消息認(rèn)證裝置將消息M壓縮為2n比特的值H，并將值H分割為n比特的兩個(gè)值H[1]和值H[2]。消息認(rèn)證裝置從值H[1]提取min{t，n/2}比特的兩個(gè)值U[1]和值U[2]，將消息M和值U[1]作為輸入而生成t比特的值V[1]，并且將消息M和值U[2]作為輸入而生成t比特的值V[2]。消息認(rèn)證裝置使用值V[1]作為Tweak并利用可調(diào)分組密碼E加密值H[2]而生成值Z[1]，并且使用值V[2]作為Tweak并利用可調(diào)分組密碼E加密值H[2]而生成值Z[2]。消息認(rèn)證裝置根據(jù)值Z[1]和值Z[2]生成認(rèn)證碼Z。

技術(shù)領(lǐng)域

本發(fā)明涉及使用可調(diào)分組密碼(tweakable block cipher)的消息認(rèn)證技術(shù)。

背景技術(shù)

當(dāng)使用消息認(rèn)證算法時(shí)，能夠檢測(cè)數(shù)據(jù)的篡改。將用消息認(rèn)證算法處理的數(shù)據(jù)稱為消息。

消息認(rèn)證算法是將任意長(zhǎng)度的消息M和密鑰K作為輸入并輸出固定長(zhǎng)度的篡改檢測(cè)用的認(rèn)證碼Z的函數(shù)。

將發(fā)送者設(shè)為Alice，將接收者設(shè)為Bob。在進(jìn)行使用消息認(rèn)證算法的篡改檢測(cè)通信的情況下，Alice和Bob預(yù)先共享密鑰K。

Alice根據(jù)消息M和密鑰K，使用消息認(rèn)證算法生成消息M的認(rèn)證碼Z，并將消息M和認(rèn)證碼Z發(fā)送給Bob。Bob接收消息M和認(rèn)證碼Z，根據(jù)消息M和密鑰K，使用消息認(rèn)證算法生成認(rèn)證碼Z'。如果接收到的認(rèn)證碼Z與生成的認(rèn)證碼Z'一致則Bob判斷為消息M未被篡改，如果不一致則判斷為被篡改。

消息認(rèn)證算法的安全性能夠使用偽隨機(jī)數(shù)性。偽隨機(jī)數(shù)性是如下安全性：使用輸出0或1的1比特的值的識(shí)別者D，并考慮識(shí)別者D訪問(wèn)消息認(rèn)證算法并觀測(cè)輸出值后輸出1的概率與識(shí)別者D訪問(wèn)隨機(jī)函數(shù)R并觀測(cè)輸出值后輸出1的概率之差。該差稱為偽隨機(jī)數(shù)性的優(yōu)勢(shì)(advantage)。

相對(duì)于使用密鑰K的消息認(rèn)證算法F_K，識(shí)別者D的優(yōu)勢(shì)Adv_F(D)如下。

Adv_F(D)＝Pr[D(F_K)＝1]-Pr[D(R)＝1]

隨機(jī)選擇密鑰K。隨機(jī)函數(shù)R的輸入為任意長(zhǎng)度，輸出與F_K的輸出長(zhǎng)度相同。另外，相對(duì)于新的輸入，隨機(jī)選擇隨機(jī)函數(shù)R的輸出。在被提供與過(guò)去相同的輸入的情況下，隨機(jī)函數(shù)R的輸出成為與過(guò)去相同的值。D(F_K)是識(shí)別者D訪問(wèn)消息認(rèn)證算法的情況下的輸出值。D(R)是識(shí)別者D訪問(wèn)隨機(jī)函數(shù)R的情況下的輸出值。

作為消息認(rèn)證算法F_K的構(gòu)成方法，有使用可調(diào)分組密碼的方法。

將Set(K)及Set(T)設(shè)為某有限集合?？烧{(diào)分組密碼E是將作為Set(K)的要素的密鑰K、作為Set(T)的要素的Tweak的值T及n比特的明文P作為輸入并輸出n比特的密文C的函數(shù)。將其書(shū)寫(xiě)為C＝E_K(T，P)。另外，可調(diào)分組密碼的明文及密文的尺寸n稱為分組尺寸。當(dāng)將密鑰K和Tweak的值T固定時(shí)，可調(diào)分組密碼E成為n比特的置換。另外，當(dāng)變更密鑰K或Tweak的值T時(shí)，成為其他置換。

在非專利文獻(xiàn)1、2中記載了可調(diào)分組密碼E。

在使用可調(diào)分組密碼來(lái)設(shè)計(jì)消息認(rèn)證算法的情況下，使用偽隨機(jī)數(shù)性作為消息認(rèn)證算法的安全性。在評(píng)價(jià)偽隨機(jī)數(shù)性的情況下，使用密鑰K的可調(diào)分組密碼E_K被置換為可調(diào)隨機(jī)置換π并被評(píng)價(jià)。另外，此時(shí)，使用識(shí)別者D訪問(wèn)消息認(rèn)證算法的查詢次數(shù)q和在消息認(rèn)證算法的計(jì)算中調(diào)用可調(diào)隨機(jī)置換的次數(shù)σ。

可調(diào)隨機(jī)置換π將作為Set(T)的要素的Tweak的值T和n比特的明文P作為輸入，并輸出n比特的密文C。可調(diào)隨機(jī)置換π在固定Tweak的值T時(shí)成為n比特的隨機(jī)置換，在改變Tweak的值T時(shí)成為其他隨機(jī)置換。