Đang tải... (xem toàn văn)
Bài viết trình bày đánh giá cận an toàn của mã xác thực LightMAC trong trường hợp độ dài nhãn xác thực nhỏ hơn kích cỡ của mã khối cơ sở. Sau đó, sự phụ thuộc vào độ dài thông điệp trong cận an toàn của LightMAC được xem xét lại.
Nghiên cứu Khoa học Công nghệ lĩnh vực An tồn thơng tin Đánh giá xác cận an tồn cho mã xác thực LightMAC Nguyễn Tuấn Anh Tóm tắt— LightMAC mã xác thực thông điệp Atul Luykx đề xuất sử dụng mơi trường có tài ngun hạn chế có cận an tồn khơng phụ thuộc vào độ dài thơng điệp Thuật tốn LightMAC sinh nhãn xác thực có độ dài tùy theo yêu cầu người sử dụng Tuy nhiên, đánh giá an toàn [1] lại sử dụng trực tiếp kết dành cho độ dài nhãn xác thực kích cỡ mã khối sở Dodis [2] Trong báo này, đầu tiên, đánh giá cận an toàn mã xác thực LightMAC trường hợp độ dài nhãn xác thực nhỏ kích cỡ mã khối sở Sau đó, phụ thuộc vào độ dài thơng điệp cận an tồn LightMAC xem xét lại Abstract— The message authentication code mode, LightMAC, which was proposed to use in resource-constrained environments by Atul Luykx has security bound independ on message length The tag length in LightMAC algorithm depend on demand of user’s However, the security analysis’s Atul [1] directly uses the Dodis’s result [2] which presents for the case that tag length is the block size In this paper, we first evaluate the security bound of LightMAC when tag length is less than the block size Then, the dependence on the message length of LightMAC’s security bound is reviewed Từ khóa— hàm giả ngẫu nhiên; mã xác thực thông điệp; LightMAC Keywords— pseudorandom function; message authentication code; LightMAC I GIỚI THIỆU Các mã xác thực thông điệp thông thƣờng nhƣ: CBC MAC, EMAC, CMAC, PMAC có Bài báo đƣợc nhận ngày 3/10/2018 Bài báo đƣợc nhận xét phản biện thứ vào ngày 30/10/2018 đƣợc chấp nhận đăng vào ngày 14/11/2018 Bài báo đƣợc nhận xét phản biện thứ hai vào ngày 30/10/2018 đƣợc chấp nhận đăng vào ngày 5/11/2018 cận an toàn phụ thuộc vào số lƣợng thông điệp truy vấn độ dài thông điệp Cận an toàn cho ⁄ [3]; mã xác thực thơng điệp là số truy vấn tối đa mà kẻ công thực hiện, độ dài thơng điệp theo khối, kích cỡ mã khối sở Trong môi trƣờng xác thực thông thƣờng, có nghĩa mã xác thực sử dụng mã khối sở có kích cỡ 128 bit ( ), ta mong muốn xác suất giả mạo kẻ công không vƣợt phần triệu [1], ta phải đảm bảo rằng: Do đó, với khóa ta xác thực đƣợc thơng điệp, thơng điệp gồm khối Tƣơng tự, có thơng điệp, thơng điệp gồm khối, đƣợc xác thực cho khóa Ta quan sát thấy rằng, số lƣợng thông điệp đƣợc xác thực lần sử dụng khóa lớn Điều khơng gây ảnh hƣởng lớn đến không gian liệu đƣợc xác thực Tuy nhiên, mơi trƣờng có tài nguyên hạn chế, tức mã xác thực sử dụng mã khối sở có kích cỡ 32 bit hay 64 bit, số lƣợng thơng điệp đƣợc xác thực khóa bị giảm đáng kể Thật vậy, tƣơng tự nhƣ trên, ta xét số lƣợng thơng điệp đƣợc xác thực cho khóa ứng dụng dùng mã khối 32 bit , yêu cầu xác suất giả mạo kẻ công không vƣợt phần triệu [1] Khi đó: Từ ràng buộc trên, ta suy khóa xác thực cho 64 thơng điệp, thơng điệp gồm khối Tƣơng tự, có 32 thơng điệp, thơng điệp khối đƣợc xác thực cho khóa Để giải đƣợc vấn đề này, năm 2015, hội nghị FSE, Atul Luykx cộng giới thiệu mơ hình xác thực thông điệp sử dụng mã khối hạng nhẹ với tên gọi LightMAC [1] có cận an tồn không phụ thuộc vào độ dài thông điệp Điều cho phép LightMAC xác thực nhiều thông điệp khóa Số 1.CS (07) 2018 59 Journal of Science and Technology on Information Security Các cơng trình liên quan Đánh giá độ an toàn cho mã xác thực thông điệp LightMAC đƣợc Atul Luykz cộng trình bày [1] Cách tiếp cận dựa mơ hình băm-rồi-mac Dodis [2] Tuy nhiên, kết Dodis phát biểu cho trƣờng hợp nhãn xác thực toàn đầu hàm mã, mơ hình LightMAC phát biểu cho trƣờng hợp đầu bị cắt ngắn Do đó, cần phải có đánh giá xác cho LightMAC Đóng góp chúng tơi Trong báo này, chúng tơi đánh giá lại cận an toàn cho LightMAC trƣờng hợp nhãn xác thực lấy bit đầu Ngoài ra, chúng tơi phân tích, so sánh mức độ phụ thuộc vào độ dài thông điệp mã xác thực thông điệp với mã xác thực thông điệp trƣớc Phần cịn lại báo đƣợc tổ chức gồm: Mục II trình bày kiến thức sở liên quan; Mục III đƣa số kết có; Cuối Mục IV phân tích độ an tồn LightMAC đƣa số kết luận II CÁC KIẾN THỨC CƠ SỞ A Một số ký hiệu Ký hiệu tập chuỗi bit có độ dài ; tập chuỗi bit có độ dài khơng vƣợt q ; tập chuỗi bit có độ dài tập hàm từ vào Với số nguyên , biểu diễn cách viết lại theo bit Với chuỗi độ dài bit, ký hiệu ⌊ ⌋ bit có ý nghĩa Ký hiệu phép lấy ngẫu nhiên; phép chia thông điệp thành khối bit, khối cuối nhỏ bit Trong báo ký hiệu phép đệm bit có dạng 10…0 vào | sau cho | B Một số khái niệm, định nghĩa Hàm đƣợc chọn ngẫu nhiên (tƣơng ứng hoán vị đƣợc chọn ngẫu nhiên) đƣợc hiểu hàm (tƣơng ứng hoán vị) đƣợc lấy ngẫu nhiên từ (tƣơng ứng ) phù hợp với phân phối xác suất cố định Hàm (hốn vị) ngẫu nhiên hồn thiện hàm (hốn vị) đƣợc lấy ngẫu nhiên từ tập ( ) Tiếp theo xem xét khái niệm lợi phân biệt Theo đó, lợi phân biệt kẻ cơng có đƣợc phân biệt hàm đƣợc chọn ngẫu nhiên với hàm ngẫu nhiên hoàn thiện 60 Số 1.CS (07) 2018 Ta viết nhƣ kẻ công đƣợc quyền truy cập vào tiên tri hàm Định nghĩa (Definition 4.6, [4]) Cho hàm chọn ngẫu nhiên Gọi kẻ cơng phân biệt hàm ngẫu nhiên hồn thiện Ta xét hai thí nghiệm sau: Trả Trả Lợi kẻ công việc phân biệt với hàm ngẫu nhiên hoàn thiện là: | [ ] [ ]| Hàm lợi cơng phân biệt hàm hàm ngẫu nhiên hồn thiện là: với tập phân biệt giả ngẫu nhiên chạy thời gian sử dụng tối đa truy vấn Tƣơng tự, có định nghĩa hàm hoán vị đƣợc chọn ngẫu nhiên Một hàm đƣợc chọn ngẫu nhiên đƣợc gọi giả ngẫu nhiên nhƣ không đáng kể với kẻ cơng có lực thực tế Định nghĩa (Definition 1, [2], hàm băm hầu 2-phổ quát) Một hàm băm hầu 2-phổ quát [ ] Trong báo này, thống gọi “ -phổ quát” thay cho “hầu 2-phổ quát” Tính chất (tr 5, [2]) Xét hàm băm -phổ quát Gọi thơng điệp khác Khi đó: [ ( )] Tiếp theo, báo trình bày định nghĩa mã xác thực thơng điệp mơ hình an tồn Để thuận tiện cho phân tích đánh giá Nghiên cứu Khoa học Công nghệ lĩnh vực An tồn thơng tin phần sau, khái niệm sau đƣợc nhắc lại Định nghĩa (xem Definition 4.1, [5]) Một mã xác thực thông điệp (MAC) gồm có thuật tốn thời gian đa thức (Gen, Mac, Vrfy) thỏa mãn: Thuật tốn sinh khóa Gen phép chọn khóa ngẫu nhiên từ tập khóa Thuật tốn sinh nhãn Mac (có thể xác suất) lấy đầu vào thông điệp đưa nhãn Ta ký hiệu Thuật toán xác thực Vrfy tất định lấy đầu vào khóa , thơng điệp nhãn Thuật toán đưa bit , với nghĩa hợp lệ cịn ngược lại Ta viết lại Với khóa sinh Gen ln có ( ) Mã xác thực thơng điệp an tồn nghĩa khơng có kẻ cơng hiệu giả mạo giá trị nhãn cho thông điệp bất kỳ, mà chƣa đƣợc sử dụng để trao đổi trƣớc Thí nghiệm xác thực thơng điệp Chạy thuật tốn Gen sinh khóa Kẻ cơng thực tối đa truy vấn lên tiên tri Gọi tập tất truy vấn mà yêu cầu lên tiên tri Kẻ công đƣa tối đa truy vấn xác thực lên tiên tri thành công (1) với cặp truy vấn xác thực (2) Trong trƣờng hợp thí nghiệm đƣa 1, ngƣợc lại thí nghiệm đƣa Định nghĩa (Xem Definition 4.2 [5]) Xét (Gen, Mac, Vrfy) mã xác thực thơng điệp thuật tốn thời gian đa thức xác suất quyền truy cập lên tiên tri sau trả bit thí nghiệm Lợi giả mạo định nghĩa [ ] Hàm lợi công giả mạo ( ) ( ) giá trị max lấy tất kẻ công chạy với thời gian , sử dụng nhiều truy vấn Mac truy vấn xác thực C Thuật toán LightMAC Trong [1] giới thiệu thuật toán LightMAC Mơ tả ngắn gọn thuật tốn đƣợc trình Hình Thuật tốn dƣới cho Hình Mơ tả thuật tốn LightMAC ‖ ‖ ‖ thơng điệp với Trong đó, mã khối, lần lƣợt số nguyên không lớn LightMAC lấy đầu vào hai khóa , đƣợc chọn độc lập từ tập , thơng điệp có độ dài tối đa bit Thuật tốn trả đầu có độ dài bit Cặp thơng điệpnhãn Thuật tốn Input: Output: \\chia khối bit for to ( ) end ⌊ ⌋ return thành Số 1.CS (07) 2018 61 Journal of Science and Technology on Information Security III CÁC KẾT QUẢ ĐÃ CÓ Định lý (Theorem 2, [1]) Lợi giả mạo lên LightMAC kẻ công chạy thời gian thực tối đa truy vấn MAC truy vấn xác thực với độ dài thông điệp tối đa bit, không vượt ( ⁄ ) ⁄ / ( đó, ( kích cỡ khối, ( IV PHÂN TÍCH CẬN AN TỒN CỦA LIGHTMAC Trong phần này, chúng tơi đánh giá lại cận an toàn cho LightMAC trƣờng hợp độ dài nhãn xác thực bit ( ) Đầu tiên, đƣa mệnh đề sau độ an tồn mơ hình băm-rồi-mac trƣờng hợp đầu hàm băm bị cắt ngắn Mệnh đề Gọi hàm băm -phổ quát hốn vị ngẫu nhiên hồn thiện Xét lược đồ MAC với khóa bí ) ) trƣờng hợp nhãn xác thực toàn đầu hàm , LightMAC lấy bit ) với nhãn xác thực cho thơng điệp tính bởi: mật Để chứng minh Định lý 1, Atul Luykx sử dụng hai Mệnh đề sau: Mệnh đề (Proposition 1, [2]) (Độ an toàn băm-rồi-mac) Gọi hàm băm -phổ quát hoán vị ngẫu nhiên hoàn thiện Xét lược đồ MAC với khóa bí mật ⌊ ( Gọi kẻ công thực tối đa truy vấn Mac tối đa truy vấn xác thực Xác suất giả mạo thành công không vƣợt quá: với nhãn xác thực cho thơng điệp tính bởi: ( ) Gọi kẻ công thực tối đa truy vấn Mac tối đa truy vấn xác thực Nếu ⁄ | | xác suất giả mạo thành cơng khơng vƣợt quá: Mệnh đề (Proposition 1, [1]) Đặt Gọi với định nghĩa là: ( [ Tuy nhiên, nhận thấy cách đánh giá Atul Luykx dễ gây hiểu nhầm Bởi kết Mệnh đề phát biểu cho } Chứng minh Để chứng minh kết ta xét kẻ công lên lƣợc đồ Mac thực tối đa truy vấn Mac truy vấn xác thực Gọi Coll kiện có xảy va chạm hai đầu từ tiên tri Mac hai truy vấn cho Khi ta có: [ [ ] |̅̅̅̅̅] [ [ ] | [ ] ̅̅̅̅̅ [ ] [ ] |̅̅̅̅̅] Sau lần lƣợt đánh giá hai xác suất Ta có: [ ] Trong lần lƣợt độ dài theo khối -bit làm tròn (khối cuối chƣa đủ bit, nhƣng ta xem nhƣ khối đủ bit) 62 Số 1.CS (07) 2018 { ) Trong hốn vị ngẫu nhiên hồn thiện , xác suất để hai thông điệp khác va chạm là: )⌋ ] [ ( ) ] ∑ [ ] (theo Tính chất 1) ( ) Nghiên cứu Khoa học Công nghệ lĩnh vực An tồn thơng tin Tiếp theo ta chứng minh rằng: giống nhau, ta đánh dấu lần |̅̅̅̅̅] [ , Với giả mạo thứ va chạm có [ - , đặt xác suất thành công mà khơng xảy truy vấn MAC Khi ta |̅̅̅̅̅] ∑ Ta , Tƣơng tự cách tính trƣờng hợp ⁄ ⁄ có * ( * ( Trong trƣờng hợp Nếu chọn truy vấn xác thực với có hai trƣờng hợp: nhƣng ⌊ ( )⌋ ⌊ ( )⌋ Trƣờng hợp đầu đồng nghĩa tìm đƣợc va chạm, nhiên xác suất thành công không vƣợt Trong trƣờng hợp thứ hai xảy với xác suất không Nếu chọn truy vấn xác thực với với , gọi số phần tử nhãn khác ta có: |̅̅̅̅̅ ) Do , + = * ( * ( ( )) { ( }+ ) ■ Áp dụng Mệnh đề Mệnh đề 3, đƣa hệ sau: Hệ Lợi giả mạo lên LightMAC kẻ công chạy thời gian thực tối đa truy vấn MAC truy vấn xác thực với độ dài thông điệp tối đa bit, không vượt ⁄ Giả sử chứng minh đến trƣờng hợp , ta chứng minh , - Nếu ) ⁄ { - xác thực ( với ) với Ta xét hai trƣờng hợp Trƣờng hợp thứ nhất, với khơng gian Khi ̅̅̅̅̅ ⁄ | [ ] ⁄ Trƣờng hợp thứ hai, với , ta cần đánh giá xác suất thành công đƣa nhãn (nếu ngƣợc lại giống với trƣờng hợp ) Giả sử rằng, thực truy vấn xác thực có |̅̅̅̅̅+ )) ( chọn truy vấn xác thực ( ) với Tƣơng tự nhƣ trƣờng hợp , xác suất để thành công không vƣợt , - Nếu chọn truy vấn ) ( ⁄ |̅̅̅̅̅+ )) ( ] ⁄ )) - theo phép quy nạp Chú ý kẻ công đƣa truy vấn xác thực phải khác câu trả lời mà tiên tri MAC đƣa trƣớc [ ( ( ( , ta } ( ( ( ) kích cỡ khối, ) ) Chú ý Trong trƣờng hợp ta ln có , để thu đƣợc kết nhƣ Định lý ta cần phải đảm bảo điều kiện Điều có nghĩa số lƣợng truy vấn ( ⁄ lên ) tiên tri Mac không đƣợc vƣợt Tuy nhiên, việc đánh giá nhƣ Định lý không cần thiết làm ý nghĩa cận an toàn LightMAC trƣờng hợp Số 1.CS (07) 2018 63 Journal of Science and Technology on Information Security SƠ LƢỢC VỀ TÁC GIẢ Thực tế độ an toàn mã xác thực LightMAC phụ thuộc vào độ dài thơng điệp đánh giá va chạm hàm xuất biến độ dài theo khối Tuy nhiên, cận an tồn LightMAC biểu diễn thông qua giá trị khoảng CN Nguyễn Tuấn Anh Email: tuananhnghixuan@gmail.com Quá trình đào tạo: Nhận cử nhân chuyên ngành Toán tài Đại học Khoa học tự nhiên, Đại học Quốc gia Hà Nội năm 2016 Hƣớng nghiên cứu nay: Mã , mã xác thực thơng điệp trƣớc Hơn nữa, LightMAC sử dụng điều kiện số khối thông điệp không vƣợt để làm phụ thuộc Khi đó, cận an toàn LightMAC với ( ⁄ ), ta xét với số truy vấn xác thực Đối với mã xác thực nhƣ CBC MAC, XOR MAC PMAC, ta đặt giả thiết số khối thông điệp không vƣợt hàm đấy, cận an tồn mã xác thực khơng có biến độ dài thơng điệp: Tuy nhiên, điều khơng có ý nghĩa số tƣơng đối lớn tƣợng trƣng cho độ dài thông điệp V KẾT LUẬN Trong báo này, đánh giá lại cận an tồn cho mã xác thực LightMAC Sau đó, so sánh phụ thuộc vào độ dài LightMAC với mã xác thực khác Tuy nhiên, độ an toàn LightMAC trƣờng hợp sử dụng khóa (ví dụ nhƣ sử dụng khóa để dẫn xuất hai khóa ) câu hỏi mở cần phải nghiên cứu thời gian TÀI LIỆU THAM KHẢO [1] Luykx, A., et al "A MAC mode for lightweight block ciphers" in International Conference on Fast Software Encryption, Springer, 2016 [2] Dodis, Y and K Pietrzak "Improving the security of MACs via randomized message preprocessing" in International Workshop on Fast Software Encryption, Springer, 2007 [3] Bellare, M., K Pietrzak, and P Rogaway "Improved security analyses for CBC MACs" in Annual International Cryptology Conference, Springer 2005 [4] Bellare, M and P Rogaway, "Introduction to modern cryptography" Ucsd Cse p 207, 2005 [5] Katz, J and Y Lindell, "Introduction to modern cryptography" CRC press, 2014 64 Số 1.CS (07) 2018 hóa đối xứng ... tơi đánh giá lại cận an tồn cho LightMAC trƣờng hợp nhãn xác thực lấy bit đầu Ngồi ra, chúng tơi phân tích, so sánh mức độ phụ thuộc vào độ dài thông điệp mã xác thực thông điệp với mã xác thực. .. khối, ( IV PHÂN TÍCH CẬN AN TỒN CỦA LIGHTMAC Trong phần này, chúng tơi đánh giá lại cận an toàn cho LightMAC trƣờng hợp độ dài nhãn xác thực bit ( ) Đầu tiên, đƣa mệnh đề sau độ an tồn mơ hình băm-rồi-mac... GIẢ Thực tế độ an toàn mã xác thực LightMAC phụ thuộc vào độ dài thơng điệp đánh giá va chạm hàm xuất biến độ dài theo khối Tuy nhiên, cận an toàn LightMAC biểu diễn thơng qua giá trị khoảng