Codes d'authentification de message | Intégrité | Authentification | Alison
Loading
Notes d'étude
Study Reminders
Support
Text Version

Intégrité et authentification des messages

Set your study reminders

We will email you at these times to remind you to study.
  • Monday

    -

    7am

    +

    Tuesday

    -

    7am

    +

    Wednesday

    -

    7am

    +

    Thursday

    -

    7am

    +

    Friday

    -

    7am

    +

    Saturday

    -

    7am

    +

    Sunday

    -

    7am

    +

Fondations de la cryptographie Prof. Dr. Ashish Choudhury (ancienne) Infosys Foundation Professeur de développement de carrière Professeur Indian Institute of Technology-Conférence Bengaluru-22 Intégrité des messages et authentification Bonjour à tous, bienvenue à la conférence 21, le plan de cette conférence est le suivant: nous introduisons la notion d'intégrité et d'authenticité des messages. (Référez-vous à l'heure de la diapositive: 00:36) Et nous discuterons de la façon d'atteindre ces 2 notions à l'aide d'une primitive de cryptographie que nous appelons les codes d'authentification des messages ou MAC. Et nous discuterons de la construction du max pour les messages à longueur fixe utilisant des fonctions pseudo aléatoires. (Voir Heure de la diapositive: 00 :53) Donc, commençons par la définition de l'intégrité et de l'authenticité des messages dans le paramètre de clé symétrique. Ainsi, l'objectif de l'intégrité et de l'authenticité du message dans le monde de la clé symétrique est le suivant: nous supposons que nous avons un émetteur et un récepteur avec une clé aléatoire pré-partagée connue uniquement pour l'expéditeur et le récepteur. Et supposons qu'il y a une chaîne de bits, que l'expéditeur a communiqué sur un canal non sécurisé entre l'expéditeur et un récepteur. Donc, je souligne ici que m ici ne dénote qu'une chaîne de bits, il peut s'agir d'une chaîne de bits dont il n'a pas besoin d'être un chiffre, il s'agit d'une simple chaîne de caractères. Ainsi, le problème de l'authenticité du message est le suivant: lorsque le récepteur reçoit une chaîne de bits sur ce canal non sécurisé, comment le récepteur peut-il s'assurer que la chaîne de bits reçue a bel et bien été envoyée par l'expéditeur désigné? C'est un problème d'authenticité des messages. En effet, le but est ici pour le récepteur de vérifier si le contenu des chaînes de bits qu'il a reçues sur le canal provient en effet de l'émetteur ainsi appelé. C'est un problème d'authenticité des messages. (Reportez-vous à la section Heure de la diapositive: 02 :02) et un problème connexe est celui de l'intégrité des messages, où l'objectif du récepteur est de vérifier si la chaîne de bits reçue a été modifiée en route ou non. Cela signifie que, pour le moment, le destinataire s'assure que la chaîne de bits reçue a été envoyée par l'expéditeur désigné. Maintenant, il veut vérifier si la chaîne de bits qu'il a reçue a été modifiée pendant qu'il est, au cours de son voyage depuis, au cours du voyage de l'expéditeur vers le récepteur, c'est un problème d'intégrité des messages. Et je voudrais souligner ici qu'il n'y a aucune notion ou aucune question de secret que nous sommes intéressés à résoudre. Nous sommes tout simplement intéressés à résoudre le problème de l'authenticité et de l'intégrité ici. Ainsi, la solution cryptographique potentielle pour résoudre la question de l'authenticité et de l'intégrité est la suivante: avec la chaîne de bits que l'expéditeur aimerait communiquer au récepteur, l'expéditeur peut attacher une balise courte qui est indépendante de la taille du message et qui est calculée en fonction de la clé et d'un message. Une fois que la balise est associée au message lorsque le récepteur reçoit le message avec la balise, le récepteur peut exécuter un algorithme de vérification de balise par rapport au même k avec lequel l'émetteur a calculé la balise. Par conséquent, il peut vérifier si l'algorithme de vérification de balise produit 0 ou 1 et si c'est la sortie 1 qui signifie que la balise a été vérifiée avec succès, alors elle peut accepter le message ou bien elle peut rejeter le message, alors, c'est l'idée générale. (Reportez-vous à la section Heure de la diapositive: 03 :38) Nous allons donc discuter de la façon dont nous allons exactement concevoir un algorithme de génération de balises et comment concevoir la vérification des balises, de sorte que ce sera notre prochain objectif. Mais avant d'aller dans ce sens, discutons de ces 3 objectifs que nous essayons d'atteindre à l'aide de différentes primitives cryptographiques. Nous avons le problème de l'intégrité des messages, de l'authenticité des messages et de la confidentialité des messages. Donc, le message dans le problème de la confidentialité des messages, l'objectif est de parvenir au secret de la communication. À savoir, quel que soit l'expéditeur du texte en clair, il est intéressé de communiquer avec le destinataire. L'objectif de la protection de la vie privée est de s'assurer que le message n'est pas lié à un tiers. Alors que pour l'intégrité et l'authenticité, dans le problème de l'intégrité et de l'authenticité, l'objectif est la vérification de la source et du contenu de la communication. Et c'est bien si la vie privée du message est perdue, cela signifie que nous ne sommes pas intéressés ici à préserver la confidentialité du contenu. Ainsi, la question de la vie privée et la question de l'authenticité et de l'intégrité, elles sont orthogonales les unes aux autres. (Référez-vous à la diapositive: 04 :49) Et il s'avère qu'il y a plusieurs scénarios d'application où l'exigence est seulement d'assurer l'intégrité et l'authenticité, et non la vie privée. Par exemple, si nous considérons une application RFID, où un utilisateur affiche une carte à puce avant d'entrer dans un bâtiment, l'objectif est d'assurer uniquement l'intégrité et l'authenticité. L'objectif est de s'assurer que seuls les utilisateurs légitimes sont autorisés à entrer dans le bâtiment. Alors qu'un utilisateur qui n'est pas censé entrer dans le bâtiment ne doit pas donner accès à l'immeuble. Ainsi, il y a plusieurs applications dans le monde réel où l'objectif est seulement de parvenir à l'intégrité et à l'authenticité, et non à la vie privée. Cela signifie que nous devrions maintenant discuter de la façon de concevoir des primitives cryptographiques pour résoudre les problèmes d'intégrité et d'authenticité. (Référez-vous à la diapositive: 05 :34) Et un outil commun qui résout ces deux problèmes est appelé comme code d'authentification des messages. Ainsi, un code d'authentification de message ou MAC en abrégé est une primitive symétrique qui se compose de 3 algorithmes. Les algorithmes de génération de clé extraient une clé uniformément aléatoire de l'espace clé, et il doit s'agir d'un algorithme aléatoire parce que s'il s'agit d'un algorithme déterministe, alors tout tiers dans le monde connaitra la clé. L'algorithme de génération de balises prend un message que l'expéditeur souhaite envoyer au destinataire d'une manière authentifiée et vérifiable. Et il prend la clé qui est générée par l'algorithme de génération de clé disponible avec l'expéditeur ainsi qu'avec le récepteur et il pourrait s'agir d'un algorithme randomisé potentiel. Il pourrait donc avoir un caractère aléatoire interne, mais il n'est pas nécessaire qu'il s'agit d'un algorithme aléatoire et nous en discuterons plus tard. Donc, à la différence d'un algorithme de chiffrement qui doit être randomisé pour parvenir à n'importe quelle notion significative de secret, lorsque nous en venons au code d'authentification de message puisque notre but n'est pas d'atteindre le secret, mais plutôt de résoudre le problème de l'intégrité et de l'authenticité, il n'est pas nécessaire que votre algorithme de génération de tag soit randomisé. L'algorithme de génération de balises est donc une fonction du message à authentifier et la clé avec un caractère aléatoire facultatif. Et elle génère la balise à partir de l'espace d'étiquette, et de préférence la taille de la balise doit être indépendante de la taille du message. L'algorithme de vérification des balises prend 2 entrées, c'est-à-dire que le message doit être vérifié avec la balise correspondante et une clé est utilisée, qui est la même clé avec laquelle doit être de préférence la même clé avec laquelle la balise a été générée. Et un algorithme de vérification de balise de sortie 0 ou 1, 0 signifie qu'il rejette le message qui signifie que la balise n'est pas satisfaisante par rapport au message. Alors que la sortie 1 signifie que la vérification de la balise a abouti et qu'elle accepte donc le message. Et l'algorithme de vérification des balises est toujours un algorithme déterministe parce que nous voulons que la vérification de l'étiquette soit sans ambiguïté. L'exigence de correction de tout code d'authentification de message est la suivante: nous avons besoin que pour chaque k qui est obtenu en exécutant l'algorithme de génération de clé et tout message qui a été authentifié à l'aide de l'algorithme de génération de balises, la sortie de l'algorithme de vérification de balise avec le message et la balise correspondante générée par l'exécution de l'algorithme de génération de balise où le même k a été utilisé pour la génération de balises et pour la vérification de balise, la sortie de la vérification de balise doit toujours être un succès. Donc, ceci est analogue à l'exigence de correction du processus de déchiffrement dans tout schéma de chiffrement, de sorte que l'exigence de correction ici est simple. (Référez-vous à la diapositive: 08 :22) Maintenant, passons à la définition de sécurité de MAC, quelle est exactement la propriété de sécurité dont nous avons besoin. Donc, avant d'entrer dans la définition formelle, essayons d'abord de comprendre intuitivement ce que nous voulons exactement réaliser à l'aide d'une MAC sécurisée. Donc, intuitivement, une MAC sécurisée devrait empêcher les événements suivants: imaginez que nous avons un émetteur et un récepteur qui ont partagé une clé qui a été obtenue en exécutant l'algorithme de génération de clé. Et dire que l'expéditeur a communiqué plusieurs messages et qu'il a attaché les balises correspondantes calculées selon l'algorithme de génération de balise par rapport à la clé qui est connue uniquement à l'expéditeur et seulement au récepteur. Et maintenant nous avons un adversaire malveillant qui intercepte toutes ces paires (message, tag), mais il ne connaît pas la valeur de la clé. La clé est inconnue pour cet attaquant. Le but de l'attaquant est de produire un nouveau message à partir de l'espace de texte en clair ou à partir de l'espace de message et de la balise correspondante, de sorte que la paire (message, balise) est différente de toutes les paires (message, balise) qu'elle a interceptées ou qui ont été communiquées par l'expéditeur. De ce fait, lorsqu'il transmet la nouvelle paire (message, étiquette) au récepteur, les sorties de vérification de balise 1, cela signifie que la vérification de la balise a abouti. Donc en gros, l'objectif de l'adversaire ici est de créer une contrefaçon. Fondamentalement, en se basant sur les paires de paires légitimes (message, étiquette) qu'il aurait pu voir au cours des sessions précédentes, qui ont été échangées entre l'expéditeur et un récepteur sous une clé inconnue. Le but de l'attaquant est de produire une nouvelle paire (message, étiquette) de telle sorte que la nouvelle paire (message, étiquette) n'a jamais été communiquée par l'expéditeur. En outre, la nouvelle paire (message, étiquette) du récepteur, telle que la vérification a été vérifiée à la fin de la réception, a abouti. Si c'est possible, notre MAC n'est pas considérée comme étant en sécurité. C'est un objectif intuitif que nous voulons saisir par une définition formelle. Et comme nous l'avons fait pour toutes les primitives cryptographiques dans ce cours, cette exigence intuitive va être saisie formellement par un jeu de réponses de défi. (Reportez-vous à la page Heure de la diapositive: 10 :34) Où, nous avons deux types de notions de sécurité, donc la première expérience correspond à une garantie de sécurité plus forte que nous appelons la sécurité d'attaque de message fortement choisi ou SCMA en bref. Nous avons un adversaire délimité par ordinateur dans cette expérience, et le vérificateur hypothétique et l'expérience consistent essentiellement en une phase de formation et une phase de sortie. (Référez-vous à la diapositive: 10:58) Dans la phase de formation, l'adversaire soumet de façon adaptative plusieurs messages de son choix et demande les balises sur ces messages de l'expérience. Donc, cela correspond au scénario du monde réel où notre adversaire aurait pu voir plusieurs paires légitimes (message, étiquette) communiquées entre l'expéditeur et un récepteur lors des sessions précédentes. Donc ici pour modéliser ça, nous donnons à l'adversaire la chance de s'entraîner là où nous permettons à l'adversaire de soumettre n'importe quel message de lui est le choix de l'espace de message. Et voir les tags sur ces messages sous une clé inconnue k qui est choisie par l'expérience du vérificateur. Et la réponse du vérificateur est les balises sur ces messages selon l'algorithme de génération de balise et une clé aléatoire inconnue k qui n'est pas connue de l'agresseur. Ainsi, le nombre de requêtes pour lesquelles l'adversaire peut demander la balise est délimité par une fonction polynomiale dans le paramètre de sécurité. Une fois que l'adversaire est formé, le but de l'adversaire est de générer la contrefaçon, à savoir l'objectif de l'adversaire est de générer une paire (message, étiquette). Et nous disons que l'adversaire a gagné l'expérience, si et Tag-verfkthat signifie que la vérification des balises est un succès. Si cela se produit, alors nous disons que l'adversaire est capable de gagner l'expérience ou l'adversaire est capable de produire une contrefaçon légitime même sans connaître la valeur de k. Et notre définition de sécurité est que nous disons que notre code d'authentification de message est très bien choisi attaque de message sécurisée ou SCMA sécurisé. Si pour chaque adversaire polynomial participant à cette expérience, la probabilité d'un adversaire gagnant de l'expérience est Pr [ A gagne l'expérience ] ≤ negl (n) où les probabilités sur le choix aléatoire de l'algorithme de génération de clé et les requêtes pour lesquelles l'adversaire a demandé le service de balise. Alors remarquant que contrairement aux notions de sécurité précédentes où nous avons en fait exigé que la probabilité de succès de cet adversaire soit bornée par la moitié plus négligeable, il n'y a pas de quantité comme 1/2 ici. Parce que le but du code d'authentification des messages est d'empêcher la falsification de ne pas atteindre la vie privée. C'est-à-dire dans cette expérience, il n'y a rien pour lequel l'adversaire devrait pouvoir faire la distinction. L'objectif de l'adversaire est essentiellement de créer une contrefaçon. Et il y a toujours une attaque de devinerie où l'adversaire peut juste deviner un message aléatoire et une balise aléatoire. Parce qu'il connaît la description de l'espace de message et de l'espace d'étiquette et qu'il y a toujours une probabilité non nulle que le message deviné et le guessed constituent en effet un message légitime (message, étiquette) ou une contrefaçon légitime. C'est pourquoi nous ne pouvons jamais exiger dans cette expérience de sécurité qu'une probabilité de succès de l'adversaire soit 0. Le maximum de ce que nous pouvons espérer est que la probabilité de falsification de l'adversaire est négligeable dans le paramètre de sécurité. (Référez-vous à la diapositive: 14:13) Il s'agit donc d'une définition de la sécurité solide de l'AMC. Maintenant, il y a une notion connexe de sécurité pour le MAC, que nous appelons juste une sécurité de l'AMC. Et ici aussi l'expérience consiste en une phase de formation et la phase de remise en question dans laquelle l'adversaire de la phase de formation soumet plusieurs messages de son choix. Et voit les tags sur ces messages sous une clé inconnue k et l'objectif de l'agresseur est de soumettre un faux. Mais la règle de l'expérience ici ou la façon dont nous définissons la sortie de l'expérience ici est différente. Nous disons dans cette expérience CMA, que l'adversaire a gagné l'expérience si. Donc, si vous voyez ces deux notions de sécurité, elles diffèrent d'une manière très, très certaine.Le succès de la contrefaçon dans le jeu SCMA ou le jeu solide de CMA signifie que l'adversaire a produit une étiquette valide sur un nouveau message ou qu'il a produit une nouvelle balise valide sur un message existant. Parce que l'exigence est que l'ensemble de la falsification, à savoir le message combiné et la balise lorsqu'ils sont pris ensemble, doit être différent de toutes les paires précédentes (message, étiquette) que l'adversaire a vues. Et cette condition qui (m*, t *) est différente de toutes les précédentes (mi, ti) peut se produire dans n'importe laquelle de ces 2 voies. Soit le message complètement nouveau, soit il est possible que m * soit l'un des messages existants. Mais la balise t * est différente de n'importe quelle balise précédente sur le même message. Et ceci n'est possible que si votre algorithme de génération de balise sous-jacente est un algorithme de génération de balise aléatoire. Et c'est pourquoi lorsque nous discutons de la syntaxe de l'algorithme de génération de balises, j'ai dit qu'il n'est pas nécessaire que votre algorithme de génération de balises soit randomisé. Il pourrait être randomisé ou il ne s'agit peut-être pas d'un algorithme aléatoire. Donc, si votre algorithme de génération de balises est un MAC randomisé, alors la solide sécurité CMA vous donne la garantie. Que même si l'adversaire veut se présenter avec une contrefaçon sur un message existant, la contrefaçon devrait être à l'égard de la production d'une nouvelle étiquette pour le message existant. Alors que si nous voyons la contrefaçon dans le jeu CMA, nous disons qu'un faux n'est un succès que si le faux est sur un nouveau message qui est complètement différent de tous les messages pour lesquels l'adversaire a vu l'étiquette lors de la session précédente. Cela capture la sécurité pour MAC déterministe car si votre algorithme de génération de balises est déterministe, alors pour chaque message il y a une balise unique. Et dans ce cas, le faux n'est possible que si le faux message est différent de tous les messages pour lesquels l'adversaire a déjà vu la balise. Donc, cela implique que si notre algorithme de génération de balises est un processus déterministe, alors la sécurité forte de CMA ainsi que la sécurité CMA sont les mêmes. Parce que si notre algorithme de génération de balises est déterministe, alors ne peut arriver que si. Dans ce cas, le jeu de sécurité solide de l'AMC devient le même que le jeu CMA. Mais si nous utilisons un code d'authentification par message déterministe, alors cette notion de CMA forte et de CMA est complètement différente. (Voir la diapositive: 17:49) Nous avons donc maintenant la définition de la sécurité de l'AMC et de la sécurité de l'AMC. Alors, voyons comment nous pouvons construire un code d'authentification de message pour les messages à longueur fixe. Lors de la prochaine conférence, nous verrons comment construire des codes d'authentification de messages pour des messages longs arbitraires. Et intéressant de calculer un code d'authentification de message pour un message de longueur fixe, nous utiliserons notre vieil ami à clé symétrique, à savoir une fonction pseudo-aléatoire, et cela montre l'importance de la fonction pseudo-aléatoire que nous avions déjà vue. Si vous souhaitez concevoir un schéma sécurisé CPA, vous pouvez utiliser des fonctions pseudo-aléatoires dans n'importe quel mode de fonctionnement. Et nous avons aussi vu que si vous voulez instancier ce PRF dans la pratique, alors vous pouvez toujours les remplacer par un triple DES ou tout algorithme de chiffrement pratiquement connu. Donc, ces fonctions pseudo aléatoires sont très, très primitives car elles ne sont pas seulement utilisées pour concevoir des outils cryptographiques pour résoudre le problème de confidentialité. Nous allons maintenant voir comment ils peuvent être utilisés pour résoudre la conception des codes d'authentification des messages afin de résoudre le problème de l'authenticité et de l'intégrité des messages. (Reportez-vous à la section Heure de la diapositive: 18:59) Supposons que vous avez une fonction pseudo-aléatoire à clé avec une clé n-bit, une taille de bloc l-bit et une sortie de bits de taille L. Il s'agit d'un FPR sécurisé selon la définition du jeu basé sur l'indistinction. Et en utilisant cette fonction pseudo-aléatoire à clé, nous allons maintenant construire un code d'authentification de message déterministe où, et. L'idée ici est très simple, l'algorithme de génération de clé de la MAC que nous construisons va faire ce qui suit: il va générer une clé uniformément aléatoire pour le PRF sous-jacent. Ce ’ est l'algorithme de génération de clé. L'algorithme de génération de balises est un algorithme déterministe où l'authentification d'un message m de taille l-bits sous la clé k,. L'algorithme de vérification de balise est simple, il prend la paire (message, balise) et la clé k et il vient de recalculer la balise sur le message m et le compare au composant de balise t qu'il prend comme l'entrée, c'est-à-dire de recalculer la balise de la partie de message sous la clé k et les sorties .Donc, dans un sens ce que c'est que l'algorithme de génération de balises et de vérification des balises est que la balise est essentiellement la sortie de la fonction pseudo-aléatoire, en obtenant des messages en entrée. Et nous pouvons prouver formellement que si la fonction pseudo-aléatoire sous-jacente est une fonction pseudo-aléatoire sécurisée, alors cette construction MAC que nous avons vue est une CMA sécurisée forte CMA, pour l'authentification des messages de chaînes de taille l-bit. Pourquoi l'AMC est-elle en sécurité? Parce que nous construisons un algorithme de génération de balise déterministe. Et comme nous l'avons fait valoir que si notre algorithme de génération de balises est déterministe, alors la notion de sécurité CMA et la sécurité forte de CMA sont équivalentes. (Voir Diapositive Heure: 21:30) C'est donc le théorème que nous voulons prouver et je ne vais pas entrer dans les détails formels complets de la preuve de sécurité ici. Je vais vous donner un argument intuitif pour expliquer exactement ce théorème. Et je le laisse comme un exercice pour vous pour convertir cet argument intuitif en argument de réduction formel. Par conséquent, pour le moment, vous considérez un autre code d'authentification de message où toutes les instances de la fonction PRF à clé dans le processus de génération de balises ainsi que dans le processus de vérification des balises sont remplacées par une instance de TRF à clé. Cela signifie que, dans le code d'authentification des messages de remplacement, l'algorithme de génération de clés génère une fonction vraiment aléatoire qui sera disponible à la fois avec l'expéditeur et un récepteur. Bien sûr, il s'agit d'un algorithme de génération de clé inefficace. Mais l'aspect de l'efficacité ne nous intéresse pas. La raison pour laquelle j'introduis ce code d'authentification de message basé sur une fonction vraiment aléatoire est qu'il nous aidera à comprendre l'intuition sous-jacente derrière une preuve de ce théorème, que nous voulons prouver ici. Il s'agit donc d'un algorithme de génération de clé pour le code d'authentification de message basé sur une fonction vraiment aléatoire. L'algorithme de génération de balises pour cet autre code d'authentification de message est le suivant: pour authentifier un message m, la balise est essentiellement la valeur de cette fonction vraiment aléatoire sur le message comme entrée. Et l'algorithme de vérification des balises de l'autre MAC, à savoir, est analogue à la vérification d'une paire (message, étiquette). Le récepteur recalcule la valeur de la balise en évaluant la fonction vraiment aléatoire dans la partie de message et la compare à la pièce de balise. Et si la vérification réussit, la sortie est 1 sinon la sortie est 0. Maintenant, il est facile de voir que la CMA vraiment aléatoire fondée sur les fonctions est certainement une RMR solide. La raison en est que si un adversaire a vu la valeur de l'étiquette sur plusieurs messages de son choix dans le jeu CMA par le passé. Et maintenant, s'il veut créer un tag sur le nouveau message, il doit deviner la valeur de la fonction vraiment aléatoire sur le nouveau message sur lequel il veut générer le faux ou créer le faux. Et la probabilité avec laquelle elle peut deviner la valeur de la fonction vraiment aléatoire sur un message m pour lequel elle n'a pas vu la sortie de la fonction vraiment aléatoire est au plus 1/2L, parce que f est une fonction vraiment aléatoire. C'est donc un argument simple basé sur lequel vous pouvez affirmer que la fonction vraiment aléatoire basée sur la fonction MAC est définitivement sûre CMA. (Reportez-vous à la section Heure de la diapositive: 24 :25) Intuitivement, la même valeur doit être retenue, à savoir que la sécurité forte de CMA doit être mise en attente même si le TRF est remplacé par un fichier PRF où la clé n'est pas connue de l'agresseur. Parce que c'est ce qui est la propriété de sécurité d'une fonction pseudo-aléatoire sécurisée. En effet, si l'adversaire n'a pas réussi à créer une balise sur un message sur la fonction vraiment aléatoire basée sur la fonction, parce qu'il interagit avec une fonction vraiment aléatoire, il en va de même si l'expéditeur et le récepteur utilisent un code d'authentification des messages où, au lieu d'une fonction vraiment aléatoire, une fonction pseudo-aléatoire est utilisée. Parce que, si à tout moment il est possible pour un adversaire de réussir la falsification avec une probabilité significative qui n'est pas négligeable, cela signifie que nous connaissons maintenant un adversaire ou nous pouvons concevoir un adversaire qui peut différencier une interaction avec une fonction vraiment aléatoire et une fonction pseudo-aléatoire à clé. Mais ce sera une contradiction avec l'hypothèse que nous supposons que le F est une fonction pseudo-aléatoire sécurisée. C'est donc une intuition globale de cette construction, je laisse les détails formels de la preuve de réduction comme un exercice pour vous. Cela m'amène à la fin de cette conférence. Dans cette conférence, nous avons introduit les problèmes d'intégrité et d'authenticité des messages. Et nous avons vu 2 notions équivalentes de code d'authentification de message, les notions de sécurité du code d'authentification des messages, à savoir, nous avons vu la définition de la sécurité de l'AMC forte qui est contre les codes d'authentification par message aléatoire. Et nous avons vu la définition de sécurité, la définition de sécurité CMA pour les codes d'authentification des messages déterministes. Et j'insiste sur le fait que le but du code d'authentification des messages n'est pas de résoudre le problème de la vie privée, mais plutôt de résoudre le problème de l'intégrité et de l'authenticité lorsqu'un récepteur souhaite vérifier s'il reçoit un message d'un expéditeur désigné. De plus, il aimerait vérifier si le contenu qu'il a reçu de l'expéditeur désigné a changé en route ou non. J'espère que vous avez apprécié cette conférence, merci !

Notification
You have received a new notification
Click here to view them all