AE方案構造框架

發送者將(Nonce(或IV),Plaintext,Associated Data)作為輸入，生成密文和Tag。其中，明文消息是保密的。加密階段和MAC生成階段使用不同的密鑰。

加密和認證的三種組合方式及其安全性

選擇明文攻擊下的密文不可識別性 (IND-CPA)
選擇明文攻擊下的密文非可塑性 (NM-CPA)
選擇密文攻擊下的密文不可識別性 (IND-CCA)
選擇密文攻擊下的密文非可塑性 (NM-CCA)
明文完整性(INT-PTXT)
密文完整性(INT-CTXT)

\(E’_{Ke,Km}(M) = E_{Ke}(M) || T_{Km}(M)\) 如SSH

MAC是針對明文的，所以密文沒有完整性，會存在選擇密文攻擊。如Breaking and proofvach修復SSH認證的加密方案的第4部分所示：Encode-then-Encrypt-and-MAC范例的案例研究。
可以驗證明文的完整性。
如果密碼方案是可延展的，密文的內容可以被改變，但是在解密時我們應該發現明文是無效的。
可能會顯示有關MAC中明文的信息。

\(E’_{Ke,Km}(M) = E_{Ke}(M)|| T_{Km}(M)\) 如TLS

\(E’_{Ke,Km}(M) = E_{Ke}(M) || T_{Km}(E_{Ke}(M))\)

提供密文的完整性。假設MAC共享密鑰沒有被破壞，我們應該能夠推斷給定的密文是真的還是偽造的。例如，在公鑰密碼學中，任何人都可以向你發送消息。EtM確保你只能閱讀有效的消息。
明文完整性。
如果密碼方案具有延展性，我們不必如此擔心，因為MAC會過濾掉這個無效的密文。
MAC不提供關於明文的任何信息，因為假設密碼的輸出是隨機的，MAC也是如此。換句話說，我們沒有從明文進入MAC的任何結構。

DCM有兩個版本，在2001年由NSA的Boyle和Salter提交給NIST，並很快被攻破（無法保證完整性）。DCM的其中一個版本如下，\(C_{j+1}\)作為Tag

對於其完整性的一個偽造攻擊如下：

OCB是一種基於分組密碼的工作模式，到目前為止它已有三個版本：OCB1(2001年)、OCB2(2003年)和 OCB3(2011年)。其中，OCB1 是IEEE 802.11i 的可選工作模式之一(也叫WRAP)；OCB2 是NIST ISO/IEC 19772:2009標准之一。

P. Rogaway, M. Bellare, and J. Black. OCB: A block-cipher mode of operation for effcient authenticated encryption. CCS 2001.

下圖為OCB1：

CCM是NIST ISO/IEC 19772:2009標准之一。

D. Whiting, R. Housley, N. Ferguson. AES encryption & authentication using CTR mode & CBC-MAC. IEEE P802.11 doc 02/001r2, May 2002.

GCM是NIST ISO/IEC 19772:2009標准之一。

D. McGrew, J. Viega. The security and performance of the Galois/CounterMode (GCM) of operation. INDOCRYPT 2004, LNCS vol. 3348, 2004.

T. Krovetz, P. Rogawayy. The Software Performance of Authenticated-Encryption Modes. FSE 2011.

本站轉載的文章為個人學習借鑒使用，本站對版權不負任何法律責任。如果侵犯了您的隱私權益，請聯系本站郵箱yoyou2525@163.com刪除。

猜您在找 同態加密-Homomorphic encryption Tornado web.authenticated 用戶認證淺析 SQLite Encryption(加密)新姿勢 mysql表空間加密 keyring encryption 同態加密技術-Homomorphic Encryption 數據加密標准( Data Encryption Standard） HDFS數據加密空間--Encryption zone JAVA常用加密解密算法Encryption and decryption 弱加密算法漏洞 -- SSH Weak Encryption Algorithms Supporte Weak Encryption 弱加密安全問題處理