CBC-MAC使用可预测的IV

Question

假设您有明文字符串(a)、IV (ai)和明文(a)的MAC (am)。

如何为不同的明文字符串(bm)生成一个MAC (b) --使用您选择的IV (ib)，使用相同的密钥--您不知道，也无法检索。

您还可以假设两个明文的长度相同。

编辑：我发现了这个问题，我认为它提供了一个线索：不安全与随机IV，但我不确定我是否正确理解。您还可以假设您的明文是一个块明文。

这应该证明具有随机IV的cbc是不安全的。

谢谢。

Answer 1

您是说我们正在查看长度为一个块的消息，以及使用随机IV的CBC的一个变体。(我假设我们使用的是固定长度的消息，即我们可以忽略填充问题。)然后我们有$$am:=( ai，E(k，a\oplus ai))$$来构建一个用于消息$b$的MAC，如果我们选择$bi$，则可以重用标签的第二部分，例如$$b \oplus bi = a\oplus ai$\隐含bi =a \oplus ai \oplus b$$

也就是说，给定$a$和$am=( ai，t)$只输出$bm=(a\oplus ai \oplus b，t)$。