來源:CSDN
原文:https://blog.csdn.net/l243224118/article/details/83932434
作者:_你微笑時很美
MAC(消息認證碼)解讀
背景
在開放的計算和通信世界(例如Internet)中,我們會使用不可靠的媒介傳輸和存儲信息。而對信息完整性(integrity)的校驗在某些情景下就十分重要。基於密鑰作完整性校驗的方法常稱爲MAC(Message Authentication Code)。通常MAC在共享密鑰的雙方之間,校驗相互傳遞的信息。
實現過程
使用 MAC 驗證消息完整性的具體過程是:假設通信雙方 A 和 B 共享密鑰 K,A用消息認證碼算法將 K 和消息 M 計算出消息驗證碼 Mac,然後將 Mac 和 M 一起發送給 B。B 接收到 Mac 和 M 後,利用 M 和 K 計算出新的驗證碼 Mac*,若 Mac*和Mac 相等則驗證成功,證明消息未被篡改。由於攻擊者沒有密鑰 K,攻擊者修改了消息內容後無法計算出相應的消息驗證碼,因此 B 就能夠發現消息完整性遭到破壞。
類別
消息認證碼(MAC),在加密的過程中有兩種方法,一種是用單向散列函數的實現,另一種是分組密碼的實現。
單向hash函數實現
上圖是MAC算法的的加密過程, 如上圖所示,實現過程較爲簡單對要傳輸的消息加上一個通信雙方共享的密鑰,然後作一次hash運算,得到一個MAC值。傳輸消息時,連同MAC值一起發送給接收放,接收方收到信息後,自己再對信息作一次相同的hash運算得到另一個MAC值,與發送方傳來的進行比對,若有差異則說明消息被篡改。
而MAC函數用單項hash函數加密時,MAC被稱爲HMAC(Hash Message Authentication Code).
這裏對其進行簡要介紹
HMAC (k,m) = H ( (k XOR opad ) + H( (k XORipad ) + m ) )
其中
H 是一個Hash函數, 比如, MD5, SHA-1and SHA-256,
k 是一個密鑰,從左到右用0填充到hash函數規定的block的長度,如果密鑰長度大於block的長度,就對先對輸入key作hash。
m 是需要認證的消息,
+ 代表“連接”運算,
XOR 代表異或運算,
opad 是外部的填充常數(0x5c5c5c…5c5c, 一個block長度的十六進制常數constant),
ipad 是內部填充常數 (0x363636…3636,一個block長度的十六進制常數constant)。
特定HMAC實現需要選擇一個特定的hash函數。這些不同的HMAC實現通常標記爲:HMAC-MD5,HMAC-SHA1, HMAC-SHA256等等. 論文 [Bellare+96]對HMAC的安全性作了全面的分析。
分組密碼實現(基於AES組)
AES(Advanced Encryption Standard),高級加密標準,是一種十分常見的對成加密算法。(ps:微信小程序加密傳輸就是用的AES加密算法)
分組加密的工作模式有ECB,CBC,CFB,OFB四種,其中CBC和ECB這兩種模式比較常用。
CBC-MAC
當取AES作爲MAC加密的分組密碼時,一般採用CBC模式,所以通常稱爲基於AES的CBC-MAC,若需要產生認證碼的消息爲x,加密的AES密鑰爲k,則生成加解密的過程如下圖所示
上圖分別爲CBC(密文分組鏈接方式)的加密和解密過程。可以看出不同於EBC(電子密碼本模式),他在加密過程中,報文的不同分組之間是有聯繫的,增加了其安全性。
加密步驟如下:
1)首先將數據按照8個字節一組進行分組得到D1D2…Dn(若數據不是8的整數倍,用指定的PADDING數據補位)
2)第一組數據D1與初始化向量IV異或後的結果進行AES加密得到第一組密文C1(初始化向量I爲全零)
3)第二組數據D2與第一組的加密結果C1異或以後的結果進行DES加密,得到第二組密文C2
4)之後的數據以此類推,得到Cn
5)按順序連爲C1C2C3…Cn即爲加密結果。
解密是加密的逆過程,步驟如下:
1)首先將數據按照8個字節一組進行分組得到C1C2C3…Cn
2)將第一組數據進行解密後與初始化向量I進行異或得到第一組明文D1(注意:一定是先解密再異或)
3)將第二組數據C2進行解密後與第一組密文數據進行異或得到第二組數據D2
4)之後依此類推,得到Dn
5)按順序連爲D1D2D3…Dn即爲解密結果。
這裏注意一點,解密的結果並不一定是我們原來的加密數據,可能還含有補位數據,將其去掉纔是最終的結果。
特點:
1.每個密文塊依賴於所有的信息塊,明文消息中一個改變會影響所有密文塊,不容易主動攻擊,安全性好於ECB,適合傳輸長報文
2.發送方和接受方都需要知道初始化向量(IV)
3.加密過程是串行的,無法被並行化(在解密時,從兩個鄰接的密文塊可以得到一個平文塊,因此解密過程可以並行執行)
OMAC
OMAC(One-key CBC-MAC),是從CBC-MAC改進而來,克服了CBC-MAC的一些缺陷。在2005年被NIST(美國國家標準與技術研究生院)列爲推薦標準。
omac算法的核心是cbc-mac的一種變種,是基於一種叫xcbc的算法改進的。xcbc算法有效的解決了cbc-mac的一些安全方面的缺陷,但是需要三個密鑰。有人在此基礎上,改進了xcbc算法,並把它命名爲one-key cbc-mac(omac).之後提交了omac1,在omac的基礎了做了精簡,並做了一些安全性分析。
上圖是omac算法的執行過程,爲了使用b比特塊密碼(E)和祕密密鑰(k)生成消息(m)的l比特CMAC標籤(t),首先生成兩個b比特子密鑰(k1和k2)使用以下算法(這相當於在有限域GF(2b)中乘以x和x2)設«表示標準左移運算符,⊕表示逐位排他或:
1.計算臨時值k0 = Ek(0)
2.如果msb(k0)= 0,則k1 = k0 << 1,否則k1 =(k0 << 1)⊕C;其中C是一個僅取決於b的特定常數。 (具體來說,C是按字典順序排列的第一個不可約度-b二元多項式的非前導係數,具有最小數量的1:64位爲0x1B,128位爲0x87,256位爲0x425)
3.如果msb(k1)= 0,則k2 = k1 << 1,否則k2 =(k1 << 1)⊕C
4.返回MAC生成過程的密鑰(k1,k2)
作爲一個小例子,假設 b = 4,C = 00112,並且k0 = Ek(0)= 01012。然後k1 = 10102並且k2 =0100⊕0011= 01112。
CMAC標籤生成過程如下:
1.將消息分成b位塊m =m1∥…∥mn-1∥mn,其中m1,…,mn-1是完整的塊。(空消息被視爲一個不完整的塊。)
2.如果mn是一個完整的塊,則mn’=k1⊕mnmn’=k2⊕(mn∥10… 02)。
3.設C0 = 00 … 02
4.對於i = 1,…,n - 1,計算ci = Ek(ci-1⊕mi。
5.Cn = Ek(Cn-1⊕mn’)
6.輸出t =msbℓ(cn)
驗證過程如下:
1.使用上面的算法生成標記。
2.檢查生成的標記是否與接收的標記相同。