻击的链接或文档吗？

Answer 1

考虑到128位的密钥和128位的消息，是否可以恢复密钥(例如，如果消息为零)？

是的，但只能用暴力。也就是说，当为确定性MAC (如CMAC)提供一个(m,\tau)消息标记对时，您总是可以强制键k获取\tau=\operatorname{MAC}_k(m)。然而，对于密钥空间\mathcal K，这将平均需要|\mathcal K|/2 MAC调用，这是通常假定不可行的2^{127}评估。

与密钥长度相比，建议的最小消息长度是哪一个？

没有最小消息长度。事实上，事实恰恰相反，MAC安全随着消息长度的降低而降低。然而，短消息可能更容易被重播攻击，但处理这些攻击是高级协议的任务。

为了避免伪造攻击，你有什么要求吗？

CMAC作为MAC的安全范围是

\mathbf{Adv}^{\textsf{MAC}}_{\operatorname{CMAC}(\pi)}(\mathcal A;q,ln)\leq \frac1{2^n}+\mathbf{Adv}^{\textsf{PRP}}_\pi(\mathcal B;\sigma)+\frac{2.5(\sigma+1)^2+1.5q^2+2q^2l^2}{2^n}

对于对手来说，\mathcal A使q签名最多只查询ln位长-- n是底层分组密码\pi的块大小--结果最多是\sigma对块密码\pi的不同评估。

\mathbf{Adv}^{\textsf{MAC}}_{\operatorname{CMAC}(\pi)}(\mathcal A;q,ln)是对手\mathcal A可以伪造消息标记的机会，在此消息中，他们没有事先查询签名的甲骨文，最多使用q查询，每个查询的长度最多为ln位。

\mathbf{Adv}^{\textsf{PRP}}_\pi(\mathcal B;\sigma)是使用\sigma加密查询可以将分组密码\pi与随机排列区分开来的概率。这种绑定在“CMAC及其变体的正式安全证明”，由Baritel-Ruet、Dupressoir、Fouque和Grégoire于2018年编写(PDF)中得到了证明(编写方式略有不同)。