# Message Authentication Codes

Finora ci siamo occupati dell'aspetto della <b>segretezza</b> di un messaggio.\
Sappiamo però che su un canale pubblico, $M$ può leggere i messaggi, ma anche eliminarli o modificarli.\
Ignoriamo il caso in cui $M$ elimini i messaggi e concentriamoci sull'aspetto legato all'<b>autenticità</b> dei messaggi.

Garantire l'autenticità con le primitive di encryption per la sicurezza non va bene.

Insieme al messaggio, inviamo un <b>authentication tag</b>.

## Schema MAC:

Tripla di algoritmi $PPTIME$:

$Gen \quad$ algoritmo <b>probabilistico</b> per generare le chiavi: prende in input dimensione chiave $1^n$ e restituisce chiave di dimensione $|k| \geq n$\
$Mac \quad$ algoritmo (può essere probabilistico o deterministico): prende in input la chiave $k$ e un messaggio $m \in \{0,1\}^*$ e restituisce <b>tag</b> $t$\
$Vrfy \quad$ algoritmo <b>deterministico</b> che prende in input $k$, $m$, $t$ e restituisce un bit $b \in \{0,1\}$: 0 se $t$ <b>non</b> è il tag di $m$; 1 se $t$ è il <b>tag</b> di $m$

$k \leftarrow Gen(1^n)$\
$t \leftarrow Mac_k(m)$\
$b := Vrfy_k(m,t)$

### Condizione di correttezza di uno schema MAC:

$\forall k \leftarrow Gen(1^n) \ . \ \forall m \in \{0,1\}^* \quad Vrfy_k(m,Mac_k(m)) = 1$

#### Verifica canonica (solo se Mac è deterministico):

$Vrfy_k(m,t) \ = \ \{ t' = Mac_k(m); \ \ (t'==t) \ \ ? \ \ 1 \ \ : \ \ 0\}$

Destinatario ricalcola lo stesso authentication tag (che è deterministico).

## Attacco: forgery

L'obiettivo dell'attaccante $M$ è quello di <b>falsificare</b> l'authentication tag.\
Supponiamo che $M$ conosca un insieme $Q$ di messaggi (supponiamo che li lui per avere un avversario più potente che ricorda la CPA-security: chosen message attack) e i relativi $y_i$ authentication tags.\
L'attacco ha successo se $M$ riesce a produrre una forgery <b>per nuovi messaggi</b> ($\notin Q$) con <b>probabilità non negligible</b>.\
Una forgery è una coppia $(m,t) \ . m \notin Q$

$M$ conosce $1^n$, la lunghezza della chiave, ma non dovrebbe conoscere la chiave (principio di Kerchoffs)

## Esperimento message authentication:

$MAC$-$forge_{M,π}(n)$:

$1. \ A: \quad k \leftarrow Gen(1^n)$\
$2. \ M \ \ ha \ \ oracle \ \ access \ \ a \ \ Mac_k$:\
$M \rightarrow A: \quad Q = \{m_1 \ ... \ m_q\}$\
$A \rightarrow M: \quad \{Mac_k(m) \ | \ m \in Q \}$\
$3. \ M: \ (m,t) \quad$ <i>$M$ deve produrre una forgery</i>

$MAC$-$forge_{M,π}(n)=1 \ \ se \ \ Vrfy_k(m,t)=1 \ \ and \ \ m \notin Q$

## $π$ is existentially unforgeable under adaptive chosen message attacks se:

$\forall M \in PPTIME: \quad Pr($MAC$-$forge$_{M,π}(n)=1) \leq negl(n)$

Existentially unforgeable $\rightarrow$ non esiste neanche uno\
Chosen message attacks: è $M$ che passa $Q$ ad $A$ come oracle

Non compare più $1/2$ perchè non c'è più il bit random.

## Esercizio #1

$F_k$ è una PRF

$Mac_k(m_1 \ .. \ m_L) = F_k(m_1) \ ⊕ \ .. \  ⊕ \ F_k(m_L) \quad |m_i|=n$ 

#### Qual è la $Vrfy_k$ ?
$Mac_k$ è deterministico quindi la $Vrfy_k$ è quella canonica

#### È unforgable? 

##### Strategia #1: 

$MAC$-$forge_{M,π}(n)$:

$1. \ A: \quad k \leftarrow Gen(1^n)$\
$2. \ M \ \ ha \ \ oracle \ \ access \ \ a \ \ Mac_k$:\
$M \rightarrow A: \quad Q = \{ \varnothing \} \quad$ <i>$M$ sceglie di non inviare nessun messaggio</i>\
$3. \ M: \ (m_1 \ m_1, 0^n) \quad$ <i>$M$ sceglie come messaggio $m = m_1 \ m_1$ e come tag $\ t = 0^n$</i>

Controlliamo se $(m_1 \ m_1, 0^n)$ è una forgery, ovvero se $\ Vrfy_k(m_1 \ m_1, 0^n) = 1$

$Vrfy_k(m_1 \ m_1, 0^n) = 1 \ \ se \ \ Mac_k(m_1 \ m_1) \ = \ 0^n$\
$Mac_k(m_1 \ m_1) = F_k(m_1) ⊕ F_k(m_1) = 0^n$

$m_1 \ m_1 \notin Q = \{\varnothing\}$

$Pr($MAC$-$forge$_{M,π}(n)=1)=1 \quad$ <i>$M$ vince sempre</i>

##### Strategia #2: 

$MAC$-$forge_{M,π}(n)$:

$1. \ A: \quad k \leftarrow Gen(1^n)$\
$2. \ M \ \ ha \ \ oracle \ \ access \ \ a \ \ Mac_k$:\
$M \rightarrow A: \quad Q = \{ m_1 \ m_2 \} \quad$\
$A \rightarrow M: \quad t = Mac_k(m_1 \ m_2) \quad$\
$3. \ M: \ (m_2 \ m_1, t) \quad$

Controlliamo se $(m_2 \ m_1, t)$ è una forgery, ovvero se $\ Vrfy_k(m_2 \ m_1, t) = 1$

$Vrfy_k(m_2 \ m_1, t) = 1 \ \ se \ \ Mac_k(m_1 \ m_1) \ = \ t$\
$Mac_k(m_2 \ m_1) = F_k(m_2) ⊕ F_k(m_1) = F_k(m_1) ⊕ F_k(m_2) = t$

$m_2 \ m_1 \notin Q = \{m_2 \ m_1 \}$

$Pr($MAC$-$forge$_{M,π}(n)=1)=1 \quad$ <i>$M$ vince sempre</i>

## Esercizio #2

$F_k$ è una PRF

$Mac_k(m_0 \ .. \ m_1) = F_k(0 \ m_0) \ F_k(1 \ m_1) \quad |m_0|=|m_1| = n-1$ 

#### Qual è la $Vrfy_k$ ?
$Mac_k$ è deterministico quindi la $Vrfy_k$ è quella canonica

#### È unforgable? 

$MAC$-$forge_{M,π}(n)$:

$1. \ A: \quad k \leftarrow Gen(1^n)$\
$2. \ M \ \ ha \ \ oracle \ \ access \ \ a \ \ Mac_k$:\
$M \rightarrow A: \quad Q = \{ m_0 \ m_0 \quad m_1 \ m_1 \} \quad$\
$A \rightarrow M: \quad t = Mac_k(m_0 \ m_0) = F_k(0 \ m_0) \quad t' = Mac_k(m_1 \ m_1) = F_k(1 \ m_1) $\
$3. \ M: \ (m_0 \ m_1, \ F_k(0 \ m_0) \ F_k(1 \ m_1)) \quad$

$Pr($MAC$-$forge$_{M,π}(n)=1)=1 \quad$ <i>$M$ vince sempre</i>

$m_0 \ m_1 \notin Q = \{ m_0 \ m_0 \quad m_1 \ m_1 \}$

$M$ non ha esplicitamente calcolato i valori di $F_k$: ha <b>riciclato intelligentemente</b> quelli che ha ricevuto dall'oracle.

## Esercizio #3

$F_k$ è una PRF

$Mac_k(m_0 \ m_1) = F_k(m_0) \ F_k(F_k(m_1)) \quad |m_0|=|m_1| = n$ 

#### È unforgable? 

$MAC$-$forge_{M,π}(n)$:

$1. \ A: \quad k \leftarrow Gen(1^n)$\
$2. \ M \ \ ha \ \ oracle \ \ access \ \ a \ \ Mac_k$:\
$M \rightarrow A: \quad Q = \{ m_0 \ m_0 \quad m_1 \ m_1 \} \quad$\
$A \rightarrow M: \quad t = Mac_k(m_0 \ m_0) = F_k(m_0) \ F_k(F_k(m_0)) \quad t' = Mac_k(m_1 \ m_1) = F_k(m_1) \ F_k(F_k(m_1)) $\
$3. \ M: \ (m_0 \ m_1, \ F_k(m_0) \ F_k(F_k(m_1))) \quad$

$m_0 \ m_1 \notin Q = \{ m_0 \ m_0 \quad m_1 \ m_1 \}$

## Esercizio #4

$F_k$ è una PRF

$Mac_k(m_1 \ .. \ m_L) = F_k(1 \ m_1) \ ⊕ \ ... \  ⊕ \ F_k(L \ m_L)$ 

#### È unforgable? 

$MAC$-$forge_{M,π}(n)$:

$1. \ A: \quad k \leftarrow Gen(1^n)$\
$2. \ M \ \ ha \ \ oracle \ \ access \ \ a \ \ Mac_k$:\
$M \rightarrow A: \quad Q = \{ m_1 \ m_2 \quad m_2 \ m_1 \quad m_2 \ m_2 \} \quad$\
$A \rightarrow M:$\
$t = Mac_k(m_1 \ m_2) = F_k(1 \ m_1) \ ⊕ \ F_k(2 \ m_2)$\
$t' = Mac_k(m_2 \ m_1) = F_k(1 \ m_2) \ ⊕ \ F_k(2 \ m_1)$\
$t' = Mac_k(m_2 \ m_2) = F_k(1 \ m_2) \ ⊕ \ F_k(2 \ m_2)$

$3. \ M: \ (m_1 \ m_1, \ t \ ⊕ \ t' \ ⊕ \ t'') \quad$

$Mac_k(m_1 \ m_1) = F_k(1 \ m_1) \ ⊕ \ F_k(2 \ m_1)$\
$t \ ⊕ \ t' \ ⊕ \ t'' \ = \ (F_k(1 \ m_1) \ ⊕ \ F_k(2 \ m_2)) \ ⊕ \ (F_k(1 \ m_2) \ ⊕ \ F_k(2 \ m_1)) \ ⊕ \ (F_k(1 \ m_2) \ ⊕ \ F_k(2 \ m_2)) \ =$\
$= \ F_k(1 \ m_1) \ ⊕ \ F_k(2 \ m_2) \ ⊕ \ F_k(1 \ m_2) \ ⊕ \ F_k(2 \ m_1) \ ⊕ \ F_k(1 \ m_2) \ ⊕ \ F_k(2 \ m_2) \ =$\
$= \ F_k(1 \ m_1) \ ⊕ \ \cancel{F_k(2 \ m_2)} \ ⊕ \ \cancel{F_k(1 \ m_2)} \ ⊕ \ F_k(2 \ m_1) \ ⊕ \ \cancel{F_k(1 \ m_2)} \ ⊕ \ \cancel{F_k(2 \ m_2)} \ = \ F_k(1 \ m_1) \ ⊕ \ F_k(2 \ m_1)$

$m_1 \ m_1 \notin Q = \{ m_1 \ m_2 \quad m_2 \ m_1 \quad m_2 \ m_2 \}$

## CBC-MAC

<div>
<img src="images/cbc_mac.png" width="800"/>
</div>

L'initilization vector $r$ non è più random, ma una costante (in genere $r=0$).\
L'algoritmo $Mac_k$ è <b>deterministico</b> e quindi la $Vrfy_k$ è quella <b>canonica</b>.

Come tag uso soltanto gli ultimi $n$ bit ($y_n$)

Esiste un attaccante noto che riesce a romperlo con $Pr = 1/2$ ma è un attaccante inefficiente (esponenziale).

<b>Importante</b>: la dimensione dei messaggi è <b>predefinita</b> e non arbitraria: $l = L(n)$

### Teorema:

$F$ è PRF $\implies$ CBC-MAC è <b>sicuro</b> $\ \forall m \in \{0,1\}^{l \cdot n}$ (sui messaggi della lunghezza rischiesta)

### Esercizio #1 (variante insicura CBC-MAC)

<div>
<img src="images/ex_cbc_mac_1.png" width="680"/>
</div>

In questa variante <b>insicura</b> dove $L(n)=2$ il tag non è più composto dagli ultimi bit dell'ultimo blocco $y_2$ ma viene usato anche il primo blocco ($y_1$)

$MAC$-$forge_{M,π}(n)$:

$1. \ A: \quad k \leftarrow Gen(1^n)$\
$2. \ M \ \ ha \ \ oracle \ \ access \ \ a \ \ Mac_k$:\
$M \rightarrow A: \quad Q = \{ 0^n \ m_1 \} $\
$A \rightarrow M:$\
$t = Mac_k(0^n \ m_1) = t_1 \ t_2 \quad t_1 = F_k(0 ⊕ 0) = F_k(0) \quad t_2 = F_k(t_1 ⊕ m_1)$

$3. \ M: \ (0^n \ t_1, \ t_1 \ t_1) \quad$

$Vrfy_k(0^n \ t_1, \ t_1 \ t_1)$:

$Mac_k(0^n \ t_1) = y_1 \ y_2$\
$y_1 = F_k(0^n) = t_1$\
$y_2 = F_k(y_1 ⊕ t_1) = F_k(0) = t_1$

$0^n \ t_1 \notin Q = \{ 0^n \ m_1 \} \ \ con \ \ m_1 \neq t_1 \quad$ <i>$m_1$ non era importante, potevo passarli qualunque cosa</i>

$Pr($MAC$-$forge$_{M,π}(n)=1)=1 \quad$

### Esercizio #2 (variante insicura CBC-MAC)

<div>
<img src="images/ex_cbc_mac_2.png" width="680"/>
</div>

In quest'altra variante <b>insicura</b> $M$ può produrre una forgery di dimensione arbitraria nel messaggio

$MAC$-$forge_{M,π}(n)$:

$1. \ A: \quad k \leftarrow Gen(1^n)$\
$2. \ M \ \ ha \ \ oracle \ \ access \ \ a \ \ Mac_k$:

$M \rightarrow A: \quad m_1 \ m_2$\
$A \rightarrow M:$\
$t = Mac_k(m_1 \ m_2) = F_k(F_k(0 ⊕ m_1) ⊕ m_2) = F_k(F_k(m_1) ⊕ m_2)$

$M \rightarrow A: \quad t \ m_4$\
$A \rightarrow M:$\
$t' = Mac_k(t \ m_4) = F_k(F_k(0 ⊕ t) ⊕ m_4) = F_k(F_k(t) ⊕ m_4)$

$3. \ M: \ (m_1 \ m_2 \ 0^n \ m_4, \ t') \quad$

$Vrfy_k(m_1 \ m_2 \ 0^n \ m_4, \ t')$:

$Mac_k(m_1 \ m_2 \ 0^n \ m_4)$\
$y_4 = F_k(y_3 ⊕ m_4)$\
$y_3 = F_k(y_2 ⊕ 0^n) = F_k(y_2)$\
$y_2 = F_k(y_1 ⊕ m_2)$\
$y_1 = F_k(0 ⊕ m_1) = F_k(m_1)$

$y_2 = F_k(F_k(m_1) ⊕ m_2) = t$\
$y_3 = F_k(y_2)$\
$y_4 = F_k(F_k(y_2) ⊕ m_4) = F_k(F_k(t) ⊕ m_4) = t'$ 

$Vrfy_k(m_1 \ m_2 \ 0^n \ m_4, \ t') = 1 \quad$ $y_N = y_4 = t'$

$m_1 \ m_2 \ 0^n \ m_4 \notin Q = \{ m_1 \ m_2 , \ \ t \ m_4 \}$

$Pr($MAC$-$forge$_{M,π}(n)=1)=1 \quad$

### Esercizio #3 (variante insicura CBC-MAC)

<div>
<img src="images/ex_cbc_mac_3.png" width="450"/>
</div>

TODO

## Autenticazione entità

Vogliamo <b>verificare l'identità del mittente</b> di un messaggio.\
Chiamiamo <b>claimant</b> il partecipante che dichiara di essere qualcuno.\
Chiamiamo <b>verifier</b> il partecipante che verifica l'identita del claimant.\
Indichiamo con $I(A)$ un attaccante che cerca di <b>impersonare</b> un partecipante, in questo caso $A$.\
Indichiamo con $i$ la prima sessione di comunicazione.\
Indichiamo con $ii$ una nuova sessione di comunicazione diversa da quella iniziale.

### Autenticazione con MAC (v1, insicura):

Il verifier $B$ chiede ad $A$, il claimant, il MAC su un messaggio <b>fissato</b> $M$ con una chiave simmetrica $k_{AB}$.

$(i) \quad 1. \ B \rightarrow A: \quad m$\
$(i) \quad 2. \ A \rightarrow B: \quad MAC_{k_{AB}}(m)$

Questo protocollo funziona, ma non è <b>per niente sicuro</b>.

#### Freshness attack:

$M$ impersona $A$ e manda al verifier, in un'altra sessione, gli stessi risultati calcolati da $A$, che $M$ ha osservato sul canale pubblico:

$(i) \quad 1. \ B \rightarrow A: \quad m$\
$(i) \quad 2. \ A \rightarrow B: \quad MAC_{k_{AB}}(m)$

$(ii) \quad 1. \ B \rightarrow I(A): \quad m$\
$(ii) \quad 2. \ I(A) \rightarrow B: \quad MAC_{k_{AB}}(m)$

### Autenticazione con MAC (v2, insicura):

Per risolvere il problema del <b>freshness attack</b> introduciamo una <b>random challenge</b>, una bitstring random, al posto del messaggio fisso $m$.

$(i) \quad 1. \ B \rightarrow A: \quad r$\
$(i) \quad 2. \ A \rightarrow B: \quad MAC_{k_{AB}}(r)$

Non è più possibile effettuare un freshness attack perchè $r$ cambia ad ogni sessione, ma questo protocollo è vulnerabile ai <b>reflection attacks</b>.

#### Reflection attack:

$M$ impersona $A$, il verifier $B$ propone a $I(A)$, ovvero $M$, una random challenge $r$ che $M$ non ha modo di risolvere non conoscendo la chiave $k_{AB}$\
$M$ però apre una nuova sessione con $B$ dove $M$ è questa volta il verifier e $B$ è il claimant (dichiara di essere proprio $B$): $M$ chiede a $B$ di autentificarsi con la stessa random challenge $r$:

$(i) \quad 1. \ B \rightarrow I(A): \quad r$

$(ii) \quad 1. \ I(A) \rightarrow B: \quad r$\
$(ii) \quad 2. \ B \rightarrow I(A): \quad MAC_{K_{AB}}(r)$

$(i) \quad 2. \ I(A) \rightarrow B: \quad MAC_{k_{AB}}(r)$

### Autenticazione con MAC (v3, sicura):

Questo protocollo è <b>sicuro</b>: adesso chi calcola il MAC deve aggiungere anche una bitstring che identifica i partecipanti:\
in questo modo $M$ non può fare nulla con $MAC_{K_{AB}}(B, r)$ calcolato da $B$:

$(i) \quad 1. \ B \rightarrow A: \quad r$\
$(i) \quad 2. \ A \rightarrow B: \quad MAC_{k_{AB}}(A,r)$