1. 概述
CMAC(Cipher Block Chaining-Message Authentication Code),也简称为CBC_MAC,它是一种基于对称秘钥分组加密算法的消息认证码。由于其是基于“对称秘钥分组算法”的,故可以将其当做是对称算法的一种操作模式。
CMAC可以应用的算法主要有:AES、DES、3DES等。
2. 原理分析
以AES128为例,对其工作原理进行探讨。
2.1 符号
| 名称 | 含义 |
|---|---|
| b | 加密块的位长(bit) |
| Rb | 用于生成子秘钥的常量字符串 |
| K | 加密算法的秘钥 |
| K1 | 第1个子秘钥 |
| K2 | 第2个子秘钥 |
| M | 消息 |
| Mi | 第i个消息块 |
| Mn* | 最后一个块(该块可能是整块,也可能是部分块) |
| Mlen | 消息的长度(单位:bit) |
| T | MAC值 |
| Tlen | MAC值的长度(单位:bit) |
| n | 块分组的个数 |
| [M] | 取不小于M的最小整数值,比如M = 2.1 则取值3, 若M= 3,则取值为3 |
| CIPHK(X) | 使用秘钥K对数据块X进行加密(通过调用相应的加密算法) |
| LSBs(X) | 取位串X的低s位 |
| MSBs(X) | 取位串X的高s位 |
| 0s | 位串中含有连续的0的个数 |
| X<<1 | X左移一位,最高位溢出,最低位以0补齐 |
2.1 子秘钥生成
如下图所示:对于AES128来说,b的大小为128bit,K的长度同样也是128bit。
步骤1:通过AES算法,对128bit的0000…0000进行加密,得到加密后的串L(128bit);
步骤2:若L的最高位为0, 则K1 = L <<1,若L的最高位为1, K1 = (L << 1)与Rb的异或之后的值。
步骤3:若K1的最高位为0, 则K2 = K1 <<1,若K1的最高位为1, K2 = (K1 << 1)与Rb的异或之后的值。
注:
(1)AES算法,b的长度为128bit,则R128 = 012010000111 (10000111为固定值);
(2)DES、3DES算法,b的长度为64bit, 则则R64 = 05911011(11011也是固定值)。
2.2 计算MAC
步骤1:通过2.1中的方法计算出子秘钥K1、K2;
步骤2:若M为空,则n = 1, 否则,n 取不小于[Mlen/b]的最小整数值;
步骤3:若M分为n个block,其中前n-1个块均为完整的块,最后一个块n可能是完整的块,也可能不是完整的块;
步骤4:对最后一个块Mn*进行处理,若Mn*是完整块,则Mn*与K1异或之后作为作为最后一个块Mn;若Mn*为非完整块,则先补齐Mn*,再与K2异或最为最后一个块Mn。
步骤5:通过加密算法对所有的块进行加密,并取最后一组密文Cn高Tlen作为MAC值T。到此,计算MAC的步骤全部完成。
下图展示两种块(完整、非完整)的处理过程:
3. 总结
(1)与AES加密的区别在于,这里需要对最后一个block进行处理;
(2)需要计算两个子秘钥K1、K2;
(3)算MAC的key与加密的key是同一个key;
(4)可以认为CMAC是一种工作模式,支持的算法为AES,DES、3DES等。
各种算法的链接地址如下:
【密码算法 之零】对称算法(DES,、3DES、 AES、DM5、HMAC、CMAC、SHAxx、SM3、SM4),非对称算法(RSA、ECC、ECDSA、ECDH、SM2、SM9…)
249
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
