情報セキュリティ特論（ 3 ）

情報セキュリティ特論（ 3 ）

黒澤　馨 （茨城大学）kurosawa@mx.ibaraki.ac.jp

演習 (1)

One-time pad について考える。

• 鍵 K=(001101) で、平文 M=(111111) を 暗号化せよ。• C=K+M

=(001101)+(111111)

=(110010)

演習 (1)

One-time pad について考える。

• 鍵 K=(001101) で、暗号文 C=(101101) を 復号せよ。• M=K+C

=(001101)+(101101)

=(100000)

演習 (2)

• One-Time Pad が無条件に安全であることを、

　 n=1 ビットの場合と同様に、 n=2 ビットに対し、証明せよ。

証明　 (n=2 の場合）

• 敵が暗号文 C=(00) を入手した。• このとき、　　　　 Pr(M=00 | C=00)=Pr(M=00)

　を証明する。

C=M+K mod 2 より、 C=00 となる (M,K) は、

K

M

1

01 10 1100

00

01

10

11

C=00 という条件の下で、 M=00 となる事象は、

K

M

1

01 10 1100

00

01

10

11

K

M

1

01 10 1100

00

01

10

11

Pr(M=00 | C=00) =

Pr( M=00, K=00)+…+Pr( M=11, K=11)

Pr( M=00, K=00)

K

M

1

01 10 1100

00

01

10

11

Pr(M=00 | C=00) =

Pr( M=00) ・ 1/4 +…+Pr( M=11) ・ 1/4

Pr( M=00) ・ 1/4

K

M

1

01 10 1100

00

01

10

11

Pr(M=00 | C=00) =

Pr( M=00) +…+Pr( M=11)

Pr( M=00)

K

M

1

01 10 1100

00

01

10

11

Pr(M=00 | C=00) = Pr( M=00)

Pr(M=00 | C=00)=Pr(M=00)

• 同様にして、　　　　 Pr(M=01 | C=00) = Pr(M=01)

…

　　　　 Pr(M=11 | C=11) = Pr(M=11)

演習 (3)

　 共通鍵暗号系（ G,E,D ）が無条件に安全であるための必要十分条件は、

・ M 上の任意の確率関数 PM

・ ∀m M ∈ 　に対し、 ・ ∀C C∈

Pr( = c | = m ) = Pr( = c )

であることを証明せよ。M~

C~ C

~

順方向の証明

• Pr(C=c | M=m)=Pr(C=c)

　　と仮定する。• このとき、無条件に安全、すなわち、 Pr(M=m | C=c) =Pr(M=m)

　を示す。

証明

• Pr(C=c | M=m)=Pr(C=c) と仮定。

証明

• Pr(C=c | M=m)=Pr(C=c) と仮定。• 両辺に、 Pr(M=m) / Pr(C=c) を掛けると、

証明

• Pr(C=c | M=m)=Pr(C=c) と仮定。• 両辺に、 Pr(M=m) / Pr(C=c) を掛けると、• 右辺 =Pr(M=m)

証明

• Pr(C=c | M=m)=Pr(C=c) と仮定。• 両辺に、 Pr(M=m) / Pr(C=c) を掛けると、• 右辺 =Pr(M=m)

• 左辺 = Pr(C=c | M=m) Pr(M=m) / Pr(C=c)

証明

• Pr(C=c | M=m)=Pr(C=c) と仮定。• 両辺に、 Pr(M=m) / Pr(C=c) を掛けると、• 右辺 =Pr(M=m)

• 左辺 = Pr(C=c | M=m) Pr(M=m) / Pr(C=c)

= Pr(C=c, M=m) / Pr(C=c)

証明

• Pr(C=c | M=m)=Pr(C=c) と仮定。• 両辺に、 Pr(M=m) / Pr(C=c) を掛けると、• 右辺 =Pr(M=m)

• 左辺 = Pr(C=c | M=m) Pr(M=m) / Pr(C=c)

= Pr(C=c, M=m) / Pr(C=c)

= Pr(M=m | C=c)

証明

• Pr(C=c | M=m)=Pr(C=c) と仮定。• 両辺に、 Pr(M=m) / Pr(C=c) を掛けると、• 右辺 =Pr(M=m)

• 左辺 = Pr(C=c | M=m) Pr(M=m) / Pr(C=c)

= Pr(C=c, M=m) / Pr(C=c)

= Pr(M=m | C=c)

よって、 Pr(M=m | C=c) =Pr(M=m)

証明

• Pr(C=c | M=m)=Pr(C=c) と仮定。• 両辺に、 Pr(M=m) / Pr(C=c) を掛けると、• 右辺 =Pr(M=m)• 左辺 = Pr(C=c | M=m) Pr(M=m) / Pr(C=c) = Pr(C=c, M=m) / Pr(C=c) = Pr(M=m | C=c)よって、 Pr(M=m | C=c) =Pr(M=m)ゆえに、無条件に安全。

逆方向の証明

• 無条件に安全と仮定する。　 すなわち、 Pr(M=m | C=c) =Pr(M=m)

• このとき、 　　　　 Pr(C=c | M=m)=Pr(C=c)

　を示す。

逆方向の証明

• Pr(M=m | C=c) =Pr(M=m) と仮定。

逆方向の証明

• Pr(M=m | C=c) =Pr(M=m) と仮定。• 両辺に、 Pr(C=c) / Pr(M=m) を掛けると

逆方向の証明

• Pr(M=m | C=c) =Pr(M=m) と仮定。• 両辺に、 Pr(C=c) / Pr(M=m) を掛けると• 右辺 = Pr(C=c)

逆方向の証明

• Pr(M=m | C=c) =Pr(M=m) と仮定。• 両辺に、 Pr(C=c) / Pr(M=m) を掛けると• 右辺 = Pr(C=c)

• 左辺 = Pr(M=m | C=c) Pr(C=c) / Pr(M=m)

逆方向の証明

• Pr(M=m | C=c) =Pr(M=m) と仮定。• 両辺に、 Pr(C=c) / Pr(M=m) を掛けると• 右辺 = Pr(C=c)

• 左辺 = Pr(M=m | C=c) Pr(C=c) / Pr(M=m)

= Pr(M=m, C=c) / Pr(M=m)

逆方向の証明

• Pr(M=m | C=c) =Pr(M=m) と仮定。• 両辺に、 Pr(C=c) / Pr(M=m) を掛けると• 右辺 = Pr(C=c)

• 左辺 = Pr(M=m | C=c) Pr(C=c) / Pr(M=m)

= Pr(M=m, C=c) / Pr(M=m)

= Pr(C=c | M=m)

逆方向の証明

• Pr(M=m | C=c) =Pr(M=m) と仮定。• 両辺に、 Pr(C=c) / Pr(M=m) を掛けると• 右辺 = Pr(C=c)

• 左辺 = Pr(M=m | C=c) Pr(C=c) / Pr(M=m)

= Pr(M=m, C=c) / Pr(M=m)

= Pr(C=c | M=m)

よって、 Pr(C=c | M=m)=Pr(C=c)

無条件に安全な暗号系の制限

• 定理　 無条件に安全な暗号系においては | K | | M |≧

対策

• 擬似乱数生成器、 PseudoRandom Bit Generator (PRBG) 、

を利用する。

擬似乱数生成器

PRBG短いシード K

長い擬似乱数 PRBG(K)

ただし、

・ |PRBG(K)| > |K|

・ PRBG(K) と真の乱数は、区別がつかない (indistinguishable) 。

Distinguisher

DPRBG(K) 0 or 1

P0 = Pr(D=1)

D真の乱数 0 or 1

P1 = Pr(D=1)

定義

• PRBG(K) と真の乱数は indistinguishable

　 if |P0-P1|<ε

for 全ての多項式時間の D

• 上記が成り立つとき、　　 PRBG(K) は擬似ランダム

全ての n ビットの集合

PRBG(K) の集合

|PRBG(K)|=n ビットとする

全ての n ビットの集合

PRBG(K) の集合

{D=1 となる n ビットの集合 }

|PRBG(K)|=n ビットとする

全ての n ビットの集合

PRBG(K) の集合

{D=1 となる n ビットの集合 }

|PRBG(K)|=n ビットとする

P0 = Pr(PRBG(K) が入力のとき D=1) 　　 = 斜線の面積 / 赤の面積

全ての n ビットの集合

PRBG(K) の集合

{D=1 となる n ビットの集合 }

|PRBG(K)|=n ビットとする

P1 = Pr( 真の乱数が入力のとき D=1) 　　 = 黒の面積 / 全面積

定義

• PRBG(K) と真の乱数は indistinguishable

　 if |P0-P1|<ε

for 全ての多項式時間の D

• 上記が成り立つとき、　　 PRBG(K) は擬似ランダム

One-Time Pad の改良

PRBG短い鍵 K

長い擬似乱数 PRBG(K)

暗号文　 C = M + PRBG(K)

擬似ランダム関数 FK(x)

• 鍵 K ← ランダム　のとき、

• Y0=(FK(0…0), …, FK(1…1))

　　 と　 Y1=( 乱数、…、乱数）

が indistinguishable

擬似ランダム関数 FK(x)

• 鍵 K ← ランダム　のとき、

• Y0=(FK(0…0), …, FK(1…1))

　　 と　 Y1=( 乱数、…、乱数）

が indistinguishable

しかし、 |Y0|=|Y1|=2n

擬似ランダム関数 FK(x)

• 鍵 K ← ランダム　のとき、

• Y0=(FK(0…0), …, FK(1…1)) → D → 0 or 1

• |Y0|=2n

• Distinguisher D は、　読み込むだけで指数時間かかってしまう。

In Experiment 0

• K ← randam

Distinguisher D

FK(x)

xi

yi

0 or 1

i=1, 2, …, q, where q= 多項式個

p0 = Pr(D=1)

In Experiment 1• f ← n ビットから n ビットへの全ての関数の集合から　　　　 randam に選んだ関数

Distinguisher Df

xi

yi

0 or 1

i=1, 2, …, q, where q= 多項式個

p1 = Pr(D=1)

定義

• {FK(x)} は、擬似ランダム関数族 if

|p0-p1|<ε

for 全ての多項式時間アルゴリズム D

置換

• Ｆ： { ｎビットの集合 }→ { ｎビットの集合 }

　 は置換 if F が１対１の関数 .

置換

• Ｆ： { ｎビットの集合 }→ { ｎビットの集合 }

　 は置換 if F が１対１の関数 .

y=F(x) が置換ならば、逆関数 x=F-1(y) が存在する

In Experiment 0

• K← ランダム

Distinguisher D

FK FK-1

xi

yi

yj

xj

0 or 1

p0 = Pr(D=1)

In Experiment 1• π ← ｎビット上の全ての置換の集合から　　　　 ランダムに選んだ置換

Distinguisher Dπ π-1

xi

yi

yj

xj

0 or 1

p1 = Pr(D=1)

In Experiment 1

• Choose a random permutationπ

Distinguisher D

π

ｍ _i

c_i

π ^{-1}

c_j

ｍ _j

0 or 1

定義

• {FK(x)} は、擬似ランダム置換族 if

|p0-p1|<ε

for 全ての多項式時間アルゴリズム D

Block Cipher (AES)

m=128 bits

EncryptionＥ

c=128 bits

c=128 bits

Decryption D

m=128 bits

Key k

A Block Cipher (AES) is

• {permutation πover {128 bit strings }}

That is,

π ： message space ={128 bit strings}

　　　　　→ 　　　　 ciphertext space ={128 bit strings}

• Key k specifies a permutation.

AES

• Key ： 128 bits, 192 bits or 256 bits

• 仮定 {AESK} は、擬似ランダム置換族

ECB Mode

encrypts a long message M as follows.

M = （ m

1, ・・・・・・・・・・・・・・・・・ ,mt ）

C= （ c

1, ・・・・・・・・・・・・・・・・・ ,ct ）

Ek Ek

Not Secure

• If c1=c2,

then the adversary knows

　　　 m1=m2

Message Ciphertext

http://en.wikipedia.org/wiki/Block_cipher_modes_of_operation

Counter Mode

• The sender keeps a counter ctr.

　　　 ctr ctr+1 ctr+t 　

　　　　　 ‥ ‥ 　 　 m1 　　　　　 mt

　　　 (ctr, c1, ,ct)‥ ‥ ‥ ‥ ＝ C

Ek Ek

Security Proof

• {AES} ～ Random Permutation Family P　

　　　　　 ～ Random Function Family F

• Replace AES E_K

with a random function f.

The adversary can see no difference.

Counter Mode

　　 　 ctr ctr+1 ctr+t 　

　　　　　 ‥ ‥ 　 　 m1 　　　　　 mt

　　　 (ctr, c1, ,ct)‥ ‥ ‥ ‥ ＝ C

Ek Ek

Idealized Counter Mode

　　 　 ctr ctr+1 ctr+t 　

　　　　　 ‥ ‥ 　 　 m1 　　　　　 mt

　　　 (ctr, c1, ,ct)‥ ‥ ‥ ‥ ＝ C

f f

Idealized Counter Mode

　　 　 ctr ctr+1 ctr+t 　

　　　　　 ‥ ‥ 　 　 m1 　　　　　 mt

　　　 (ctr, c1, ,ct)‥ ‥ ‥ ‥ ＝ C

f f

r1 rt

One-Time Pad

　　 　 ctr ctr+1 ctr+t 　

　　　　　 ‥ ‥ 　 　 m1 　　　　　 mt

　　　 (ctr, c1, ,ct)‥ ‥ ‥ ‥ ＝ C

f f

r1 rt

Hence Secure

CTR mode

• Was shown by Diffie and Hellman in1979

• It is standarized as

NIST recommendation SP800-38A

CBC mode

On IV

• If IV=fixed value or ctr,

then CBC mode is not secure.

• If IV=random,

then the security is proved.

NIST SP800-38A

• For the CBC and CFB modes,

the IV for any particular execution of the encryption process must be unpredictable.

• For the OFB mode,

unique IVs must be used for each execution of the encryption process.

CFB mode

OFB mode

Standards

• CBC mode, CFB mode and OFB mode are standards of

• NIST FIPS81, SP800-38A• US ANSI X3 • ISO 8372, ISO/IEC 10116

Security of Symmetric Encryption

• Was defined and studied by

Bellare, Desai, Jokiph, Rogaway

in the paper

“A concrete Security Treatment of Symmetric Encryption”

(FOCS’97)

4 Security Definitions

• LOR (Left or Right) CPA (CCA)

• ROR (Real or Random) CPA (CCA)

• FTG (Find then Guess) CPA (CCA)

• SEM (Semantic Security) CPA (CCA)

LOR-CPA secure

DE_K

m_0, m_1

E_K(m_0)

0 or 1

DE_K

m_0, m_1

E_K(m_1)

0 or 1

If the following two worlds are indistinguishable.

ROR-CPA secure

DE_K

m

E_K(m)

0 or 1

DE_K

m

E_K(random r)

0 or 1

If the following two worlds are indistinguishable.

FTG-CPA security

E_K D

m_i

E_K(m_i)

x_0, x_1

DE_K

m_j

E_K(m_j)

0 or 1

E_K(x_b)

Find stage:

Guess stage:For a random bit b

Is defined by using Find stage and Guess stage.

FTG-CPA secure

DE_K

m_j

E_K(m_j)

0 or 1

E_K(x_1)

DE_K

m_j

E_K(m_j)

0 or 1

E_K(x_0)

If the following two worlds are indistinguishable.

Relationship

LOR FTG

Semantic SecurityROR

Reduction is loose

(omitted)

Strongest security

LOR-CPA security

• CTR mode, CBC mode BDJR (FOCS 1997)• CFB mode Alkassar, Geraldy, Birgit Pfitzmann, Sadeghi (FSE 2001)• CTR-OFB mode Jaechul Sung, Sangjin Lee, Jongin Lim, Wonil Lee, Okyeon Yi (ICISC 2001)

This Talk

• Security of Block Ciphers

• Encryption Schemes

• MAC Schemes

• Tweakable Block Cipher

• CMAC

Message Authentication Code(MAC)

Key K Key K

( Ｍ , Tag)

× 　 Impersonate× 　 Forge

CBC-MAC is well known

Ek Ek Ek

・・・

Tag

M=(m1, m2, ・・・ , mt)

Attack on CBC-MAC

EkEk

Tag

Ek

Tag

m （ m, m+Tag ）

Tag

m偽造

Obtains (m, Tag) Outputs M=(m, m+Tag), Tag

Model of Security

M_i

Tag_i

(M’, Tag’)

Forgery

Chose Message Attack

MAC scheme is secure if Pr(Forgery)=negligible

Security of CBC MAC

• Secure if |M|=fixed

• But, not secure if |M|=variable

EMAC

E_K E_K E_K

・・・

Tag

M=(m_1, m_2, ・・・ , m_t)

E_K’

Is an improvement of CBC-MAC as follows.

Tag of CBC-MAC

EMAC is Secure for variable |M|

f1 f1 f1

・・・

Tag = f2(x)

M=(m_1, m_2, ・・・ , m_t)

f2

f1, f2 は、ランダム関数

x

EMAC is Secure for variable |M|

f1 f1 f1

・・・

Tag1 = f2(x1)

M1=(m_1, m_2, ・・・ , m_t)

f2

f1, f2 は、ランダム関数

x1

Model of Security

M1

Tag1=f2(x1)

Chose Message Attack

Model of Security

M2

Tag2=f2(x2)

Chose Message Attack

Model of Security

Mq

Tagq=f2(xq)

Chose Message Attack

Model of Security

M1, M2, ⋯, Mq

Tag1, ⋯, Tagq

(M’, Tag’)

Forgery

Chose Message Attack

f1 f1 f1

・・・

偽造成功 if Tag ’= f2(x’)

M’=(m_1’, m_2’, ・・・ , m_t’)

f2

x’

Tag’

In general,

H

M

Tag=H(M)for some function H

MAC Theorem

H is a pseudo-random function

　 H is a secure MAC

Proof

• Assume that there exists

a chosen message attacker A on H

who succeeds with prob. ε

• Then we will show that

　 H is not a pseudo-random function.

Consider D which uses Aas follows

D=AH

m_i

Tag_i

M’, Tag’

DH

M’

Tag’

1 if Tag’ =Tag’0 else

Pr(D=1)=ε

Replace H with a random function f

D=Af

m_i

Tag_i

M’, Tag’

Df

M’

Tag’

1 if Tag’ =Tag’0 else

Pr(D=1) = 2-128

because Tag’ is random

Proof (cont.)

• If the oracle=H, then

Pr(D=1)=ε

• If the oracle=random function f,

　　 Pr(D=1)=2-128

Proof (cont.)

• If the oracle=H, then

Pr(D=1)=ε

• If the oracle=random function f,

Pr(D=1)=2-128

• Hence H is not a pseudo-random function

(PRF)

Proof (cont.)

• If the oracle=H, then

Pr(D=1)=ε

• If the oracle=random function f,

Pr(D=1)=2-128

• Hence H is not a PRF

• Consequently,

If H is a PRF, then H is a secure MAC.

We will show EMAC=PRF

E_K E_K E_K

・・・

Tag

M=(m_1, m_2, ・・・ , m_t)

E_K’ = PRF

E_K’ can be replace by RF f

E_K E_K E_K

・・・

Tag

M=(m_1, m_2, ・・・ , m_t)

f

Let X=CBC(M)

E_K E_K E_K

・・・

M=(m_1, m_2, ・・・ , m_t)

f(X)

f

X=CBC(M)

E_K E_K E_K

・・・

M=(m_1, m_2, ・・・ , m_t)

f(X), f(X’)

f

X, X’

M’=(m_1’, m_2’, ・・・ , )

Ek Ek Ek

・・・

M=(m1, m2, ・・・ , mt)

f(x), f(x*)

f

Pr(x≠x*) ～１

M*=(m1*, m2*, ・・・ , )

It is known that

E_K E_K E_K

・・・

M=(m_1, m_2, ・・・ , m_t)

　 f(X) and f(X’) 　 areindependently random

f=random

X≠X’

M’=(m_1’, m_2’, ・・・ , )

This implies that EMAC=PRF

E_K E_K E_K

・・・

M=(m_1, m_2, ・・・ , m_t)

f(x)

f

x

Security of EMAC

• We proved that EMAC=PRF

• Therefore from MAC theorem,

EMAC is secure

This Talk

• Security of Block Ciphers

• Encryption Schemes

• MAC Schemes

• Tweakable Block Cipher

• CMAC

Tweakable Block Cipher

• Was proposed by Listov, Rivest and Wagner at Crypto 2002.• We can obtain many independent PRPs from a single secret key K.

c1= [E]K(tweak T1, m1 ）c2= [E]K(tweak T2, m2 ）

are independent PRPs,where Ti is publicly known

c=EK(m)

To tell the truth

• Kurosawa considered a similar thing

at the same time independently

• I posted it to ePrint after,

citing LRW paper.

• Recently Louis Granboulan sent me an email.

Email of Louis Granboulan

• I  am wondering

why this paper has not been published.

• In my opinion,

it  contains new and interesting results.

(January 12, 2008 ）

ePrint 2002/127

Kaoru Kurosawa,

“Power of a Public Random Permutation

and

its Application to Authenticated-Encryption”

I will talk about this paper here.

DESX

E_K

K2

K2

Was proposed by Rivest many years agoto strength the security of DES

It has two keys, K and K2

Kilian and Rogaway (’96)

E_K

K2

K2

proved that the essential key length is Indeed larger than DES.

Even and Mansour (’91)

E_K

K2

K2

showed that DESX is secure even if E_K is publicly accessible.

Kurosawa (ePrint02)

• Many PRPs can be obtained

　 from a single secret key K2

even if E_K is publicly accessible.

• while Even and Mansour showed that

a single PRP can be obtained.

Proposed ConstrucitonK2=secre keyE_K is publicly accessibleT_1, …, T_m are publicly known

E_K

K2 ・ T_1

K2 ・ T_1

E_K

K2 ・ T_m

K2 ・ T_m

…Q1Qm

Theorem

E_K

K2 ・ T_1

K2 ・ T_1

E_K

K2 ・ T_m

K2 ・ T_m

…

Q1, …, Qm are independent PRPs

Q1Qm

Corollaries

E_K

K2 ・ T_1

E_K

K2 ・ T_m

…

Q1’, …, Qm’ are independent PRPsif D does not have access to Qi

-1.

Q1’ Qm’

Construction of LRW

E_K

K2 ・ T_1

K2 ・ T_1

Both K and K2 = secret keysT_1, …, T_m = publicly known

E_K

K2 ・ T_m

K2 ・ T_m

…

Comparison

• LRW construciton is obtained

by letting K=secret.

• In other words,

the proposed construction gives

a tweakable block cipher

such that E_K is publicly accessible.

This Talk

• Security of Block Ciphers

• Encryption Schemes

• MAC Schemes

• Tweakable Block Cipher

• CMAC

EMAC requires 2 key schedulings

E_K E_K E_K

・・・

Tag

M=(m_1, m_2, ・・・ , m_t)

E_K’

EMAC was improved as follows

• XCBC: Black and Rogaway (2000. 6)

1 block-cipher key ＋ 2 other keys

• TMAC: Kurosawa and Iwata (2002. 7)

1 block-cipher key ＋ 1 other key

• OMAC: Iwata and Kurosawa (2002.12) 　　　

1 block-cipher key

CMAC

How to improve EMAC

E_K E_K E_K

・・・

Tag

M=(m_1, m_2, ・・・ , m_t)

E_K’

The last E_K can be removed

E_K E_K E_K

・・・

Tag

M=(m_1, m_2, ・・・ , m_t)

E_K’

If we remove the last E_K

E_K E_K

・・・

Tag

M=(m_1, m_2, ・・・ , m_t)

E_K’

Replace E_K’ with DESX

E_K E_K

・・・

Tag

M=(m_1, m_2, ・・・ , m_t)

E_K

K2

=E_K’

From Even and Mansour

E_K E_K

・・・

Tag

M=(m_1, m_2, ・・・ , m_t)

E_K

K2

Even if D has access to this E_K,red part is a PRP

=PRP

E_K E_K

・・・

M=(m_1, m_2, ・・・ , m_t)

Tag

E_K

K2

fK(M)

Further Pr( fK(M)=fK(M’) )=negligibleHence this MAC is a PRF

=PRP

E_K E_K

・・・

M=(m_1, m_2, ・・・ , m_t)

Tag

E_K

K2

Therefore this MAC is secureXCBC is almost this construciton

XCBC (Black ＆ Rogaway)

E_K E_K E_K

・・・

Tag

M=(m_1, m_2, ・・・ , m_t)

K2 if |m_t|<128

K3 if |m_t|=128

Key ＝ (K, K2, K3)

TMAC (Kurosawa and Iwata ）

E_K E_K E_K

・・・

Tag

M=(m_1, m_2, ・・・ , m_t )

K2 if |m_t|<128

K2 ・ T if |m_t|=128

Keys ＝ (K, K2) ：　

T is a public const.

OMAC (Iwata and Kurosawa ）

E_K E_K E_K

・・・

Tag

M=(m_1, m_2, ・・・ , m_t)

LT if |m_t|<128

LT2 if |m_t|=128

Key ＝ K ：　

L=EK(0…0)T is a public const.

From XCBC to OMAC=CMAC

• XCBC: Black and Rogaway (2000. 6)

1 block-cipher key ＋ 2 other keys

• TMAC: Kurosawa and Iwata (2002. 7)

1 block-cipher key ＋ 1 other key

• OMAC: Iwata and Kurosawa (2002.12) 　　　

1 block-cipher key

CMACSecurity of each MAC is proved

NIST home page

• May 2005.

• In SP 800-38B, the CMAC

authentication mode is specified for use with any approved block cipher.

NIST home page

• CMAC is an essentially OMAC

submitted by Iwata and Kurosawa.

• OMAC is an improvement of the XCBC, submitted by Rogaway and Black,

which itself is an improvement of

the CBC-MAC algorithm.

NIST home page

• XCBC efficiently addresses

the security deficiencies of CBC-MAC;

• OMAC efficiently reduces

the key size of XCBC.

CMAC

• NIST recommendation

• CSE (Canada) standard

• used in Windows XP (SP2)

• used in Play Station 3

• used in AACS developed by

IBM, Intel, Microsoft, Desney, Warner, Sony, Toshiba and Matsushita

CMAC

• IETF RFC4493,4494,4615

• IEEE 802.16e

演習

E_KE_K

Tag

（ m1, m2 ）

CBC-MAC について、以下のM=(m1, m2), Tag を基に、偽造せよ。