CCM真实性界

Question

有人能帮我理解菲利普·罗格威的CCM真实性吗？成功概率<$q_{\text{dec}/2^\tau+\σ/2^b$.

$\tau$是标记长度，$b$是块长度。$q_{\text{dec}$是伪造尝试的次数，我不能得到"$\sigma$“是什么？

此外，如果我不是在寻找伪造尝试，而是寻找通道错误，导致无效的消息通过CBC MAC。然后，在这种情况下，$q_{\text{dec}=1$。我说的对吗？我试图发送500 of的数据？那么，由于信道错误而通过CBC MAC的未经身份验证的消息的数量将是多少。

Answer 1

如果您指的是罗格威，“一些密码模式的评估”(PDF，相关页面为120)的这篇文章，那么它非常清楚地记录了一切。

• $q_{\text{dec}$是对手请求的解密查询总数。如果在使用不同密钥之前只接受一个解密查询，这可以近似为$1$。
• $\sigma$是模式对对手的查询序列进行的分组密码调用的总数。因此，如果所有对抗性查询(加密和解密查询)一起需要处理4个分组密码调用，那么$\sigma=4$。对于数据的500个MByte (在单个查询中)，这意味着$\sigma\approx 2^{26}$

还请注意，本文中所述的界(注意$\sigma$上的附加方格)是$$\leq $$\leq

插入上述值会产生$\leq 1/2^τ+2^{52}/2^b$的优势，这限制了任何对手的成功概率。现在，随机噪声通常不是一个聪明的对手，因此从随机噪声中伪造(成功)的概率甚至更低。

那么，让我们澄清一下“分组密码调用”实际上是什么。像CCM这样的操作模式是建立在块密码上的，对于一些明文$P$、一些密钥$K$和相应的密文$C$，它们都被建模为函数$P$ (P)$，其中$P$和$C$是相同的、固定大小的。$C$的一个计算来自$K，P$或$P$从$K，C$称为一个块密码调用(因为在实现中您为此调用了块密码函数)。现在，对于CCM模式，我将在这里略过描述，您将得到每个数据块大约2个分组密码调用(一个用于隐私，一个用于真实性)，从而产生上述$2^{26}\约2\cdot 500\cdot 10^6/16$。