消息认证码_MAC

定义与目标

• 目标：完整性 (Integrity) 和 认证性 (Authentication)。防止篡改和伪造。
• 安全定义：EU-CMA (适应性选择消息攻击下的存在不可伪造性)。即使敌手能获得任意 $m$ 的 $t=MA{C}_k(m)$，他也无法为新消息 $m^{\prime }$ 生成有效 tag。

CBC-MAC

• 构造：使用 CBC 模式加密，只保留最后一个块作为 Tag。$t=c_n$。
• 安全性限制：仅对固定长度消息安全。
• 攻击（针对变长消息）：
  • 构造 $m=m_1$。获取 $t_1=En{c}_k(m_1)$。
  • 构造 $m^{\prime }=m_1||(m_1\oplus t_1)$。其 MAC 值也为 $t_1$（如果 IV=0）。
• 改进：使用 Encrypted CBC-MAC (ECBC) 或在消息前预处理长度。