Wikipedia

CBC-MAC: differenze tra le versioni

Naviga nella cronologia in modo interattivo
← Differenza precedente
annullaItalaid (discussione | contributi)
Utenti autoverificati
15 897 modifiche
Contenuto cancellato Contenuto aggiunto
VisualeWikitesto
 
(8 versioni intermedie di 6 utenti non mostrate)
Riga 1:
In [[crittografia]], un '''Cipher Block Chaining Message Authentication Code''', abbreviato '''CBC-MAC''', è una tecnica per costruire un codice di [[autenticazione]] di messaggio usando un [[Cifratura a blocchi|cifrario a blocchi]]. Il messaggio è crittografato con qualche algoritmo di crittografia a blocchi in modalità CBC per creare una catena di blocchi in cui ognuno di essi dipende dalla cifratura del blocco precedente. Questa interdipendenza assicura che un cambiamento ad un qualsiasi bit del testo in chiaro causerà un cambiamento nel blocco finale crittografato che non può essere predetto o calcolato senza conoscere la chiave di codifica.
 
Per calcolare il CBC-MAC del messaggio m si cripta m in modalità CBC con il [[vettore di inizializzazione]] a zero. La figura seguente mostra il calcolo del CBC-Mac di un messaggio diviso in blocchi <math>m_1\|m_2\|\dots\|m_x</math> usando una chiave segreta k e un cifrario a blocchi E.
 
[[Image:Cbc_mac.png]]
 
__TOC__
 
==Sicurezza con messaggi di lunghezza fissa e variabile==
Se il cifrario a blocchi impiegato è sicuro, CBC-MAC è sicuro per messaggi a lunghezza fissa. Tuttavia, di per sé, non è sicuro per messaggi a lunghezza variabile.
 
Detto tag il codice CBC-MAC di un messaggio <math>m</math>, e indicato il tag con <math>t</math>, un attaccante che conosce coppie messaggio-tag <math>(m,t)</math> e <math>(m',t')</math> può generare un terzo messaggio <math>m''</math> il cui tag coincida con <math>t'</math>.
 
Si può ottenere <math>m''</math>procedendo può essere ottenuto come segue:
# :<math>m'' = m \| [(m_1' \oplus t) \| m_2' \| \dots \| m_x']</math>: si concatena ad <math>m</math>la versione modificata di <math>m'</math>.
 
Si può ottenere <math>m''</math>procedendo come segue:
# <math>(m_1' \oplus t)</math>: si effettua lo XOR tra il primo blocco di <math>m'</math>e <math>t</math>;
# <math>m' = (m_1' \oplus t) \| m_2' \| \dots \| m_x'</math>: si crea una versione modificata di <math>m'</math>dove il primo blocco originale <math>m_1'</math> è sostituito con il blocco <math>(m_1' \oplus t)</math>, calcolato al punto 1;
# <math>m'' = m \| [(m_1' \oplus t) \| m_2' \| \dots \| m_x']</math>: si concatena ad <math>m</math>la versione modificata di <math>m'</math>.
Il calcolo del CBC-MAC per il messaggio <math>m''</math>procede come segue:
# viene calcolato il MAC fino a <math>m</math>, che equivale a <math>t</math>: <math>E_{K_\text{MAC}}(m) = t</math>
# viene calcolato il MAC del blocco <math>(m_1' \oplus t)</math>, effettuando lo XOR del valore ottenuto al passo 1 con il primo blocco modificato di <math>m'</math> e quindi sottoponendo il risultato al cifrario a blocchi: <math>{\displaystyle E_{K_{\text{MAC}}}(t\oplus (m_{1}'\oplus t))} </math> per le proprietà di <math>\oplus </math> i due tag <math>t</math> si annullano, viene quindi eliminato il contributo di <math>t</math> al MAC finora calcolato: <math>E_{K_\text{MAC}}(t\oplus (m_1' \oplus t)) = E_{K_\text{MAC}}(m_1' \oplus t \oplus t) = E_{K_\text{MAC}}(m_1')</math>
# continuando da <math>E_{K_\text{MAC}}(m_1')</math>, si procede con il calcolo del MAC sui blocchi restanti <math> m_2' \| \dots \| m_x'</math>, che coincide dunque con il MAC di <math>m'</math>: <math>E_{K_\text{MAC}}(m') = t'</math> ottenendo pertanto <math>t'</math> e quindi che il tag di <math>m''</math> coincide con <math>t'</math>.
Questo problema non può essere risolto aggiungendo un blocco di lunghezza del messaggio (e.g., con [[Merkle-Damgård strengthening]]).
 
In caso di messaggi a lunghezza variabile, viene raccomandato l'uso di una differente modalità operativa, per esempio [[OMAC/CMAC|CMAC]] o [[HMAC]], per proteggere l'integrità dei messaggi a lunghezza variabile.
Riga 28:
Supponiamo che un utente effettui la crittografia di un messaggio <math>m_0 \| m_1 \| \cdots \| m_{x-1}</math> in modalità CBC usando un IV <math>c_{-1}</math> ed ottenendo il seguente testo cifrato: <math>c_0 \| c_1 \| \cdots \| c_{x-1}</math>, dove <math>c_i = E_k(m_i \oplus c_{i-1})</math>. Inoltre, genera il codice CBC-MAC per IV e per il messaggio: <math>t=M(m_{-1} \| \cdots \| m_{x-1}).</math>.
 
Adesso un attaccante può cambiare ogni bit prima dell'ultimo blocco <math>c_{x-1}</math> e il codice MAC sarà ancora valido. La ragione è che <math>t = E_k(m_{x-1} \oplus c_{x-2}) = c_{x-1}</math> (questa è in effetti la ragione per cui le persone commettono questo errore così frequentemente—ciò permette di incrementare le performance di un fattore pari a due). DaA adessomeno finchéche l'ultimo blocco non èvenga cambiato, l'equivalenza <math>t =\ c_{x-1}</math> rimane valida, e cos'così il codice CBC-MAC èrisulta corretto.
 
Questo esempio mostra, inoltre, che un CBC-MAC non può essere usato come funzione monodirezionale [[Resistenza alle collisioni|resistente alle collisioni]]: data una chiave è banale creare un messaggio differente che generi lo stesso codice.
 
==Voci correlate==
Riga 37:
* [[CMAC]]
 
==Collegamenti esterni==
==Riferimenti==
* {{cita web|url=http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=31136&ICS1=35&ICS2=40&ICS3=|titolo=ISO/IEC 9797-2:2002|lingua=en}}
* {{cita web|1=http://www.cs.ucdavis.edu/research/tech-reports/1997/CSE-97-15.pdf|2=The security of the cipher block chaining message authentication code.|lingua=en|formato=pdf|accesso=28 dicembre 2013|urlarchivio=https://web.archive.org/web/20120205061813/http://www.cs.ucdavis.edu/research/tech-reports/1997/CSE-97-15.pdf|dataarchivio=5 febbraio 2012|urlmorto=sì}}
 
{{Hash e MAC}}
{{Portale|crittografia}}
 
[[Categoria:Codici di autenticazione dei messaggi]]
[[Categoria:Algoritmi crittografici]]
Estratto da "https://it.wikipedia.org/wiki/CBC-MAC"