Аннотация:
В работе представлен новый режим аутентифицированного шифрования $\mathsf{sMGM}$ (strong Multilinear Galois Mode). Предлагаемая конструкция может рассматриваться как расширение стандартизированного режима $\mathsf{MGM}$ и его модификации $\mathsf{MGM2}$, представленной на конференции CTCrypt'21. Отличительной особенностью режима является наличие интерфейса, позволяющего выбирать определенные свойства безопасности под конкретное приложение. В частности, можно включать и выключать внутреннее преобразование ключа и стойкость к повтору вектора инициализации.
Режим $\mathsf{sMGM}$ состоит из двух основных «строительных блоков» — CTR-подобной функции генерации гаммирующей последовательности со встроенным внутренним преобразованием ключа и мультилинейной функции, которая лежит в основе оригинального режима $\mathsf{MGM}$. Различные способы комбинирования и использования этих функций обеспечивают различные свойства безопасности. Такой подход к конструированию AEAD режимов позволяет уменьшить размер программного кода, что может быть критично для устройств с ограниченными ресурсами.
Для предлагаемого режима получены оценки стойкости в расширенных моделях противника. Мы фокусируемся на доказательстве стойкости режима $\mathsf{sMGM}$ в моделях с возможностью повторять инициализирующий вектор, так как анализ стандартных свойств безопасности был проведен в процессе разработки оригинальных режимов $\mathsf{MGM}$ и $\mathsf{MGM2}$.
Ключевые слова:MGM, MGM2, AEAD режим, модель безопасности, оценки стойкости, устойчивость к повтору вектора инициализации, SIV, внутреннее преобразование ключа.
Полный текст:
PDF файл (756 kB)