消息认证码(MAC)解读

MAC(消息认证码)解读

背景

在开放的计算和通信世界(例如Internet)中,我们会使用不可靠的媒介传输和存储信息。而对信息完整性(integrity)的校验在某些情景下就十分重要。基于密钥作完整性校验的方法常称为MAC(Message Authentication Code)。通常MAC在共享密钥的双方之间,校验相互传递的信息。

实现过程

使用 MAC 验证消息完整性的具体过程是:假设通信双方 A 和 B 共享密钥 K,A用消息认证码算法将 K 和消息 M 计算出消息验证码 Mac,然后将 Mac 和 M 一起发送给 B。B 接收到 Mac 和 M 后,利用 M 和 K 计算出新的验证码 Mac*,若 Mac*和Mac 相等则验证成功,证明消息未被篡改。由于攻击者没有密钥 K,攻击者修改了消息内容后无法计算出相应的消息验证码,因此 B 就能够发现消息完整性遭到破坏。

类别

消息认证码(MAC),在加密的过程中有两种方法,一种是用单向散列函数的实现,另一种是分组密码的实现。

单向hash函数实现

MAC

上图是MAC算法的的加密过程, 如上图所示,实现过程较为简单对要传输的消息加上一个通信双方共享的密钥,然后作一次hash运算,得到一个MAC值。传输消息时,连同MAC值一起发送给接收放,接收方收到信息后,自己再对信息作一次相同的hash运算得到另一个MAC值,与发送方传来的进行比对,若有差异则说明消息被篡改。

而MAC函数用单项hash函数加密时,MAC被称为HMAC(Hash Message Authentication Code).

这里对其进行简要介绍

HMAC (k,m) = H ( (k XOR opad ) + H( (k XORipad ) + m ) )

其中

H 是一个Hash函数, 比如, MD5, SHA-1and SHA-256,

k 是一个密钥,从左到右用0填充到hash函数规定的block的长度,如果密钥长度大于block的长度,就对先对输入key作hash。

m 是需要认证的消息,

+ 代表“连接”运算,

XOR 代表异或运算,

opad 是外部的填充常数(0x5c5c5c…5c5c, 一个block长度的十六进制常数constant),

ipad 是内部填充常数 (0x363636…3636,一个block长度的十六进制常数constant)。

特定HMAC实现需要选择一个特定的hash函数。这些不同的HMAC实现通常标记为:HMAC-MD5,HMAC-SHA1, HMAC-SHA256等等. 论文 [Bellare+96]对HMAC的安全性作了全面的分析。

分组密码实现(基于AES组)

AES(Advanced Encryption Standard),高级加密标准,是一种十分常见的对成加密算法。(ps:微信小程序加密传输就是用的AES加密算法)

分组加密的工作模式有ECB,CBC,CFB,OFB四种,其中CBC和ECB这两种模式比较常用。

CBC-MAC

当取AES作为MAC加密的分组密码时,一般采用CBC模式,所以通常称为基于AES的CBC-MAC,若需要产生认证码的消息为x,加密的AES密钥为k,则生成加解密的过程如下图所示

image-20181107204036868

FB8E2A6A3FBB60FDFED5004F2240B7FF

上图分别为CBC(密文分组链接方式)的加密和解密过程。可以看出不同于EBC(电子密码本模式),他在加密过程中,报文的不同分组之间是有联系的,增加了其安全性。

加密步骤如下:

1)首先将数据按照8个字节一组进行分组得到D1D2…Dn(若数据不是8的整数倍,用指定的PADDING数据补位)

2)第一组数据D1与初始化向量IV异或后的结果进行AES加密得到第一组密文C1(初始化向量I为全零)

3)第二组数据D2与第一组的加密结果C1异或以后的结果进行DES加密,得到第二组密文C2

4)之后的数据以此类推,得到Cn

5)按顺序连为C1C2C3…Cn即为加密结果。

解密是加密的逆过程,步骤如下:

1)首先将数据按照8个字节一组进行分组得到C1C2C3…Cn

2)将第一组数据进行解密后与初始化向量I进行异或得到第一组明文D1(注意:一定是先解密再异或)

3)将第二组数据C2进行解密后与第一组密文数据进行异或得到第二组数据D2

4)之后依此类推,得到Dn

5)按顺序连为D1D2D3…Dn即为解密结果。

这里注意一点,解密的结果并不一定是我们原来的加密数据,可能还含有补位数据,将其去掉才是最终的结果。

特点:

1.每个密文块依赖于所有的信息块,明文消息中一个改变会影响所有密文块,不容易主动攻击,安全性好于ECB,适合传输长报文

2.发送方和接受方都需要知道初始化向量(IV)

3.加密过程是串行的,无法被并行化(在解密时,从两个邻接的密文块可以得到一个平文块,因此解密过程可以并行执行)

OMAC

OMAC(One-key CBC-MAC),是从CBC-MAC改进而来,克服了CBC-MAC的一些缺陷。在2005年被NIST(美国国家标准与技术研究生院)列为推荐标准。

omac算法的核心是cbc-mac的一种变种,是基于一种叫xcbc的算法改进的。xcbc算法有效的解决了cbc-mac的一些安全方面的缺陷,但是需要三个密钥。有人在此基础上,改进了xcbc算法,并把它命名为one-key cbc-mac(omac).之后提交了omac1,在omac的基础了做了精简,并做了一些安全性分析。

omac1.jpg

omac.jpeg

上图是omac算法的执行过程,为了使用b比特块密码(E)和秘密密钥(k)生成消息(m)的l比特CMAC标签(t),首先生成两个b比特子密钥(k1和k2)使用以下算法(这相当于在有限域GF(2b)中乘以x和x2)设«表示标准左移运算符,⊕表示逐位排他或:

1.计算临时值k0 = Ek(0)
2.如果msb(k0)= 0,则k1 = k0 << 1,否则k1 =(k0 << 1)⊕C;其中C是一个仅取决于b的特定常数。 (具体来说,C是按字典顺序排列的第一个不可约度-b二元多项式的非前导系数,具有最小数量的1:64位为0x1B,128位为0x87,256位为0x425)
3.如果msb(k1)= 0,则k2 = k1 << 1,否则k2 =(k1 << 1)⊕C
4.返回MAC生成过程的密钥(k1,k2)

作为一个小例子,假设 b = 4,C = 00112,并且k0 = Ek(0)= 01012。然后k1 = 10102并且k2 =0100⊕0011= 01112。

CMAC标签生成过程如下:

1.将消息分成b位块m =m1∥…∥mn-1∥mn,其中m1,…,mn-1是完整的块。(空消息被视为一个不完整的块。)
2.如果mn是一个完整的块,则mn’=k1⊕mnmn’=k2⊕(mn∥10… 02)。
3.设C0 = 00 … 02
4.对于i = 1,…,n - 1,计算ci = Ek(ci-1⊕mi。
5.Cn = Ek(Cn-1⊕mn’)
6.输出t =msbℓ(cn)
验证过程如下:

1.使用上面的算法生成标记。
2.检查生成的标记是否与接收的标记相同。

Reference

RFC2104关于HMAC的定义

维基百科中关于mac等的介绍:

mac wiki

hmac wiki

cbc-mac wiki

cmac wiki

©️2020 CSDN 皮肤主题: 大白 设计师:CSDN官方博客 返回首页