网络安全-11-消息认证码.ppt

* Stallings Figure 11.6 “Data Authentication Algorithm”, illustrates the FIPS PUB 113 / ANSI X9.17 MAC based on DES-CBC with IV 0 and 0-pad of the final block if needed. Resulting MAC can be 16-64 bits of the final block. But this is now too small for security. * * 西安电子科技大学计算机学院 * HMAC 作为RFC2104 HMACK = Hash[(K+ XOR opad)|| Hash[(K+ XOR ipad)||M)]] 其中 K+ 为在K左边填充0后所得的b位长的结果（b为每一消息分组的位数） opad, ipad 都是指定的填充常量 多执行了3次hash压缩函数 算法可用于MD5, SHA-1, RIPEMD-160中的任何一个 * 西安电子科技大学计算机学院 * HMAC算法的具体执行步骤如下： ① 在密钥K的右边填充一些0，使其成为长度为b比特的比特串，记为K+； ② 计算Si=K+?ipad，其中ipad（inner pad）是HMAC算法中规定的一个长度为b比特的比特模式串，它等于16进制的36）重复b/8次后得到的比特串； ③ 把HMAC的输入报文x=x1 x2…xL附加在Si的右端，得到Si||x =Si||x1 x2…xL，将该比特串作为Hash函数h的输入，得到l比特的输出h (Si||x)； ④ 计算So=K+?opad，其中opad（outter pad）是HMAC算法中规定的另一个长度为b比特的比特模式串，它等于16进制的5C）重复b/8次后得到的比特串； ⑤ 将第3步得到的h(Si||x)填充到b比特后附加在So的右端，并以该比特串作为Hash函数h的输入，得到l比特的输出； ⑥ 将第5步的输出作为HMAC算法的最终输出结果，即为消息x的消息认证码HMACk(x)。 * 西安电子科技大学计算机学院 * 建立在嵌入Hash函数基础上的所有MAC，其安全性在某种程度上都依赖于该Hash函数的强度。对于HMAC，可以给出HMAC的强度与所嵌入Hash函数强度之间的关系。Bellare等人（1996年）已经证明，如果攻击者已知若干（时间、消息-MAC）对，则成功攻击HMAC的概率等价于对所嵌入Hash函数的下列攻击之一： ① 即使对于攻击者而言，IV是随机的、秘密的和未知的，攻击者也能计算Hash函数的压缩函数的输出。 ② 即使IV是随机的和秘密的，攻击者也能找到Hash函数的碰撞。 * 西安电子科技大学计算机学院 * HMAC 的安全性 HMAC的安全性依赖于hash算法的安全性 攻击HMAC需要下列之一: 对密钥进行穷举攻击 生日攻击 从速度与安全制约，选择恰当的hash函数 * 西安电子科技大学计算机学院 * 12.6 基于分组密码的MAC DAA：数据认证算法 CMAC：基于密码的消息认证码 * 西安电子科技大学计算机学院 * 用对称密码产生MACs 采用分组密码的链接工作模式，并把最后分组作为MAC Data Authentication Algorithm (DAA) 是一个广泛使用的数据认证算法，基于DES-CBC（FIPS PUB113,ANSI X9.17） IV=0且最后一个分组用0填充其后以补足64位分组 用DES的密文分组链接模式CBC解密消息 把最后一个分组作为MAC发送 或者取最后分组的左边M bits (16≤M≤64) 但是对于安全性来说，最终的MAC还是太小了 * 西安电子科技大学计算机学院 * Data Authentication Algorithm 基于DES实现的数据认证算法 * 西安电子科技大学计算机学院 * ① 置IV = 0，并把报文的最后一个分组用0填充成64比特； ② 采用DES的CBC模式加密报文； ③ 抛弃加密的中间结果，只将最后一组密文（或最后一组密文的左边M (16≤M≤64)比特）作为原始报文的MAC。 * 西安电子科技大学计算机学院 * 12.6.2 CMAC 适用于AES和3DES的CMAC 为n个消分组，k位加密密钥和n位的常数K1 T为消息认证码，也称为tag；Tlen是T的位长度；MSBs(X)是位串的X最左边的s位。 12.7 认证加密 * 西安电子科技大学计算机学院 * 在通信中同时提供保密性和认证性的加密系统 提供认证和加密的通用方案 HtE：先Hash再加密，