《现代密码学》 第六章：单向函数和散列函数.pptVIP

* CBC-MAC 若数据不是加密算法分组长度的整数倍，则需进行消息填充，填充方法有: 方法1：对需要计算MAC的数据的右边填充若干个或零个“0”比特，以便得到一个比特长度是n的整数倍的数据串。 方法2：对需要计算MAC的数据的右边先填充一个“1”比特，然后填充若干个或零个“0”比特，以便得到一个比特长度是n的整数倍的数据串。 方法3：首先对需要计算MAC的数据的右边填充若干个或零个“0”比特，以便得到一个比特长度是n的整数倍的数据串；其次，在所得到的数据串的左边 填充一个n比特组，该组包含了未进行填充的数据的比特长度的二元表示，其左边用“0”补齐。 如果验证者不知道数据的长度，则应选用填充方法2或3，因为这两种方法可使验证者查明所填充的那些“0”比特。 * * CBC-MAC 如果在计算CBC-MAC的过程中没有使用选择处理和截断过程，直接输出最后一步的输出密文作为最后MAC，是否安全？ * CBC-MAC 若消息恰好是分组的整数倍，不考虑填充 攻击一：假定MAC1=ek(D1)，则MAC2是两个分组的消息（D1||D2 ）的一个合法MAC值，其中，D2=D1 ^MAC1。这种攻击方法称为”cut and paste”攻击。 攻击二：攻击者想伪造消息D的合法MAC。 首先，选择消息D1发送给认证者，认证者返回MAC1=ek(D1) 然后