应用密码学 教学课件 作者 林东岱 曹天杰 第七章 消息认证码.pptVIP

* 第七章 消息认证码 曹天杰 中国矿业大学计算机学院 7.1 消息认证码的构造 7.2 MAC函数的安全性 7.3 消息认证码的应用 如果用数学语言来描述，MAC实质上是一个双方共享的密钥k和消息m作为输入的函数，如将函数值记为MACk(m)，这个函数值就是一个认证标记，这里用δ表示。 攻击者发起攻击的时候，能得到的是消息和标记的序列对(m1, δ1)，(m2,δ2)，…，(mq, δq)（其中δi＝MACk(mi)）。如果攻击者可以找到一个消息m，m不在m1, …, mq之中，并且能够得到正确的证标记δ＝MAC(m)就说明攻击成功了。攻击者成功的概率就是其攻破 MAC的概率。 消息认证码的构造有多种方法，我们主要介绍两种构造方法：一种是基于分组密码的，另一种是基于带密钥的Hash函数的。 7.1 消息认证码的构造 CBC-MAC实际上就相当于对消息使用CBC模式进行加密，取密文的最后一块作为认证码。当取DES作为加密的分组密码时，称为基于DES的CBC-MAC，若需要产生认证码的消息为x，加密的DES密钥为K，则生成MAC的过程如下（如图7.1所示）： 基于分组密码的MAC 1、CBC-MAC 图7.1 CBC-MAC的算法过程 （1）填充和分组。对消息x进行填充，将填充得到的消息分成t个n比特（基