UMAC

Versiunea actuală a paginii nu a fost încă examinată de colaboratori experimentați și poate diferi semnificativ de versiunea revizuită pe 4 iunie 2021; verificarea necesită 1 editare .

UMAC ( codul de autentificare a mesajelor în engleză bazat pe hashing universal, MAC universal , cod de autentificare a mesajelor bazat pe hashing universal) este unul dintre tipurile de cod de autentificare a mesajelor ( MAC ).

Istorie

Acest algoritm a fost selectat de NESSIE în 2003, iar la dezvoltarea sa au participat următoarele persoane: Intel Corp. (SUA), Universitatea Nevada (SUA), Laboratorul de Cercetare IBM (SUA), Technion ( Israel ) și Universitatea din California Davis (SUA). Autorii săi au fost John Black, Shai Halevi și Hugo Krawczyk, Ted Krovetz și Phillip Rogaway .

Descriere

Funcția rapidă „universală” este folosită pentru a hash mesajul primit M într-un șir scurt. Acest șir este apoi XOR cu o valoare pseudo-aleatorie, rezultând o etichetă UMAC:

Tag=H_{K1}\left(M\right)\oplus F_{K2}\left(Nonce\right)

unde K1 și K2 sunt chei secrete aleatorii pe care le au destinatarul și expeditorul.

Acest lucru arată că securitatea UMAC depinde de modul în care expeditorul și receptorul aleg aleatoriu funcția hash secretă și secvența pseudo-aleatorie . În acest caz, valoarea lui Nonce schimbă fiecare măsură. Datorită utilizării Nonce, receptorul și transmițătorul trebuie să știe când a fost trimis mesajul și cum a fost generată valoarea Nonce. În schimb, puteți utiliza orice altă valoare care nu se repetă ca Nonce, cum ar fi numărul de secvență al mesajului. În același timp, acest număr nu trebuie să fie secret, principalul lucru este că nu trebuie repetat.

UMAC este proiectat să utilizeze etichete pe 32 de biți, 64 de biți, 92 de biți și 128 de biți, în funcție de nivelul de securitate necesar. UMAC este de obicei folosit împreună cu algoritmul de criptare AES .

Funcția de generare a cheilor și secvența pseudo-aleatorie

Crearea de octeți pseudo-aleatori este necesară pentru ca UHASH să funcționeze și atunci când se generează etichete

Alegerea cifrului bloc

Pentru activitatea sa, UMAC folosește un cifr de bloc , a cărui alegere este determinată de următoarele constante:

BLOCLEN - lungimea, în octeți, a blocului cu care funcționează cifrul bloc
KEYLEN este lungimea, în octeți, a cheii de cifrare bloc

Aceasta folosește funcția

ENCIPHER(K,P) - criptează șirul P de octeți BLOCLEN folosind cheia K.

Exemplu: dacă AES este folosit cu o cheie de 16 octeți, atunci BLOCLEN va fi 16 (deoarece AES funcționează cu blocuri de 16 octeți).

KDF - Funcția de generare a cheilor

Această funcție generează o secvență de octeți pseudo-aleatori utilizați pentru funcțiile hash ale cheilor.

Intrare:

K este un șir de lungime KEYLEN octeți. // Blocați cheia de criptare
Indexul este un număr întreg nenegativ mai mic de 2^64.
Numbytes este un număr întreg nenegativ mai mic de 2^64.

Ieșire:

Y este un șir de lungime numbytes octeți.

PDF: funcție de generare a numerelor pseudo-aleatorie

Această funcție necesită o cheie și un anumit timp și returnează un număr pseudo-aleatoriu de utilizat în eticheta de generare. Cu această funcție, pot fi obținute numere cu lungimea de 4, 8, 12 sau 16 octeți.

Intrare:

K este un șir de lungime KEYLEN octeți.
Nonce este un șir de lungime de la 1 la BLOCKLEN octeți.
Taglen este un număr întreg 4, 8, 12 sau 16.

Ieșire:

Y este o secvență de octeți de lungime taglen.

Generarea etichetelor UMAC

Etichetele UMAC sunt generate folosind funcția UHASH folosind valoarea Nonce și șirul obținut anterior (vezi Descriere). Lungimea lor poate fi de 4, 8, 12 sau 16 octeți.

Intrare:

K - șir de lungime KEYLEN octeți
M - șir mai mic de 2^67 de biți lungime
Nonce - număr aleatoriu de la 1 la BLOCKLEN octeți
TagLen - întreg 4, 8, 12 sau 16

Ieșire:

Tag, secvență de octeți cu lungimea taglen

Algoritm de calcul al etichetei:

HashedMassage = UHASH(K, M, TagLen) Pad = PDF(K, nonce, TagLen) Tag = Pad xor HashedMassage

UMAC-32 UMAC-64 UMAC-96 UMAC-128

Aceste denumiri conțin în numele lor o anumită valoare a lungimii etichetei:

UMAC-32 (K, M, Nonce) = UMAC (K, M, Nonce, 4)
UMAC-64 (K, M, Nonce) = UMAC (K, M, Nonce, 8)
UMAC-96 (K, M, Nonce) = UMAC (K, M, Nonce, 12)
UMAC-128 (K, M, Nonce) = UMAC (K, M, Nonce, 16)

Funcția Hash universală (UHASH)

UHASH ( Hashing universal în engleză ) este o funcție de hashing universală, nucleul algoritmului UMAC. UHASH - funcția funcționează în trei etape. Mai întâi, L1-HASH este aplicat mesajului de intrare, apoi L2-HASH este aplicat acelui rezultat și, în final, L3-HASH este aplicat rezultatului. Dacă lungimea mesajului de intrare nu este mai mare de 1024 de biți, atunci L2-HASH nu este utilizat. Deoarece funcția L3-Hash returnează doar un cuvânt cu lungimea de 4 octeți, dacă este necesar să se obțină un hash cu lungime mai mare de 4 octeți, sunt efectuate mai multe iterații ale acestei scheme pe trei niveluri.

Funcție generică

Lăsați funcția hash să fie aleasă dintr-o clasă de funcții hash H care mapează mesajele la D, un set de posibile modele de mesaje. Această clasă se numește universală dacă pentru orice pereche separată de mesaje, există în setul de funcții H/D, o funcție care le mapează la elementul D. Semnificația acestei funcții este că dacă o terță parte dorește să înlocuiască un mesaj cu alta, dar în același timp consideră că funcția hash a fost aleasă absolut aleatoriu, atunci probabilitatea de a nu detecta o substituție de către partea primitoare tinde spre 1/D.

L1-Hash - primul pas

L1-Hash împarte mesajele în bucăți de 1024 de octeți și aplică un algoritm de hashing numit NH fiecărei bucăți. Ieșirea algoritmului NH este de 128 de ori mai mică decât intrarea.

L2-Hash - Etapa 2

L2-Hash funcționează cu ieșirea L1-Hash, folosește algoritmul polinom POLY. A doua etapă de hashing este utilizată numai dacă lungimea mesajului de intrare este mai mare de 16 megaocteți. Utilizarea algoritmului POLY este necesară pentru a evita atacurile de sincronizare. Ieșirea de la algoritmul POLY este un număr de 16 octeți.

L3-HASH - a treia etapă

Această etapă este necesară pentru a obține o valoare de 4 octeți de la ieșirea de 16 octeți ai algoritmului L2-Hash.

Probleme de securitate

Rezistența la criptoanaliza

Puterea UMAC depinde de funcțiile sale principale: funcția de derivare a cheii (KDF) și funcția de generare a secvenței pseudo-aleatorie (PDF). De aceea, ambele funcții sunt implementate folosind criptarea bloc, de obicei Advanced Encryption Standard (AES). Cu toate acestea, UMAC permite utilizarea altor coduri bloc. Principalul avantaj al algoritmului UMAC și al funcției UHASH este că puterea lor depinde numai de proprietățile matematice ale algoritmului și funcției date. Prin urmare, criptoanaliza nu afectează securitatea funcției UHASH.

Lungimea numerelor pseudoaleatoare și posibilitatea înlocuirii

Algoritmul MAC este utilizat pentru autentificarea mesajelor între două părți care cunosc cheia secretă partajată K. Etichetele de autentificare sunt calculate pentru mesaj folosind cheia K, iar în cazul UMAC, cheia este timpul. Hackerea algoritmului MAC înseamnă că atacatorul este capabil să genereze el însuși mesaje fără să cunoască cheia. Teoria Wegman-Carter și analiza UMAC arată că dacă se folosește un algoritm UMAC cu chei aleatoare și valoare inițială Nonce, atunci probabilitatea ca un atacator să spargă mesajul este: , , , , dacă etichete de ieșire cu lungimea 32, 64, 96 , sunt utilizate, respectiv, 128. Dacă un atacator face N încercări, atunci probabilitatea de hacking crește proporțional cu numărul de încercări, adică de N ori. Odată cu utilizarea suplimentară a algoritmului AES, probabilitatea de hacking este semnificativ redusă. ${\frac {1}{2^{30)})$ ${\frac {1}{2^{60)})$ ${\frac {1}{2^{90)})$ ${\frac {1}{2^{120}))$

Siguranța utilizării Nonce

UMAC folosește ora curentă în intervalul 1 până la BLOCKLEN octeți. În acest caz, toate valorile Nonce din timpul sesiunii trebuie să fie egale ca lungime. Pentru cea mai bună securitate, nicio valoare Nonce nu trebuie repetată atunci când utilizați aceeași cheie de sesiune.

Dacă se utilizează un canal de transmisie duplex, atunci pot fi folosite taste diferite pentru fiecare direcție. Când folosiți o cheie în ambele direcții, este foarte important ca valoarea Nonce să nu se repete, acest lucru se poate face folosind taste pare într-o direcție și taste impare în cealaltă direcție. În acest caz, valoarea curentă a lui Nonce nu trebuie să fie păstrată secretă.

Valoarea Nonce poate fi creată și transmisă în următoarele moduri:

Valoarea curentă a Nonce este un număr nesemnat de 8 octeți care este resetat la zero la începutul sesiunii și incrementat cu unu după fiecare etichetă trimisă. În acest caz, acest contor este transmis împreună cu mesajul. Dacă în timpul sesiunii sunt transmise mai mult de 2 ^ 64 de mesaje, atunci are loc o întrerupere .
Valoarea curentă a Nonce este un număr fără semn BLOCKLEN-byte care este setat la zero la începutul sesiunii și incrementat cu unu după fiecare etichetă trimisă. În acest caz, contorul nu este transferat în mod explicit între expeditor și destinatar, iar fiecare dintre aceștia contorizează însăși valoarea curentă.
Valoarea curentă a Nonce este o valoare pseudo-aleatorie pe octeți BLOCKLEN. Dar atunci este importantă sincronizarea secvențelor pseudoaleatoare la expeditor și destinatar.

Atacurile repetate

Atacurile prin reluare sunt acțiunile unui atacator care vizează repetarea unui mesaj, un număr aleatoriu și autentificarea unei etichete. În UMAC, acest atac va eșua deoarece fiecare valoare Nonce este folosită exact o dată.

Verificarea prefixului etichetei.

Natura UMAC permite implementarea verificării prefixului de etichetă, de exemplu, un receptor poate verifica doar un prefix de 32 de biți dintr-o etichetă de 64 de biți. Acesta este utilizat pentru optimizare dacă sarcina de calcul a verificării este mare. În acest caz, receptorul are capacitatea de a respinge întreaga etichetă dacă prefixul pe 32 de biți este incorect. Acest algoritm reduce securitatea sesiunii.

Literatură

J. Black, S. Halevi, H. Krawczyk, T. Krovetz și P. Rogaway, „UMAC: Fast and probaably secure message authentication”, Advances in Cryptology - CRYPTO '99, LNCS vol. 1666, pp. 216-233, Springer-Verlag, 1999.
L. Carter și M. Wegman, „Clasele universale de funcții hash”, Journal of Computer and System Sciences, 18 (1979), pp. 143–154.
T. Krovetz, „Software-optimized universal hashing and message authentication”, UMI Dissertation Services, 2000.
M. Wegman și L. Carter, „New hash functions and their use in authentication and set equality”, Journal of Computer and System Sciences, 22 (1981), pp. 265–279.