MAC(消息认证码)解读
背景
在开放的计算和通信世界(例如Internet)中,我们会使用不可靠的媒介传输和存储信息。而对信息完整性(integrity)的校验在某些情景下就十分重要。基于密钥作完整性校验的方法常称为MAC(Message Authentication Code)。通常MAC在共享密钥的双方之间,校验相互传递的信息。
实现过程
使用 MAC 验证消息完整性的具体过程是:假设通信双方 A 和 B 共享密钥 K,A用消息认证码算法将 K 和消息 M 计算出消息验证码 Mac,然后将 Mac 和 M 一起发送给 B。B 接收到 Mac 和 M 后,利用 M 和 K 计算出新的验证码 Mac*,若 Mac*和Mac 相等则验证成功,证明消息未被篡改。由于攻击者没有密钥 K,攻击者修改了消息内容后无法计算出相应的消息验证码,因此 B 就能够发现消息完整性遭到破坏。
类别
消息认证码(MAC),在加密的过程中有两种方法,一种是用单向散列函数的实现,另一种是分组密码的实现。
单向hash函数实现
上图是MAC算法的的加密过程, 如上图所示,实现过程较为简单对要传输的消息加上一个通信双方共享的密钥,然后作一次hash运算,得到一个MAC值。传输消息时,连同MAC值一起发送给接收放,接收方收到信息后,自己再对信息作一次相同的hash运算得到另一个MAC值,与发送方传来的进行比对,若有差异则说明消息被篡改。
而MAC函数用单项hash函数加密时,MAC被称为HMAC(Hash Message Authentication Code).
这里对其进行简要介绍
HMAC (k,m) = H ( (k XOR opad ) H( (k XORipad ) m ) )
其中
H 是一个Hash函数, 比如, MD5, SHA-1and SHA-256,
k 是一个密钥,从左到右用0填充到hash函数规定的block的长度,如果密钥长度大于block的长度,就对先对输入key作hash。
m 是需要认证的消息,
代表“连接”运算,
XOR 代表异或运算,
opad 是外部的填充常数(0x5c5c5c…5c5c, 一个block长度的十六进制常数constant),
ipad 是内部填充常数 (0x363636…3636,一个block长度的十六进制常数constant)。
特定HMAC实现需要选择一个特定的hash函数。这些不同的HMAC实现通常标记为:HMAC-MD5,HMAC-SHA1, HMAC-SHA256等等. 论文 [Bellare 96]对HMAC的安全性作了全面的分析。
分组密码实现(基于AES组)
AES(Advanced Encryption Standard),高级加密标准,是一种十分常见的对成加密算法。(ps:微信小程序加密传输就是用的AES加密算法)
分组加密的工作模式有ECB,CBC,CFB,OFB四种,其中CBC和ECB这两种模式比较常用。
CBC-MAC
当取AES作为MAC加密的分组密码时,一般采用CBC模式,所以通常称为基于AES的CBC-MAC,若需要产生认证码的消息为x,加密的AES密钥为k,则生成加解密的过程如下图所示
上图分别为CBC(密文分组链接方式)的加密和解密过程。可以看出不同于EBC(电子密码本模式),他在加密过程中,报文的不同分组之间是有联系的,增加了其安全性。
加密步骤如下:
1)首先将数据按照8个字节一组进行分组得到D1D2…Dn(若数据不是8的整数倍,用指定的PADDING数据补位)
2)第一组数据D1与初始化向量IV异或后的结果进行AES加密得到第一组密文C1(初始化向量I为全零)
3)第二组数据D2与第一组的加密结果C1异或以后的结果进行DES加密,得到第二组密文C2
4)之后的数据以此类推,得到Cn
5)按顺序连为C1C2C3…Cn即为加密结果。
解密是加密的逆过程,步骤如下:
1)首先将数据按照8个字节一组进行分组得到C1C2C3…Cn
2)将第一组数据进行解密后与初始化向量I进行异或得到第一组明文D1(注意:一定是先解密再异或)
3)将第二组数据C2进行解密后与第一组密文数据进行异或得到第二组数据D2
4)之后依此类推,得到Dn
5)按顺序连为D1D2D3…Dn即为解密结果。
这里注意一点,解密的结果并不一定是我们原来的加密数据,可能还含有补位数据,将其去掉才是最终的结果。
特点:
1.每个密文块依赖于所有的信息块,明文消息中一个改变会影响所有密文块,不容易主动攻击,安全性好于ECB,适合传输长报文
2.发送方和接受方都需要知道初始化向量(IV)
3.加密过程是串行的,无法被并行化(在解密时,从两个邻接的密文块可以得到一个平文块,因此解密过程可以并行执行)
OMAC
OMAC(One-key CBC-MAC),是从CBC-MAC改进而来,克服了CBC-MAC的一些缺陷。在2005年被NIST(美国国家标准与技术研究生院)列为推荐标准。
omac算法的核心是cbc-mac的一种变种,是基于一种叫xcbc的算法改进的。xcbc算法有效的解决了cbc-mac的一些安全方面的缺陷,但是需要三个密钥。有人在此基础上,改进了xcbc算法,并把它命名为one-key cbc-mac(omac).之后提交了omac1,在omac的基础了做了精简,并做了一些安全性分析。
上图是omac算法的执行过程,为了使用b比特块密码(E)和秘密密钥(k)生成消息(m)的l比特CMAC标签(t),首先生成两个b比特子密钥(k1和k2)使用以下算法(这相当于在有限域GF(2b)中乘以x和x2)设«表示标准左移运算符,⊕表示逐位排他或:
1.计算临时值k0 = Ek(0) 2.如果msb(k0)= 0,则k1 = k0 << 1,否则k1 =(k0 << 1)⊕C;其中C是一个仅取决于b的特定常数。 (具体来说,C是按字典顺序排列的第一个不可约度-b二元多项式的非前导系数,具有最小数量的1:64位为0x1B,128位为0x87,256位为0x425) 3.如果msb(k1)= 0,则k2 = k1 << 1,否则k2 =(k1 << 1)⊕C 4.返回MAC生成过程的密钥(k1,k2)
作为一个小例子,假设 b = 4,C = 00112,并且k0 = Ek(0)= 01012。然后k1 = 10102并且k2 =0100⊕0011= 01112。
CMAC标签生成过程如下:
1.将消息分成b位块m =m1∥…∥mn-1∥mn,其中m1,…,mn-1是完整的块。(空消息被视为一个不完整的块。) 2.如果mn是一个完整的块,则mn’=k1⊕mnmn’=k2⊕(mn∥10… 02)。 3.设C0 = 00 … 02 4.对于i = 1,…,n - 1,计算ci = Ek(ci-1⊕mi。 5.Cn = Ek(Cn-1⊕mn’) 6.输出t =msbℓ(cn) 验证过程如下:
1.使用上面的算法生成标记。 2.检查生成的标记是否与接收的标记相同。
Reference
RFC2104关于HMAC的定义
维基百科中关于mac等的介绍:
mac wiki
hmac wiki
cbc-mac wiki
cmac wiki