$\mathsf{sMGM}$: parameterizable AEAD mode

Abstract

В работе представлен новый режим аутентифицированного шифрования $\mathsf{sMGM}$ (strong Multilinear Galois Mode). Предлагаемая конструкция может рассматриваться как расширение стандартизированного режима $\mathsf{MGM}$ и его модификации $\mathsf{MGM2}$, представленной на конференции CTCrypt'21. Отличительной особенностью режима является наличие интерфейса, позволяющего выбирать определенные свойства безопасности под конкретное приложение. В частности, можно включать и выключать внутреннее преобразование ключа и стойкость к повтору вектора инициализации. Режим $\mathsf{sMGM}$ состоит из двух основных «строительных блоков» - CTR-подобной функции генерации гаммирующей последовательности со встроенным внутренним преобразованием ключа и мультилинейной функции, которая лежит в основе оригинального режима $\mathsf{MGM}$. Различные способы комбинирования и использования этих функций обеспечивают различные свойства безопасности. Такой подход к конструированию AEAD режимов позволяет уменьшить размер программного кода, что может быть критично для устройств с ограниченными ресурсами. Для предлагаемого режима получены оценки стойкости в расширенных моделях противника. Мы фокусируемся на доказательстве стойкости режима $\mathsf{sMGM}$ в моделях с возможностью повторять инициализирующий вектор, так как анализ стандартных свойств безопасности был проведен в процессе разработки оригинальных режимов $\mathsf{MGM}$ и $\mathsf{MGM2}$.