The Internet of Broken Protocols: Showcase #8

(complete list of showcases: https://www.hyundaihatinh3s.com/search/label/The%20Internet%20of%20Broken%20Protocols)

In cryptography, a construction consisting of multiple encryption algorithms in a sequential order is called a cascade. For example, TripleSec by Keybase encrypts data with XSalsa20 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n AES in counter mode. Contrary to popular belief, cascading may not always improve security. Matcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365w Green wrote a nice blog post explaining why.

In this showcase, you're asked to analyze a cascade of MAC and digital signature algorithms. Please send your solutions to thaidn@gmail.com.

--

The Hooli Photos app wanted to protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 integrity of media files stored in SSD card. Initially, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y used GMAC (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MAC of AES-GCM) with a secret key. Later on, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 requirement was changed. They wanted ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r apps to be able to verify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 integrity of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 media files produced by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Photos app. Toward that end, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y applied a digital signature on top of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 existing MAC, and settled on this construction:

ECDSA_sign(ecdsa_private_key, GMAC(gmac_key, file_content))

That is, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y signed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GMAC value of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file content. The GMAC key was made public. They reasoned that since a MAC is a PRF, it should be collision-resistant, hence nobody should be able to forge any signatures.

Can you prove cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m wrong?

Bonus questions:
- Replacing GMAC with Poly1305.
- Replacing GMAC with HMAC.

Comments

Quang Nguyễn said…
Mình là dân không chuyên nhưng nếu họ lập luận rằng They reasoned that since a MAC is a PRF thì có vẻ sai sai