MAC с одним ключом

Одноключевой MAC ( OMAC ) — это семейство кодов аутентификации сообщений , созданных на основе блочного шифра, очень похожего на алгоритм CBC-MAC . Он может использоваться для обеспечения гарантии подлинности и, следовательно, целостности данных. Определены две версии:

• Оригинальный OMAC от февраля 2003 года, который используется редко. ^[1] Предпочтительным названием теперь является «OMAC2». ^[2]
• Усовершенствование OMAC1, ^[2] которое стало рекомендацией NIST в мае 2005 года под названием CMAC . ^[3]

OMAC бесплатен для любого использования: он не защищен никакими патентами. ^[4]

Ядром алгоритма CMAC является вариация CBC-MAC , которую Блэк и Рогауэй предложили и проанализировали под названием «XCBC» ^[5] и представили в NIST . ^[6] Алгоритм XCBC эффективно устраняет недостатки безопасности CBC-MAC, но требует трех ключей.

Ивата и Куросава предложили усовершенствование XCBC, которое требует меньше ключевого материала (только один ключ), и назвали полученный алгоритм One-Key CBC-MAC (OMAC) в своих работах. ^[1] Позднее они представили OMAC1 (= CMAC), ^[2] усовершенствование OMAC и дополнительный анализ безопасности. ^[7]

Чтобы сгенерировать ℓ-битный CMAC-тег ( t ) сообщения ( m ) с использованием b -битного блочного шифра ( E ) и секретного ключа ( k ), сначала генерируются два b -битных подключа ( k ₁ и k ₂ ) с использованием следующего алгоритма (это эквивалентно умножению на x и x ² в конечном поле GF(2 ^b )). Пусть ≪ обозначает стандартный оператор сдвига влево, а ⊕ обозначает побитовое исключающее или :

1. Рассчитайте временное значение k ₀ = E _k (0).
2. Если msb( k ₀ ) = 0, то k ₁ = k ₀ ≪ 1, иначе k ₁ = ( k ₀ ≪ 1) ⊕ C ; где C — некоторая константа, зависящая только от b . (В частности, C — это нестаршие коэффициенты лексикографически первого неприводимого двоичного полинома степени b с минимальным числом единиц: 0x1B для 64-битных, 0x87 для 128-битных и 0x425 для 256-битных блоков.)
3. Если msb( k ₁ ) = 0 , то k ₂ = k ₁ ≪ 1 , иначе k ₂ = ( k ₁ ≪ 1) ⊕ C .
4. Верните ключи ( k ₁ , k ₂ ) для процесса генерации MAC.

В качестве небольшого примера предположим, что b = 4 , C = 0011 ₂ и k ₀ = E _k (0) = 0101 _2. Тогда k ₁ = 1010 ₂ и k ₂ = 0100 ⊕ 0011 = 0111 ₂ .

Процесс генерации тега CMAC выглядит следующим образом:

1. Разделить сообщение на b -битные блоки m = m ₁ ∥ ... ∥ m _{n −1} ∥ m _n , где m ₁ , ..., m _{n −1} — полные блоки. (Пустое сообщение рассматривается как один неполный блок.)
2. Если m _n — полный блок, то m _n ′ = k ₁ ⊕ m _n, иначе m _n ′ = k ₂ ⊕ ( m _n ∥ 10...0 ₂ ) .
3. Пусть c ₀ = 00...0 ₂ .
4. Для i = 1, ..., n − 1 вычислите c _i = E _k ( c _{i −1} ⊕ m _i ) .
5. c _n = E _k ( c _{n −1} ⊕ m _n ′)
6. Выход t = msb _ℓ ( c _n ) .

Процесс проверки выглядит следующим образом:

1. Используйте приведенный выше алгоритм для генерации тега.
2. Проверьте, что сгенерированный тег равен полученному тегу.

CMAC-C1 ^[8] — это вариант CMAC, который обеспечивает дополнительные гарантии безопасности приверженности и обнаружения контекста .

• Реализация Python : см. использование функции AES_CMAC()в "impacket/blob/master/tests/misc/test_crypto.py" и ее определение в "impacket/blob/master/impacket/crypto.py" ^[9]
• Реализация Ruby ^[10]

• RFC 4493 Алгоритм AES-CMAC
• RFC 4494 Алгоритм AES-CMAC-96 и его использование с IPsec
• RFC 4615 Расширенный стандарт шифрования — Код аутентификации сообщений на основе шифра — Псевдослучайная функция — 128 (AES-CMAC-PRF-128)
• Онлайн-тест OMAC
• Дополнительная информация о OMAC
• Реализация Rust