Message Authentication Code

Existen por fuera de los criptosistemas. Es una terna de algoritmos:

• Gen (Algoritmo de generación de claves)
• Mac (Etiquetado): $t\leftarrow {\text{Mac}}_k(m)$
  • La idea es que $t$ sea más chica que el mensaje original
• Vrfy (Verificación): $b={\text{Vrfy}}_k(m,t)$

De esta forma:

• La salida de Gen define $K$ el espacio de claves.
• Mac es una función no deterministica
• Vrfy retorna 0 (invalido) o 1 (valido)
• Para todo $m$ y $k$ validos: ${\text{Vrfy}}_k(m,{\text{Mac}}_k(m))=1$

Seguridad de un MAC

![[Pruebas de Seguridad#message-authentication-experiment—textmac-forge_a-pi|Message Authentication Experiment $text{Mac-forge}_{A,Pi}$]]

Ataques de Replay

Los MACs no ofrecen protección contra un ataque de replay, donde se repite un mensaje enviado/almacenado anteriormente. Esto debe ser solucionado explícitamente en los protocolos, mediante números de secuencia o timestamps.

CBC-MAC

Podemos construir un MAC a partir de una primitiva de cifrado de bloque: Sea $F$ una función pseudoaleatoria.

• Gen: $k\leftarrow \{0,1{\}}^n$
• Mac:
  • Sea $m=m_1||m_2||...||m_j$, sea $t_0=\mathrm{00...0}$
  • $t_i=F_k(t_{i-1}\oplus m_i)$
  • ${\text{Mac}}_k(m)=t_j$
• Vrfy: $\text{Vrfy}k(m,t)=1\leftrightarrow t={\text{Mac}}_k(m)$

Condición de Infalsificabilidad

Es infalsificable si solo se permiten mensajes de la misma longitud.

Extensiones

Las siguientes extensiones son seguras para mensajes de longitud arbitraria:

• En vez de utilizar $k$, utilizamos $k^{\prime }$ como clave para la función $F$.
  • Computar $k^{\prime }=F_k(|m|)$
  • Calcular $T_i=F_{k^{\prime }}(t_{i-1}\oplus m_i)$, ${\text{Mac}}_k(m)=t_j$
• Computar $m^{\prime }=|m|||m$
  • ${\text{Mac}}_k(m)={\text{CBC-MAC}}_k(m^{\prime })$
• Utilizar dos claves $k_1$ y $k_2$: Como esto requiere claves del doble de longitud no se usa mucho.
  • Calcular $t^{\prime }={\text{CBC-MAC}}_{k1}(m)$
  • $t=F_{k2}(t^{\prime })$

WARNING

La variante $m^{\prime }=m|||m|$ no es segura

HMAC

Funciones de Hash y MACs

Es posible construir un MAC a partir de una función de Hash. Dado $H(x)$ una función de hash libre de colisiones, la función $HMA{C}_k(x)$ es infalsificable (pasa la prueba MAC-Forge), donde $HMA{C}_k(x)$:

• GEN: $k\leftarrow K,s\leftarrow S$
• MAC: $t=H^s((k\oplus \text{opad})||H^s((k\oplus \text{ipad})||m))$, donde $\text{opad}=0x36\dots 36$ y $\text{ipad}=0x5c5c\dots 5c$.

El valor de $\text{ipad}$ y $\text{opad}$ no importa, siempre y cuando sean diferentes.

Enlace al original