# Message Authentication Codes

Finora ci siamo occupati dell'aspetto della <b>segretezza</b> di un messaggio.\
Sappiamo però che su un canale pubblico, $M$ può leggere i messaggi, ma anche eliminarli o modificarli.\
Ignoriamo il caso in cui $M$ elimini i messaggi e concentriamoci sull'aspetto legato all'<b>autenticità</b> dei messaggi.

Garantire l'autenticità con le primitive di encryption per la sicurezza non va bene.

Insieme al messaggio, inviamo un <b>authentication tag</b>.

## Schema MAC:

Tripla di algoritmi $PPTIME$:

$Gen \quad$ algoritmo <b>probabilistico</b> per generare le chiavi: prende in input dimensione chiave $1^n$ e restituisce chiave di dimensione $|k| \geq n$\
$Mac \quad$ algoritmo (può essere probabilistico o deterministico): prende in input la chiave $k$ e un messaggio $m \in \{0,1\}^*$ e restituisce <b>tag</b> $t$\
$Vrfy \quad$ algoritmo <b>deterministico</b> che prende in input $k$, $m$, $t$ e restituisce un bit $b \in \{0,1\}$: 0 se $t$ <b>non</b> è il tag di $m$; 1 se $t$ è il <b>tag</b> di $m$

$k \leftarrow Gen(1^n)$\
$t \leftarrow Mac_k(m)$\
$b := Vrfy_k(m,t)$

### Condizione di correttezza di uno schema MAC:

$\forall k \leftarrow Gen(1^n) \ . \ \forall m \in \{0,1\}^* \quad Vrfy_k(m,Mac_k(m)) = 1$

#### Verifica canonica (solo se Mac è deterministico):

$Vrfy_k(m,t) \ = \ \{ t' = Mac_k(m); \ \ (t'==t) \ \ ? \ \ 1 \ \ : \ \ 0\}$

Destinatario ricalcola lo stesso authentication tag (che è deterministico).

## Attacco: forgery

L'obiettivo dell'attaccante $M$ è quello di <b>falsificare</b> l'authentication tag.\
Supponiamo che $M$ conosca un insieme $Q$ di messaggi (supponiamo che li lui per avere un avversario più potente che ricorda la CPA-security: chosen message attack) e i relativi $y_i$ authentication tags.\
L'attacco ha successo se $M$ riesce a produrre una forgery <b>per nuovi messaggi</b> ($\notin Q$) con <b>probabilità non negligible</b>.\
Una forgery è una coppia $(m,t) \ . m \notin Q$

$M$ conosce $1^n$, la lunghezza della chiave, ma non dovrebbe conoscere la chiave (principio di Kerchoffs)

## Esperimento message authentication:

$MAC$-$forge_{M,π}(n)$:

$1. \ A: \quad k \leftarrow Gen(1^n)$\
$2. \ M \ \ ha \ \ oracle \ \ access \ \ a \ \ Mac_k$:\
$M \rightarrow A: \quad Q = \{m_1 \ ... \ m_q\}$\
$A \rightarrow M: \quad \{Mac_k(m) \ | \ m \in Q \}$\
$3. \ M: \ (m,t) \quad$ <i>$M$ deve produrre una forgery</i>

$MAC$-$forge_{M,π}(n)=1 \ \ se \ \ Vrfy_k(m,t)=1 \ \ and \ \ m \notin Q$

## $π$ is existentially unforgeable under adaptive chosen message attacks se:

$\forall M \in PPTIME: \quad Pr($MAC$-$forge$_{M,π}(n)=1) \leq negl(n)$

Existentially unforgeable $\rightarrow$ non esiste neanche uno\
Chosen message attacks: è $M$ che passa $Q$ ad $A$ come oracle

Non compare più $1/2$ perchè non c'è più il bit random.

## Esercizio #1

$F_k$ è una PRF

$Mac_k(m_1 \ .. \ m_L) = F_k(m_1) \ ⊕ \ .. \  ⊕ \ F_k(m_L) \quad |m_i|=n$ 

#### Qual è la $Vrfy_k$ ?\
$Mac_k$ è deterministico quindi la $Vrfy_k$ è quella canonica

#### È unforgable? 

##### Strategia #1: 

$MAC$-$forge_{M,π}(n)$:

$1. \ A: \quad k \leftarrow Gen(1^n)$\
$2. \ M \ \ ha \ \ oracle \ \ access \ \ a \ \ Mac_k$:\
$M \rightarrow A: \quad Q = \{ \varnothing \} \quad$ <i>$M$ sceglie di non inviare nessun messaggio</i>\
$3. \ M: \ (m_1 \ m_1, 0^n) \quad$ <i>$M$ sceglie come messaggio $m = m_1 \ m_1$ e come tag $\ t = 0^n$</i>

Controlliamo se $(m_1 \ m_1, 0^n)$ è una forgery, ovvero se $\ Vrfy_k(m_1 \ m_1, 0^n) = 1$

$Vrfy_k(m_1 \ m_1, 0^n) = 1 \ \ se \ \ Mac_k(m_1 \ m_1) \ = \ 0^n$\
$Mac_k(m_1 \ m_1) = F_k(m_1) ⊕ F_k(m_1) = 0^n$

$m_1 \ m_1 \notin Q = \{\varnothing\}$

$Pr($MAC$-$forge$_{M,π}(n)=1)=1 \quad$ <i>$M$ vince sempre</i>

##### Strategia #2: 

$MAC$-$forge_{M,π}(n)$:

$1. \ A: \quad k \leftarrow Gen(1^n)$\
$2. \ M \ \ ha \ \ oracle \ \ access \ \ a \ \ Mac_k$:\
$M \rightarrow A: \quad Q = \{ m_1 \ m_2 \} \quad$\
$A \rightarrow M: \quad t = Mac_k(m_1 \ m_2) \quad$\
$3. \ M: \ (m_2 \ m_1, t) \quad$

Controlliamo se $(m_2 \ m_1, t)$ è una forgery, ovvero se $\ Vrfy_k(m_2 \ m_1, t) = 1$

$Vrfy_k(m_2 \ m_1, t) = 1 \ \ se \ \ Mac_k(m_1 \ m_1) \ = \ t$\
$Mac_k(m_2 \ m_1) = F_k(m_2) ⊕ F_k(m_1) = F_k(m_1) ⊕ F_k(m_2) = t$

$m_2 \ m_1 \notin Q = \{m_2 \ m_1 \}$

$Pr($MAC$-$forge$_{M,π}(n)=1)=1 \quad$ <i>$M$ vince sempre</i>