信息技術(shù) 安全技術(shù) 消息鑒別碼-第2部分：采用專(zhuān)用雜湊函數(shù)的機(jī)制

ICSFORMTEXT35.040?????FORMTEXTL80?????中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)GB/TFORMTEXT15852.2—FORMTEXTXXXXFORMTEXT?????FORMTEXT信息技術(shù)安全技術(shù)消息鑒別碼第2部分：采用專(zhuān)用雜湊函數(shù)的機(jī)制FORMTEXTInformationtechnology–Securitytechniques–MessageAuthenticationCodes(MACs)–Part2：Mechanismsusingadedicatedhash-functionFORMTEXTMODFORMDROPDOWNFORMTEXT（本稿完成日期：2011年1月19日）FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX發(fā)布FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX實(shí)施GB/T15852.2—XXXXII范圍GB/T15852的本部分規(guī)定了三種采用專(zhuān)用雜湊函數(shù)的消息鑒別碼算法。這些消息鑒別碼算法可用作數(shù)據(jù)完整性檢驗(yàn)，檢驗(yàn)數(shù)據(jù)是否被非授權(quán)地改變。同樣這些消息鑒別碼算法也可用作消息鑒別，保證消息源的合法性。數(shù)據(jù)完整性和消息鑒別的強(qiáng)度依賴(lài)于密鑰的長(zhǎng)度及其保密性、雜湊函數(shù)的算法強(qiáng)度及其輸出長(zhǎng)度、消息鑒別碼的長(zhǎng)度和具體的消息鑒別碼算法。本部分適用于任何安全體系結(jié)構(gòu)、進(jìn)程或應(yīng)用的安全服務(wù)。規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T18238.3-2002信息技術(shù)安全技術(shù)散列函數(shù)第3部分：專(zhuān)用散列函數(shù)（idtISO/IEC10118-3:1998）GB/T1988-1998信息技術(shù)信息交換用七位編碼字符集（eqvISO/IEC646：1991）ISO/IEC10118-3：2004信息技術(shù)安全技術(shù)雜湊函數(shù)第3部分：專(zhuān)用雜湊函數(shù)術(shù)語(yǔ)和定義下列術(shù)語(yǔ)和定義適用于本部分。消息鑒別碼messageauthenticationcodeMAC利用對(duì)稱(chēng)密碼技術(shù)，以密鑰為參數(shù)，由消息導(dǎo)出的數(shù)據(jù)項(xiàng)。任何持有這一密鑰的實(shí)體，都可利用消息鑒別碼檢查消息的完整性和始發(fā)者。消息鑒別碼(MAC)算法密鑰MACalgorithmkey一種用于控制消息鑒別碼算法運(yùn)算的密鑰。消息鑒別碼算法MessageAuthenticationCodealgorithm消息鑒別碼算法簡(jiǎn)稱(chēng)MAC算法，其輸入為密鑰和消息，輸出為一個(gè)固定長(zhǎng)度的比特串，滿(mǎn)足下面兩個(gè)性質(zhì)：-對(duì)于任何密鑰和消息，MAC算法都能夠快速地計(jì)算。-對(duì)于任何固定的密鑰，攻擊者在沒(méi)有獲得密鑰信息的情況下，即使獲得了一些（消息，MAC）對(duì)，對(duì)任何新的消息預(yù)測(cè)其MAC在計(jì)算上是不可行的。一個(gè)MAC算法有時(shí)被稱(chēng)作一個(gè)密碼校驗(yàn)函數(shù)。計(jì)算不可行性依賴(lài)于使用者具體的安全要求及其環(huán)境。輸出變換outputtransformation應(yīng)用在算法中，對(duì)迭代操作的輸出所進(jìn)行的變換?？古鲎搽s湊函數(shù)collision-resistanthash-function滿(mǎn)足如下性質(zhì)的雜湊函數(shù)：-尋找兩個(gè)不同的輸入，使得它們的輸出相同，在計(jì)算上是不可行的。消息比特串（數(shù)據(jù)）datastring（data）雜湊函數(shù)的輸入比特串。雜湊值hash-code雜湊函數(shù)的輸出比特串。雜湊函數(shù)hash-function將任意長(zhǎng)消息比特串映射到定長(zhǎng)比特串的函數(shù)，并且滿(mǎn)足如下兩個(gè)性質(zhì)：-對(duì)于任何輸出，找到它所對(duì)應(yīng)的輸入在計(jì)算上是不可行的。-對(duì)于任何輸入，找到區(qū)別于它且和它具有相同輸出的輸入在計(jì)算上是不可行的。初始值initializingvalue雜湊函數(shù)開(kāi)始工作時(shí)用到的值。填充padding在消息比特串后面附加額外比特串的操作。分組block一種定義了長(zhǎng)度的比特串。輪函數(shù)round-function將兩個(gè)長(zhǎng)度為和的比特串映射到一個(gè)長(zhǎng)度為的比特串的函數(shù)。它被反復(fù)地用在雜湊函數(shù)中，將長(zhǎng)度為的比特串和前面長(zhǎng)度為的輸出值相合并。字word長(zhǎng)度為32位的比特串。符號(hào)和記法下列符號(hào)和記法適用于本部分。、將要被輸入到MAC算法的消息比特串；MAC值的比特長(zhǎng)度；經(jīng)過(guò)填充和分割操作后，消息比特串的分組個(gè)數(shù)；比特串最左邊的比特；比特串和的異或值；按順序?qū)⒈忍卮瓦B接所構(gòu)成的比特串；MAC算法定義中使用的賦值符號(hào)；經(jīng)過(guò)填充的消息比特串；雜湊函數(shù)；被修改了常數(shù)和初始值的雜湊函數(shù)；簡(jiǎn)化的雜湊函數(shù)，沒(méi)有數(shù)據(jù)填充和長(zhǎng)度附加；、長(zhǎng)度為比特串，在MAC算法計(jì)算中被用來(lái)存儲(chǔ)臨時(shí)結(jié)果；、、、初始值；MAC算法密鑰的比特長(zhǎng)度；MAC算法的密鑰；、、、MAC算法1和3中的導(dǎo)出密鑰；、、MAC算法2中的導(dǎo)出密鑰；MAC算法3中表示消息長(zhǎng)度的比特串；、MAC算法2中使用的常數(shù)比特串；、、、MAC算法1和3中，用來(lái)導(dǎo)出一系列常數(shù)的常數(shù)比特串；、、MAC算法1和3中，用來(lái)導(dǎo)出子密鑰的128比特常數(shù)；、、MAC算法1和3中，用來(lái)導(dǎo)出子密鑰的768比特常數(shù)；使用修改后常數(shù)的輪函數(shù)；128比特串的第個(gè)字，即：；雜湊值；比特串的比特長(zhǎng)度；、輪函數(shù)中用到的常數(shù)字；專(zhuān)用雜湊函數(shù)4中用到的常數(shù)矩陣；輸入到輪函數(shù)的兩個(gè)比特串中，第一個(gè)比特串的比特長(zhǎng)度；輸入到輪函數(shù)的兩個(gè)比特串中，第二個(gè)比特串的比特長(zhǎng)度；輪函數(shù)輸出值的比特長(zhǎng)度；初始值的比特長(zhǎng)度。輪函數(shù)，即：若和分別表示長(zhǎng)度為和的比特串，則表示將作用到和所得到的比特串。模加法操作，即：若和是字，那么把和看作是整數(shù)的2進(jìn)制表示，計(jì)算它們的和再模，所得到的結(jié)果在0和之間，把它看作為字，記作。只能被用來(lái)處理長(zhǎng)度為整數(shù)倍的輸入比特串。要求采用本部分MAC算法的使用者應(yīng)當(dāng)選擇：1）從章節(jié)6、7、8中選取一種MAC算法；2）從GB/T18238.3-2002中的專(zhuān)用雜湊函數(shù)1、2、3或ISO/IEC10118-3：2004中的專(zhuān)用雜湊函數(shù)7中選取一個(gè)雜湊函數(shù)；3）MAC的長(zhǎng)度。對(duì)于MAC算法1和2，MAC的長(zhǎng)度應(yīng)該是一個(gè)正整數(shù)并且不大于雜湊值長(zhǎng)度。對(duì)于MAC算法3，MAC的長(zhǎng)度m應(yīng)該是一個(gè)正整數(shù)并且不大于雜湊值長(zhǎng)度的二分之一，即。對(duì)于MAC算法1和2，消息比特串的比特長(zhǎng)度不大于；對(duì)于MAC算法3，消息比特串的比特長(zhǎng)度不大于256。對(duì)一個(gè)具體MAC算法、專(zhuān)用雜湊函數(shù)、值的選擇超出了本部分所規(guī)定的范圍。上述選擇將影響MAC算法的安全強(qiáng)度，具體請(qǐng)參考附錄B。生成MAC和驗(yàn)證MAC應(yīng)當(dāng)使用同樣的密鑰。MAC算法1MAC算法1計(jì)算MAC值要求調(diào)用一次雜湊函數(shù)，而且要求修改其中的輪函數(shù)常數(shù)。雜湊函數(shù)應(yīng)當(dāng)從GB/T18238.3-2002中的專(zhuān)用雜湊函數(shù)1、2、3或ISO/IEC10118-3：2004中的專(zhuān)用雜湊函數(shù)7中選取。密鑰長(zhǎng)度不大于128比特。本條款包括MDx-MAC的描述【5】。具體來(lái)講，若采用專(zhuān)用雜湊函數(shù)1，MAC算法1也被稱(chēng)作RIPEMD-160-MAC；若采用專(zhuān)用雜湊函數(shù)2，MAC算法1也被稱(chēng)作RIPEMD-128-MAC；若采用專(zhuān)用雜湊函數(shù)3，MAC算法1也被稱(chēng)作SHA-1-MAC；若采用專(zhuān)用雜湊函數(shù)4（即ISO/IEC10118-3：2004中的專(zhuān)用雜湊函數(shù)7），MAC算法1也被稱(chēng)作WHIRLPOOL-MAC。MAC算法1的描述MAC算法1要求如下五步操作：密鑰擴(kuò)展、修改常數(shù)和初始值、雜湊操作、輸出變換和截?cái)嗖僮?。密鑰擴(kuò)展若長(zhǎng)度小于128比特，那么將重復(fù)足夠多次數(shù)，從連接起來(lái)的比特串中選取最左邊128比特作為128比特密鑰（若的長(zhǎng)度恰好為128比特，則），即：按照如下操作計(jì)算子密鑰、和：其中，、和是768比特的常數(shù)，在條款9中有定義。表示簡(jiǎn)化的雜湊函數(shù)，即沒(méi)有數(shù)據(jù)填充和長(zhǎng)度附加。數(shù)據(jù)填充和長(zhǎng)度附加可以被省略，是因?yàn)樵谶@里輸入比特串的長(zhǎng)度總是比特。導(dǎo)出的密鑰被分割成四個(gè)字，表示為，即：。從比特串到字的轉(zhuǎn)換，需要規(guī)定字節(jié)的排列順序。在這里的轉(zhuǎn)換中，采用GB/T18238.3-2002中對(duì)所有專(zhuān)用雜湊函數(shù)規(guī)定的字節(jié)排列順序。修改常數(shù)和初始值輪函數(shù)中采用的附加常數(shù)，被修改為它與四個(gè)字中的一個(gè)進(jìn)行模加的結(jié)果，比如說(shuō)：在條款9中具體規(guī)定了中的哪個(gè)字與哪個(gè)常數(shù)相加。用取代雜湊函數(shù)的初始值，所得的雜湊函數(shù)記作，其中的輪函數(shù)記作。雜湊操作用表示輸入到被修改的雜湊函數(shù)中的比特串，即：輸出變換再一次應(yīng)用被修改的輪函數(shù)，其中輸入的第一個(gè)參數(shù)為，第二個(gè)參數(shù)為（雜湊操作的結(jié)果），即：，這里、和都是長(zhǎng)度為128的比特串，在條款9中對(duì)所有專(zhuān)用雜湊函數(shù)均有定義。輸出變換對(duì)應(yīng)于處理一個(gè)額外的數(shù)據(jù)分組，這個(gè)額外的數(shù)據(jù)分組是在數(shù)據(jù)填充和長(zhǎng)度附加操作之后，由導(dǎo)出。截?cái)嗖僮魅”忍卮钭筮叡忍?，作為MAC值，即：MAC算法1的效率假定填充后的消息比特串包括個(gè)分組（這里填充方法由具體的雜湊函數(shù)決定），那么MAC算法1調(diào)用輪函數(shù)次。通過(guò)預(yù)計(jì)算、和，并且在雜湊函數(shù)的應(yīng)用中用取代，MAC算法1調(diào)用輪函數(shù)的次數(shù)可以降低到次。處理長(zhǎng)的消息比特串時(shí)，MAC算法1和相應(yīng)雜湊函數(shù)的性能相當(dāng)。MAC算法2MAC算法2計(jì)算MAC值要求調(diào)用兩次雜湊函數(shù)。雜湊函數(shù)應(yīng)當(dāng)從GB/T18238.3-2002中的專(zhuān)用雜湊函數(shù)1、2、3或ISO/IEC10118-3：2004中的專(zhuān)用雜湊函數(shù)7中選取，并且要求是8的正整數(shù)倍，。GB/T18238.3-2002中的雜湊函數(shù)1、2、3和ISO/IEC10118-3：2004中的雜湊函數(shù)7滿(mǎn)足這些條件。密鑰長(zhǎng)度不小于比特（是雜湊值的比特長(zhǎng)度），不大于比特（為輸入到輪函數(shù)的比特串的比特長(zhǎng)度），即：。MAC算法2的描述MAC算法2要求如下四步操作：密鑰擴(kuò)展、雜湊操作、輸出變換和截?cái)嗖僮?。密鑰擴(kuò)展在密鑰的右側(cè)填充個(gè)0，所得的長(zhǎng)度為的比特串記作。按照如下的方法，將擴(kuò)展為兩個(gè)子密鑰和：·將16進(jìn)制的值“36”（二進(jìn)制表示為“00110110”）重復(fù)次連接起來(lái)，所得比特串記作。然后將和比特串相異或，記作。即：?！?6進(jìn)制的值“5C”（二進(jìn)制表示為“01011100”）重復(fù)次連接起來(lái)，所得比特串記作。然后將和比特串相異或，記作。即：。雜湊操作將和相連接，作為輸入到雜湊函數(shù)的比特串，即：。輸出變換將和相連接，作為輸入到雜湊函數(shù)的比特串，即：。截?cái)嗖僮魅”忍卮钭筮叡忍?，作為MAC值，即：。MAC算法2的效率假定填充后的消息比特串包括個(gè)分組（這里填充方法由具體的雜湊函數(shù)決定），那么采用專(zhuān)用雜湊函數(shù)1、2和3時(shí)，MAC算法2調(diào)用輪函數(shù)次；采用專(zhuān)用雜湊函數(shù)4時(shí)，MAC算法2調(diào)用輪函數(shù)次。通過(guò)修改雜湊函數(shù)代碼，MAC算法2調(diào)用輪函數(shù)的次數(shù)可以降低2次。使用者可以預(yù)計(jì)算和,并且在第一次調(diào)用雜湊函數(shù)時(shí)用取代，在輸出變換中（第二次調(diào)用雜湊函數(shù)）用取代。同時(shí)，這也要求對(duì)填充方法進(jìn)行修改。事實(shí)上，對(duì)雜湊函數(shù)實(shí)際輸入的比特長(zhǎng)度少了，這樣必須把的值加到上。處理長(zhǎng)的消息比特串時(shí)，MAC算法2和相應(yīng)雜湊函數(shù)的性能相當(dāng)。MAC算法3本條款包括MAC算法1的一個(gè)變種，對(duì)短的輸入（不大于256比特）做了優(yōu)化。MAC算法3計(jì)算MAC值，要求調(diào)用7次簡(jiǎn)化的輪函數(shù)；但是通過(guò)預(yù)計(jì)算，可以降低到調(diào)用一次簡(jiǎn)化的輪函數(shù)。雜湊函數(shù)應(yīng)當(dāng)從GB/T18238.3-2002中的專(zhuān)用雜湊函數(shù)1、2、3或ISO/IEC10118-3：2004中的專(zhuān)用雜湊函數(shù)7中選取。密鑰長(zhǎng)度不大于128比特，MAC值長(zhǎng)度不大于比特。MAC算法3的描述MAC算法3要求如下五步操作：密鑰擴(kuò)展、修改輪函數(shù)的常數(shù)、數(shù)據(jù)填充、應(yīng)用輪函數(shù)和截?cái)嗖僮鳌Ｃ荑€擴(kuò)展若長(zhǎng)度小于128比特，那么將重復(fù)足夠多次數(shù)，從連接起來(lái)的比特串中選取最左邊128比特作為128比特密鑰（若的長(zhǎng)度恰好為128比特，則），即：按照如下操作計(jì)算子密鑰、和：其中，、和是768比特的常數(shù)，在條款9中有定義。表示簡(jiǎn)化的雜湊函數(shù)，即沒(méi)有數(shù)據(jù)填充和長(zhǎng)度附加。數(shù)據(jù)填充和長(zhǎng)度附加可以被省略，是因?yàn)樵谶@里輸入比特串的長(zhǎng)度總是比特。導(dǎo)出的密鑰被分割成四個(gè)字，表示為，即：。從比特串到字的轉(zhuǎn)換，需要規(guī)定字節(jié)的排列順序。在這里的轉(zhuǎn)換中，采用GB/T18238.3-2002中對(duì)所有專(zhuān)用雜湊函數(shù)規(guī)定的字節(jié)排列順序。修改輪函數(shù)的常數(shù)輪函數(shù)中采用的附加常數(shù)，被修改為它與四個(gè)字中的一個(gè)進(jìn)行模加的結(jié)果，比如說(shuō)：在條款9中具體規(guī)定了中的哪個(gè)字與哪個(gè)常數(shù)相加。用取代雜湊函數(shù)的初始值，所得的輪函數(shù)記作。數(shù)據(jù)填充對(duì)原始消息填充的比特串只用來(lái)計(jì)算MAC，所以這些填充比特串（如果有）不必隨原始消息存儲(chǔ)或發(fā)送。MAC的驗(yàn)證者應(yīng)當(dāng)知道填充比特串是否已經(jīng)被存儲(chǔ)或發(fā)送。對(duì)要輸入到MAC算法的消息比特串，在其右側(cè)填充盡可能少（可能沒(méi)有）的“0”以使得填充后比特串的長(zhǎng)度是256比特。如果消息比特串是空串，那么規(guī)定填充后的比特串為256個(gè)“0”。應(yīng)用輪函數(shù)消息比特串的長(zhǎng)度記作，其二進(jìn)制表示記作。在最左邊填充足夠少的“0”使得的長(zhǎng)度為128比特，最右邊的比特和最低位相對(duì)應(yīng)。將、和與的異或值相連接，作為輪函數(shù)（使用修改過(guò)的常數(shù)）的輸入，即：。截?cái)嗖僮魅”忍卮钭筮叡忍?，作為MAC值，即：。MAC算法3的效率MAC算法3需要調(diào)用7次輪函數(shù)，通過(guò)預(yù)計(jì)算、和，可以降低到一次。常數(shù)的計(jì)算本條款中規(guī)定的常數(shù)，將被用在MAC算法1和條款8的MAC算法3中。比特串和是MAC算法中固定的元素，它們通過(guò)雜湊函數(shù)計(jì)算得到（只計(jì)算一次），并且在四個(gè)專(zhuān)用雜湊函數(shù)中各不相同。128比特的和768比特的按照如下的方法定義：其中下標(biāo)的加法是模3加。是496比特的常數(shù)，、和都是16比特的常數(shù)，其中通過(guò)重復(fù)兩次數(shù)字的16進(jìn)制ASCII編碼得到（比如說(shuō)，的表示為3131）。和都采用ASCII編碼，ASCII編碼等同于GB/T1988-1998所使用的編碼。對(duì)于所有的常數(shù)、和所有的字，最高位和最左邊的比特相對(duì)應(yīng)。常數(shù)和用16進(jìn)制表示。專(zhuān)用雜湊函數(shù)1專(zhuān)用雜湊函數(shù)1中的128比特常數(shù)定義如下：（用16進(jìn)制表示）專(zhuān)用雜湊函數(shù)1的輪函數(shù)中用到兩個(gè)常數(shù)字序列和，它們定義如下：專(zhuān)用雜湊函數(shù)2專(zhuān)用雜湊函數(shù)2中的128比特常數(shù)定義如下：（用16進(jìn)制表示）專(zhuān)用雜湊函數(shù)2的輪函數(shù)中用到兩個(gè)常數(shù)字序列和，它們定義如下：專(zhuān)用雜湊函數(shù)3專(zhuān)用雜湊函數(shù)3中的128比特常數(shù)定義如下：（用16進(jìn)制表示）專(zhuān)用雜湊函數(shù)3的輪函數(shù)中用到一個(gè)常數(shù)字序列，它定義如下：專(zhuān)用雜湊函數(shù)4專(zhuān)用雜湊函數(shù)4中的128比特常數(shù)定義如下：（用16進(jìn)制表示）專(zhuān)用雜湊函數(shù)4的輪函數(shù)中用到一個(gè)常數(shù)矩陣序列，它們定義如下：，，，，，，，，，。

（資料性附錄）

使用MAC算法生成MAC的示例概述本附錄提供了使用MAC算法1、2和3生成MAC的過(guò)程示例，采用四種專(zhuān)用雜湊函數(shù)；其中，專(zhuān)用雜湊函數(shù)1、2、3分別是GB/T18238.3-2002中規(guī)定的專(zhuān)用雜湊函數(shù)1、2、3，專(zhuān)用雜湊函數(shù)4是ISO/IEC10118-3：2004中規(guī)定的專(zhuān)用雜湊函數(shù)7。每個(gè)雜湊函數(shù)值的計(jì)算有九個(gè)示例。表1包含了序號(hào)為1至9的輸入比特串。在整個(gè)附錄中，我們對(duì)消息比特串采用ASCII編碼，ASCII編碼等同于GB/T1988-1998所使用的編碼。兩個(gè)128比特的密鑰如下：密鑰1=00112233445566778899AABBCCDDEEFF密鑰2=0123456789ABCDEFFEDCBA9876543210表1用于測(cè)試的輸入數(shù)據(jù)序號(hào)：輸入比特串1“”（空比特串）2“a”3“abc”4“messagedigest”5“abcdefghijklmnopqrstuvwxyz”6“abcdbcdecdefdefgefghfghighijhijkijkljklmklmnlmnomnopnopq”7“ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789”8“1234567890”重復(fù)8次所得的長(zhǎng)為80的字符串9“a”重復(fù)1，000，000次得到1兆長(zhǎng)的字符串MAC算法1在這一部分的示例中，選取。具體來(lái)講，在專(zhuān)用雜湊函數(shù)1和3中，；在專(zhuān)用雜湊函數(shù)2中，；在專(zhuān)用雜湊函數(shù)4中，。專(zhuān)用雜湊函數(shù)1密鑰1：00112233445566778899AABBCCDDEEFF序號(hào)：MAC值1B7F4508111EB8C3B5229C6AED406DE9ECA6401332BC78F55933BCEB1EE85A906F9E18374F23E310F936300DC20E97A5AA29DB9C7D607D23D126FA3686343A2AC89B78EEAB8759F5112BCAD4CD405EEB5D35516DC174925BBC27E0C93D426C346846F97F8BC696E062210BA5C9C94737BF3A6E85B3B5664FBD1D4E79B462D5CBDAE1485FFE10BC001EF9E3AF6D128B5888E73A01A1DE36C92D6F9E41F7278D407B4A4CCD9E7B128E4A1842B750F1E61A486C867C4887A4B21密鑰2：0123456789ABCDEFFEDCBA9876543210序號(hào)：MAC值1B45D6CA84CFB9020E0D5ABA2A7609D3D81F3F57F28844375992037D1BCD0D118EE548D70C3F19CBBB3917C59B8AC7FC19DC25BEF82766412FA16BBC6A74E0737CC7976D8F424390CB8798D623D751AFE15A5D57FAE83687-718EFA4BD4A5F2F322A179A8735E642B20D4C8FD5E8672760CF83C0478D7BF8021404742B20D4C8FD5E8672760CF83C0478D7BF8021404810441DF4F68CE8815818DC0FB370ABF87BCA44649E06AD21D2AF04DD4217AB03B1A578F036997D01A專(zhuān)用雜湊函數(shù)2密鑰1：00112233445566778899AABBCCDDEEFF序號(hào)：MAC值1A47A64E9EDE0741B3FDDE33E5C1C6D78251355051852FDC79FB228EAC905633AD3D83940DAFFBD4CBBE6BA30A6F9E63F5F41A7CFE2BB26E973E213C1CB96FA4C2EF5798AEAC6046B31907C197BD68E59D37660B8E1D4A571F32657189322A1F2F4A537B814730F482300C6E474FD255A66D68089060A30758EBE3368D939AC168F1A9FD920763FDEDF01E56FF5756954302C7DE0密鑰2：0123456789ABCDEFFEDCBA9876543210序號(hào)：MAC值135FA3AC39F50F2A4E3FFC7AF5776B4EB2A89E25E6796747B630A2A00B802EA53E366339027A36608EBD932DD551616E7B241F8779BAD84B50373931211A2761EAD3531BF5B5B7ABAC2567DC0E02F1C3A25D76B5B8BA3B8EA895FBC83CB7588FBD265678D27BBEC257C848D5CF375EB5EDA4CC78B40B5BF6727DE90B26F770850F059C89976C7BC831B0BCE593DFD44E8E054A373專(zhuān)用雜湊函數(shù)3密鑰1：00112233445566778899AABBCCDDEEFF序號(hào)：MAC值1C8A8B3C75E6CE7C6C4F79CC19853CCD54ABCB07928DD9AE643BF10BBB7B978EF13EE6C0F480618FB03A738B26A8BD318184E76707A99CAE14C670B971141EBFE413E55D6B288A2BD01D294A21FD8D4B20BF50CE7BF40A73D977AB4999CF3A9BD1C5B3DC442E9612A6823CC181294F95109073A6AA0C8961B1438679369EE4A043AF1CA6E078D0B8A9CE5C1545440BA8B00D37D70A84B762FC0A8A9BC1B15F0E517B5EDF9DDDF44613E8559D12C150D022D5FE33F9E0FBACE密鑰2：0123456789ABCDEFFEDCBA9876543210序號(hào)：MAC值1C3A5ECD1E715C7272CFE78BC278086587B0404222D5D50FFA7EFDF1B17E96E2EC14DBC4412F7B771F301BFDD568008D412158F5B0C90AE2730DCFB77FB49982E0EE91DB89AE7E7618AD1D649BA43406DBDD5ACD04E1004FCE53DECA9EE7AB95DAF97B7C44AA86FADF62DCE789E86E60756AA819EF62C8E5C25E94746DB9A49FB4976D007B14B1574843D019CA9944584EF5BED3E816C530B23F491583C038596BB76FDB9BAC6BE6BE6153FECE2891F9DA03824DD4D535D19專(zhuān)用雜湊函數(shù)4密鑰1：00112233445566778899AABBCCDDEEFF序號(hào)：MAC值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密鑰2：0123456789ABCDEFFEDCBA9876543210序號(hào)：MAC值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算法2在這一部分的示例中，選取。具體來(lái)講，在專(zhuān)用雜湊函數(shù)1和3中，；在專(zhuān)用雜湊函數(shù)2中，；在專(zhuān)用雜湊函數(shù)4中，。專(zhuān)用雜湊函數(shù)1密鑰1：00112233445566778899AABBCCDDEEFF序號(hào)：MAC值19EBEA41FBC24CD90BF2ECFD5B8C8CC8181D3FCAE275CB722C50024C0E8A7A0DBA7D5C36B86D9D1DD535B48C1749DDED71EDFE0ADE2B944E808E4A658204F9033064567F541235C3944EE95CB476055985D15B37885405B71E025AF0CB574021A562A6273362865C6429B982C8054B5B3348A0D7D2CE24D7032BC17B0A4A451D0926855E52428E16D1FEAA241C4DD9B81CCEEC5122F08A76EBCD8E3DE88610D942D8A5F6945D61908BFF6039E6DE3C037FDCE6191F19F6410密鑰2：0123456789ABCDEFFEDCBA9876543210序號(hào)：MAC值12FDE5DAF7050D14E6D7ACD2254D17FA3A8CBFCDD2239C4020610429A8662BF81A2CAAEA47F8EA0A44389EFFB9F5A6BCEAE3C65D0C9803F3464E5E9E3494F5FC87FD5702F5D4E7BB634DA4CB4B41CD505B6C55686C00F69E6C868732C67402AA107CEAB5134396525EC4893A221EFD9B6DD351059B40C05B4CE2D37B975ED3893FC8D535376EF49211E2E6B1BB30B908BC201FFA581357C271DAE25104167F3DCC97BADC995A875A1D64D55E677D8E4455E1445E7E940F758專(zhuān)用雜湊函數(shù)2密鑰1：00112233445566778899AABBCCDDEEFF序號(hào)：MAC值1AD9DB2C1E22AF9AB5CA9DBE5A86F67DC23BF448C762DE00BCFA0310B11C0BDE4C3F34EC0945F02B70B8603F89E1CE4C78C4E8503Q8AEC2289D82AA0D8D445A06BDD5EE880B735CE3126065DE1699CC1361996794DAF2E3BDEEA2538638A5CED15443473A06EEF165B23625247800BE23E232B689A4F0159C0952DA43A8D466D46B0AF58919B1B3AF333B894DD86D09427116D0AD密鑰2：0123456789ABCDEFFEDCBA9876543210序號(hào)：MAC值18931EEEE56A6B257FD1AB5418183D8262DBBCF169EA7419D5BA7BD8EB3673FF2D32C4CD07D3162D6A0E338004D6B6FBC9A475BFB25888F4BB77C77AE83AD08174475B1B5DC0FCB7258758855DD1840FCDCE46670D0F7A697B18F1A8AB7D2A2A00DBC1754E315FDB34A61C0475392E5C78529988AD04354D8AA2A623E72E3594EE3535C096F9B1C0FC06753618D6DB4B007733795專(zhuān)用雜湊函數(shù)3密鑰1：00112233445566778899AABBCCDDEEFF序號(hào)：MAC值186C2962E58B3498A2608935AF7726311F2BFB53820497FF21DAE3251DA0ED2F47F5A3B74ABA6B256036EE2A25F943E3F3EC05225FBB86BA73E2E5D51D24CD4C0D1328DC4A8DC2801001B129AEFC6E0CF9CE589ECE303FAD1E4313950CC3B008CB239B5B8584469DF741057D075D3C4E1533E38A5FF469647194B47188A58390A6EF9827035B81CDF1B5049211F0EE5898A98D6A81FD361030856D2C19742AD8DBC468E79D2986310BA18A78786534882F9C6BCBF06CCE9E3密鑰2：0123456789ABCDEFFEDCBA9876543210序號(hào)：MAC值12739B6BE63F539EB70FE250346F6382A2DFA345F2A0C2711A6B1DA4CD8F85EF1E6FF7BF70B412B477318F570E864FF903D2773D53C2E114E1A621529534A80845A89BA15E941A2457084BC431F3E47759E1514143EA1057B02D20C0157216190A006E30F3D416DAB4B41BA639B4715889406FE18E0C037017E0637AEAEA5415B4F266CB15CBEB844E56AEC2DABAD6D83DBA11471EB4FCCF21BAEB0BFF7E20150132C6CF93BB917B8BD8560E89FF9054FBE096CBACA109D5F專(zhuān)用雜湊函數(shù)4密鑰1：00112233445566778899AABBCCDDEEFF序號(hào)：MAC值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密鑰2：0123456789ABCDEFFEDCBA9876543210序號(hào)：MAC值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算法3在這一部分的示例中，選取。具體來(lái)講，在專(zhuān)用雜湊函數(shù)1和3中，；在專(zhuān)用雜湊函數(shù)2中，；在專(zhuān)用雜湊函數(shù)4中，。專(zhuān)用雜湊函數(shù)1密鑰1：00112233445566778899AABBCCDDEEFF序號(hào)：MAC值16606EF2D3BBD010F516C65372C3CF0ACF111B3F72F0BC0C81307E17A71F4C40AE0B2AC39FCB23CE1237720FD23925B854F963E8812573CD86EBA61EB6642683D6CE053BA0420E76130EAE2367734B7D2D535DE532D156CB312464BB6147E99470C471D91F1C6密鑰2：0123456789ABCDEFFEDCBA9876543210序號(hào)：MAC值14BD390E9EC460AD4866CCB32D091AFBF73E5B6DA2CD2847BAB4636C9BCEADCF3D187122A9199DA670315C3910C42638E5EE6DEBD506BD8C4DB94713A3A404148DCB47728E3E57B836A66043D5145879796E5829A24010704DBD0EE34A6D607F7B34829E04E95專(zhuān)用雜湊函數(shù)2密鑰1：00112233445566778899AABBCCDDEEFF序號(hào)：MAC值1AEB2C45F13C0C6F5F10BE2F1E3E9C322216874D0E17E4F1C290DD749CCEFF78343A289AA06AEB8FC99B989C377BAADD9D440D80DB68BBF99442DC3D6B83D038DEF3511DC4A6BD375C64F78BB78AD265ED7CD密鑰2：0123456789ABCDEFFEDCBA9876543210序號(hào)：MAC8D3AF29F5C002FF769EA52DFE1E36CE9792476E0889F1BECEF18A939B4F1D21320F4A327F023947554BFC3B43D2D658D0196E4EE9F42ADA50DFCFA6F50A34452D9DA70C70183DFFDDB8EEC056專(zhuān)用雜湊函數(shù)3密鑰1：00112233445566778899AABBCCDDEEFF序號(hào)：MAC值1708F4A226CDE708820643CBEEFDCBE6CB36FB2692EAB87BE709D1E5CB62C7489C2B1407130B7727603C1BD6F9C908132FEF5187CBE681B42A8C785FBF64F34DEB241D46C6448D67ACE6B8CD4DF00DA23EBC5669DED2BD6A1AE0BCFF7D3B74494C1D8161FA0D8密鑰2：0123456789ABCDEFFEDCBA9876543210序號(hào)：MAC值1EAF6F9DDBAFD299320FF0FC8E02E2BE62879F34122AAE9DE0A555E7CD7383C27506A467B8DF4E3A333FE6031710329D12090F73F55CFFCC6215F9BEAE940CCDD9DAB6B0126800EC1CC7A02656E12EDEA42C5ABDBC8AAAE4A8CE734432188740A149BDF2D215F專(zhuān)用雜湊函數(shù)4密鑰1：00112233445566778899AABBCCDDEEFF序號(hào)：MAC值135E68BCFCD5548A09F6A1615B84BEE9AAE35D286BD948BFD7EC1132A8D462C88272E8DA475B0F5C97F71D7A98FB3E0D4E1032AF8080F3BD793EC034B06E619067345AD62CA5A90E3AFD20B645AAC8D77614DB847790867F348D1732BB9BA816C1E4039731A1305C30B2F443D403F40B55C6B3B16B5B1B20B60B5942B01E16D0ADEA57F2E3B78CAB48C93E6E7C33BD52B2911C3FBB5BB3F9D40242BB5861D70C1D29C密鑰2：0123456789ABCDEFFEDCBA9876543210序號(hào)：MAC值1BB52A0272197E3C112A502A994A12B20CB257C7C4F00D134E9B85E92CD2809072DB4C2DC7512E00D835FAF9680F855EAE1379B6A380A8C53F2507F5A5AF0A447C33D75654FC093B5318C05455A212416FD3A4C82F58468C3327C5C8109F7973FBA4BE3D19D1E4D6A0F644742A6EAB9D371447D77B8BAE26AE63D4797C5CBBB10E71584EE551EF07D23E2E043061E2C1E6D9ACBADDDAFAF8FD6FC98A384F6FEEB2B0E

（資料性附錄）

MAC算法的安全性分析本附錄討論了本部分中MAC算法的安全強(qiáng)度。它的目標(biāo)是協(xié)助本部分的使用者選擇合適的MAC算法。該附錄中，表示用密鑰為的MAC算法對(duì)消息進(jìn)行計(jì)算所得到的MAC。為了確定MAC算法的安全強(qiáng)度，本附錄考慮了如下兩種攻擊策略：1)偽造攻擊：這種攻擊是在沒(méi)有密鑰的情況下，對(duì)消息預(yù)測(cè)。如果攻擊者能夠?qū)σ粋€(gè)消息成功預(yù)測(cè)其MAC，那么稱(chēng)他有能力“偽造”。實(shí)際的攻擊經(jīng)常要求一個(gè)偽造是可驗(yàn)證的，也就是說(shuō)，事先以接近于1的概率確認(rèn)偽造的MAC是正確的。而且，在許多應(yīng)用中，消息有特定的格式，這就意味著對(duì)消息有額外限制。2)密鑰恢復(fù)攻擊：這種攻擊根據(jù)大量的（消息，MAC）對(duì)找到MAC算法的密鑰。密鑰恢復(fù)攻擊比偽造攻擊更強(qiáng)大，因?yàn)樗坏┏晒涂梢赃M(jìn)行任意地偽造。一個(gè)攻擊的可行性依賴(lài)于攻擊者已知和選擇的（消息，MAC）對(duì)數(shù)目以及離線(xiàn)加密的次數(shù)。對(duì)MAC算法可能的攻擊描述如下，但是這里并不保證列舉了所有的攻擊。前兩種攻擊是一般性的，也就是說(shuō)，它們對(duì)任何MAC算法都有效。第三種適用于任何迭代的MAC算法（更多信息請(qǐng)參閱[5]）?！げ聹y(cè)MAC這種偽造是不可驗(yàn)證的，成功概率為。這種攻擊適用于所有的MAC算法，只有合適地選擇和才能夠抵抗這種攻擊?！っ荑€窮搜索這種攻擊需要運(yùn)行平均次MAC算法，并且需要對(duì)（消息，MAC）以唯一確定密鑰。同樣這種攻擊適用于所有MAC算法，合適地選擇能夠抵抗這種攻擊。另外，MAC算法使用者也可以阻止攻擊者獲得對(duì)（消息，MAC）以抵抗這種攻擊。比如說(shuō)，若，，那么對(duì)于給定的（消息，MAC）對(duì)，大約有個(gè)密鑰和其對(duì)應(yīng)；如果每次使用MAC算法后都改變密鑰，那么密鑰窮搜索攻擊并不比猜測(cè)MAC攻擊更有效。·生日攻擊[5]如果攻擊者獲得足夠數(shù)目的（消息，MAC）對(duì)，他就能夠找到這樣兩個(gè)消息和滿(mǎn)足：并且兩次輸出變換的輸入值在兩次MAC計(jì)算中是相等的；這被稱(chēng)作內(nèi)部碰撞。如果消息和構(gòu)成內(nèi)部碰撞，那么對(duì)任意的比特串都有。這就構(gòu)成了一種偽造，當(dāng)攻擊者得到比特串的MAC時(shí)，就能夠預(yù)測(cè)比特串的MAC。這種偽造依賴(lài)于消息的特殊格式，可能對(duì)許多應(yīng)用沒(méi)有威脅；但是，這種攻擊的擴(kuò)展版本在消息格式方面有更大的靈活性。這種攻擊需要選擇一個(gè)消息比特串，收集大約對(duì)已知（消息，MAC）和對(duì)選擇（消息，MAC），其中是中間狀態(tài)的比特長(zhǎng)度。通過(guò)以下方式可以避免生日攻擊：在要處理的消息前面加上一個(gè)序列號(hào)消息塊，使得MAC算法是帶狀態(tài)的。這就要求在MAC算法實(shí)現(xiàn)中要保證在一個(gè)密鑰周期內(nèi)，每個(gè)序列號(hào)在MAC計(jì)算過(guò)程中只用一次。這種要求并不是在所有環(huán)境下都可行?！そ輳矫荑€恢復(fù)基于內(nèi)部碰撞的密鑰恢復(fù)攻擊適用于某些MAC算法，但目前還沒(méi)有關(guān)于本部分中MAC算法的捷徑密鑰恢復(fù)攻擊?！?cè)信道攻擊針對(duì)RIPEMD-160和SHA-1算法中異或、模加和模乘運(yùn)算的特點(diǎn)，可以使用差分能量分析的方法恢復(fù)MAC算法2的全部密鑰[6]。安全證明若如下的假定成立，那么MAC算法1被證明是安全的[4]：·使用密鑰為初始值和附加常數(shù)的輪函數(shù)是一個(gè)偽隨機(jī)函數(shù)。一個(gè)偽隨機(jī)函數(shù)使用一個(gè)密鑰，對(duì)于不知道密鑰的敵手，它的表現(xiàn)和一個(gè)隨機(jī)函數(shù)相仿（也就是說(shuō)，偽隨機(jī)函數(shù)和隨機(jī)函數(shù)很難區(qū)別）。若如下的假定成立，那么MAC算法2被證明是安全的[3]：·當(dāng)保密的時(shí)候，雜湊函數(shù)是抗碰撞的?！な褂妹荑€為初始值的輪函數(shù)是一個(gè)強(qiáng)MAC算法（也就是說(shuō)，很難預(yù)測(cè)它的輸出）?！っ荑€、和隨機(jī)密鑰不可區(qū)分；相當(dāng)于要求使用密鑰的輪函數(shù)是“弱”偽隨機(jī)函數(shù)（“弱”源于敵手不能直接得到和）。進(jìn)一步的證明指出，只要輪函數(shù)是偽隨機(jī)函數(shù)，即可保證MAC算法2是偽隨機(jī)函數(shù)[7]。另外，當(dāng)輪函數(shù)具備不可延展和不可預(yù)測(cè)性質(zhì)的時(shí)候，MAC算法2被證明是不可偽造的[8]。其它研究表明，當(dāng)采用弱的雜湊函數(shù)的時(shí)候，MAC算法2的安全性有所降低[9-13]。MAC算法3的安全性假設(shè)和MAC算法1和2中對(duì)輪函數(shù)的假設(shè)相似。參?考?文?獻(xiàn)ISO16609:2004Banking--Requirementsformessageauthenticationusingsymmetrictechniques.ISO/IEC10181-6：1996Informationtechnology-OpenSystemsInterconnection-Securityframeworksforopensystems:Integrityframework.M.Bellare,R.Canetti,H.Krawczyk,"Keyinghashfunctionsformessageauthencication,"AdvancesinCryptology,ProceedingsCrypto’96,LNCS1109,N.Koblitz,Ed.,Springer-Verlag,1996,pp.1-15.M.Bellare,R.Canetti,H.Krawczyk,"Pseudorandomfunctionsrevisited:Thecascadeconstructionanditsc