ICSFORMTEXT35.040?????FORMTEXTL80?????中華人民共和國國家標準GB/TFORMTEXT15852.2—FORMTEXTXXXXFORMTEXT?????FORMTEXT信息技術安全技術消息鑒別碼第2部分：采用專用雜湊函數的機制FORMTEXTInformationtechnology–Securitytechniques–MessageAuthenticationCodes(MACs)–Part2：Mechanismsusingadedicatedhash-functionFORMTEXTMODFORMDROPDOWNFORMTEXT（本稿完成日期：2011年1月19日）FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX發布FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX實施GB/T15852.2—XXXXII范圍GB/T15852的本部分規定了三種采用專用雜湊函數的消息鑒別碼算法。這些消息鑒別碼算法可用作數據完整性檢驗，檢驗數據是否被非授權地改變。同樣這些消息鑒別碼算法也可用作消息鑒別，保證消息源的合法性。數據完整性和消息鑒別的強度依賴于密鑰的長度及其保密性、雜湊函數的算法強度及其輸出長度、消息鑒別碼的長度和具體的消息鑒別碼算法。本部分適用于任何安全體系結構、進程或應用的安全服務。規范性引用文件下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T18238.3-2002信息技術安全技術散列函數第3部分：專用散列函數（idtISO/IEC10118-3:1998）GB/T1988-1998信息技術信息交換用七位編碼字符集（eqvISO/IEC646：1991）ISO/IEC10118-3：2004信息技術安全技術雜湊函數第3部分：專用雜湊函數術語和定義下列術語和定義適用于本部分。消息鑒別碼messageauthenticationcodeMAC利用對稱密碼技術，以密鑰為參數，由消息導出的數據項。任何持有這一密鑰的實體，都可利用消息鑒別碼檢查消息的完整性和始發者。消息鑒別碼(MAC)算法密鑰MACalgorithmkey一種用于控制消息鑒別碼算法運算的密鑰。消息鑒別碼算法MessageAuthenticationCodealgorithm消息鑒別碼算法簡稱MAC算法，其輸入為密鑰和消息，輸出為一個固定長度的比特串，滿足下面兩個性質：-對于任何密鑰和消息，MAC算法都能夠快速地計算。-對于任何固定的密鑰，攻擊者在沒有獲得密鑰信息的情況下，即使獲得了一些（消息，MAC）對，對任何新的消息預測其MAC在計算上是不可行的。一個MAC算法有時被稱作一個密碼校驗函數。計算不可行性依賴于使用者具體的安全要求及其環境。輸出變換outputtransformation應用在算法中，對迭代操作的輸出所進行的變換。抗碰撞雜湊函數collision-resistanthash-function滿足如下性質的雜湊函數：-尋找兩個不同的輸入，使得它們的輸出相同，在計算上是不可行的。消息比特串（數據）datastring（data）雜湊函數的輸入比特串。雜湊值hash-code雜湊函數的輸出比特串。雜湊函數hash-function將任意長消息比特串映射到定長比特串的函數，并且滿足如下兩個性質：-對于任何輸出，找到它所對應的輸入在計算上是不可行的。-對于任何輸入，找到區別于它且和它具有相同輸出的輸入在計算上是不可行的。初始值initializingvalue雜湊函數開始工作時用到的值。填充padding在消息比特串后面附加額外比特串的操作。分組block一種定義了長度的比特串。輪函數round-function將兩個長度為和的比特串映射到一個長度為的比特串的函數。它被反復地用在雜湊函數中，將長度為的比特串和前面長度為的輸出值相合并。字word長度為32位的比特串。符號和記法下列符號和記法適用于本部分。、將要被輸入到MAC算法的消息比特串；MAC值的比特長度；經過填充和分割操作后，消息比特串的分組個數；比特串最左邊的比特；比特串和的異或值；按順序將比特串和連接所構成的比特串；MAC算法定義中使用的賦值符號；經過填充的消息比特串；雜湊函數；被修改了常數和初始值的雜湊函數；簡化的雜湊函數，沒有數據填充和長度附加；、長度為比特串，在MAC算法計算中被用來存儲臨時結果；、、、初始值；MAC算法密鑰的比特長度；MAC算法的密鑰；、、、MAC算法1和3中的導出密鑰；、、MAC算法2中的導出密鑰；MAC算法3中表示消息長度的比特串；、MAC算法2中使用的常數比特串；、、、MAC算法1和3中，用來導出一系列常數的常數比特串；、、MAC算法1和3中，用來導出子密鑰的128比特常數；、、MAC算法1和3中，用來導出子密鑰的768比特常數；使用修改后常數的輪函數；128比特串的第個字，即：；雜湊值；比特串的比特長度；、輪函數中用到的常數字；專用雜湊函數4中用到的常數矩陣；輸入到輪函數的兩個比特串中，第一個比特串的比特長度；輸入到輪函數的兩個比特串中，第二個比特串的比特長度；輪函數輸出值的比特長度；初始值的比特長度。輪函數，即：若和分別表示長度為和的比特串，則表示將作用到和所得到的比特串。模加法操作，即：若和是字，那么把和看作是整數的2進制表示，計算它們的和再模，所得到的結果在0和之間，把它看作為字，記作。只能被用來處理長度為整數倍的輸入比特串。要求采用本部分MAC算法的使用者應當選擇：1）從章節6、7、8中選取一種MAC算法；2）從GB/T18238.3-2002中的專用雜湊函數1、2、3或ISO/IEC10118-3：2004中的專用雜湊函數7中選取一個雜湊函數；3）MAC的長度。對于MAC算法1和2，MAC的長度應該是一個正整數并且不大于雜湊值長度。對于MAC算法3，MAC的長度m應該是一個正整數并且不大于雜湊值長度的二分之一，即。對于MAC算法1和2，消息比特串的比特長度不大于；對于MAC算法3，消息比特串的比特長度不大于256。對一個具體MAC算法、專用雜湊函數、值的選擇超出了本部分所規定的范圍。上述選擇將影響MAC算法的安全強度，具體請參考附錄B。生成MAC和驗證MAC應當使用同樣的密鑰。MAC算法1MAC算法1計算MAC值要求調用一次雜湊函數，而且要求修改其中的輪函數常數。雜湊函數應當從GB/T18238.3-2002中的專用雜湊函數1、2、3或ISO/IEC10118-3：2004中的專用雜湊函數7中選取。密鑰長度不大于128比特。本條款包括MDx-MAC的描述【5】。具體來講，若采用專用雜湊函數1，MAC算法1也被稱作RIPEMD-160-MAC；若采用專用雜湊函數2，MAC算法1也被稱作RIPEMD-128-MAC；若采用專用雜湊函數3，MAC算法1也被稱作SHA-1-MAC；若采用專用雜湊函數4（即ISO/IEC10118-3：2004中的專用雜湊函數7），MAC算法1也被稱作WHIRLPOOL-MAC。MAC算法1的描述MAC算法1要求如下五步操作：密鑰擴展、修改常數和初始值、雜湊操作、輸出變換和截斷操作。密鑰擴展若長度小于128比特，那么將重復足夠多次數，從連接起來的比特串中選取最左邊128比特作為128比特密鑰（若的長度恰好為128比特，則），即：按照如下操作計算子密鑰、和：其中，、和是768比特的常數，在條款9中有定義。表示簡化的雜湊函數，即沒有數據填充和長度附加。數據填充和長度附加可以被省略，是因為在這里輸入比特串的長度總是比特。導出的密鑰被分割成四個字，表示為，即：。從比特串到字的轉換，需要規定字節的排列順序。在這里的轉換中，采用GB/T18238.3-2002中對所有專用雜湊函數規定的字節排列順序。修改常數和初始值輪函數中采用的附加常數，被修改為它與四個字中的一個進行模加的結果，比如說：在條款9中具體規定了中的哪個字與哪個常數相加。用取代雜湊函數的初始值，所得的雜湊函數記作，其中的輪函數記作。雜湊操作用表示輸入到被修改的雜湊函數中的比特串，即：輸出變換再一次應用被修改的輪函數，其中輸入的第一個參數為，第二個參數為（雜湊操作的結果），即：，這里、和都是長度為128的比特串，在條款9中對所有專用雜湊函數均有定義。輸出變換對應于處理一個額外的數據分組，這個額外的數據分組是在數據填充和長度附加操作之后，由導出。截斷操作取比特串最左邊比特，作為MAC值，即：MAC算法1的效率假定填充后的消息比特串包括個分組（這里填充方法由具體的雜湊函數決定），那么MAC算法1調用輪函數次。通過預計算、和，并且在雜湊函數的應用中用取代，MAC算法1調用輪函數的次數可以降低到次。處理長的消息比特串時，MAC算法1和相應雜湊函數的性能相當。MAC算法2MAC算法2計算MAC值要求調用兩次雜湊函數。雜湊函數應當從GB/T18238.3-2002中的專用雜湊函數1、2、3或ISO/IEC10118-3：2004中的專用雜湊函數7中選取，并且要求是8的正整數倍，。GB/T18238.3-2002中的雜湊函數1、2、3和ISO/IEC10118-3：2004中的雜湊函數7滿足這些條件。密鑰長度不小于比特（是雜湊值的比特長度），不大于比特（為輸入到輪函數的比特串的比特長度），即：。MAC算法2的描述MAC算法2要求如下四步操作：密鑰擴展、雜湊操作、輸出變換和截斷操作。密鑰擴展在密鑰的右側填充個0，所得的長度為的比特串記作。按照如下的方法，將擴展為兩個子密鑰和：·將16進制的值“36”（二進制表示為“00110110”）重復次連接起來，所得比特串記作。然后將和比特串相異或，記作。即：。·將16進制的值“5C”（二進制表示為“01011100”）重復次連接起來，所得比特串記作。然后將和比特串相異或，記作。即：。雜湊操作將和相連接，作為輸入到雜湊函數的比特串，即：。輸出變換將和相連接，作為輸入到雜湊函數的比特串，即：。截斷操作取比特串最左邊比特，作為MAC值，即：。MAC算法2的效率假定填充后的消息比特串包括個分組（這里填充方法由具體的雜湊函數決定），那么采用專用雜湊函數1、2和3時，MAC算法2調用輪函數次；采用專用雜湊函數4時，MAC算法2調用輪函數次。通過修改雜湊函數代碼，MAC算法2調用輪函數的次數可以降低2次。使用者可以預計算和,并且在第一次調用雜湊函數時用取代，在輸出變換中（第二次調用雜湊函數）用取代。同時，這也要求對填充方法進行修改。事實上，對雜湊函數實際輸入的比特長度少了，這樣必須把的值加到上。處理長的消息比特串時，MAC算法2和相應雜湊函數的性能相當。MAC算法3本條款包括MAC算法1的一個變種，對短的輸入（不大于256比特）做了優化。MAC算法3計算MAC值，要求調用7次簡化的輪函數；但是通過預計算，可以降低到調用一次簡化的輪函數。雜湊函數應當從GB/T18238.3-2002中的專用雜湊函數1、2、3或ISO/IEC10118-3：2004中的專用雜湊函數7中選取。密鑰長度不大于128比特，MAC值長度不大于比特。MAC算法3的描述MAC算法3要求如下五步操作：密鑰擴展、修改輪函數的常數、數據填充、應用輪函數和截斷操作。密鑰擴展若長度小于128比特，那么將重復足夠多次數，從連接起來的比特串中選取最左邊128比特作為128比特密鑰（若的長度恰好為128比特，則），即：按照如下操作計算子密鑰、和：其中，、和是768比特的常數，在條款9中有定義。表示簡化的雜湊函數，即沒有數據填充和長度附加。數據填充和長度附加可以被省略，是因為在這里輸入比特串的長度總是比特。導出的密鑰被分割成四個字，表示為，即：。從比特串到字的轉換，需要規定字節的排列順序。在這里的轉換中，采用GB/T18238.3-2002中對所有專用雜湊函數規定的字節排列順序。修改輪函數的常數輪函數中采用的附加常數，被修改為它與四個字中的一個進行模加的結果，比如說：在條款9中具體規定了中的哪個字與哪個常數相加。用取代雜湊函數的初始值，所得的輪函數記作。數據填充對原始消息填充的比特串只用來計算MAC，所以這些填充比特串（如果有）不必隨原始消息存儲或發送。MAC的驗證者應當知道填充比特串是否已經被存儲或發送。對要輸入到MAC算法的消息比特串，在其右側填充盡可能少（可能沒有）的“0”以使得填充后比特串的長度是256比特。如果消息比特串是空串，那么規定填充后的比特串為256個“0”。應用輪函數消息比特串的長度記作，其二進制表示記作。在最左邊填充足夠少的“0”使得的長度為128比特，最右邊的比特和最低位相對應。將、和與的異或值相連接，作為輪函數（使用修改過的常數）的輸入，即：。截斷操作取比特串最左邊比特，作為MAC值，即：。MAC算法3的效率MAC算法3需要調用7次輪函數，通過預計算、和，可以降低到一次。常數的計算本條款中規定的常數，將被用在MAC算法1和條款8的MAC算法3中。比特串和是MAC算法中固定的元素，它們通過雜湊函數計算得到（只計算一次），并且在四個專用雜湊函數中各不相同。128比特的和768比特的按照如下的方法定義：其中下標的加法是模3加。是496比特的常數，、和都是16比特的常數，其中通過重復兩次數字的16進制ASCII編碼得到（比如說，的表示為3131）。和都采用ASCII編碼，ASCII編碼等同于GB/T1988-1998所使用的編碼。對于所有的常數、和所有的字，最高位和最左邊的比特相對應。常數和用16進制表示。專用雜湊函數1專用雜湊函數1中的128比特常數定義如下：（用16進制表示）專用雜湊函數1的輪函數中用到兩個常數字序列和，它們定義如下：專用雜湊函數2專用雜湊函數2中的128比特常數定義如下：（用16進制表示）專用雜湊函數2的輪函數中用到兩個常數字序列和，它們定義如下：專用雜湊函數3專用雜湊函數3中的128比特常數定義如下：（用16進制表示）專用雜湊函數3的輪函數中用到一個常數字序列，它定義如下：專用雜湊函數4專用雜湊函數4中的128比特常數定義如下：（用16進制表示）專用雜湊函數4的輪函數中用到一個常數矩陣序列，它們定義如下：，，，，，，，，，。

（資料性附錄）

使用MAC算法生成MAC的示例概述本附錄提供了使用MAC算法1、2和3生成MAC的過程示例，采用四種專用雜湊函數；其中，專用雜湊函數1、2、3分別是GB/T18238.3-2002中規定的專用雜湊函數1、2、3，專用雜湊函數4是ISO/IEC10118-3：2004中規定的專用雜湊函數7。每個雜湊函數值的計算有九個示例。表1包含了序號為1至9的輸入比特串。在整個附錄中，我們對消息比特串采用ASCII編碼，ASCII編碼等同于GB/T1988-1998所使用的編碼。兩個128比特的密鑰如下：密鑰1=00112233445566778899AABBCCDDEEFF密鑰2=0123456789ABCDEFFEDCBA9876543210表1用于測試的輸入數據序號：輸入比特串1“”（空比特串）2“a”3“abc”4“messagedigest”5“abcdefghijklmnopqrstuvwxyz”6“abcdbcdecdefdefgefghfghighijhijkijkljklmklmnlmnomnopnopq”7“ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789”8“1234567890”重復8次所得的長為80的字符串9“a”重復1，000，000次得到1兆長的字符串MAC算法1在這一部分的示例中，選取。具體來講，在專用雜湊函數1和3中，；在專用雜湊函數2中，；在專用雜湊函數4中，。專用雜湊函數1密鑰1：00112233445566778899AABBCCDDEEFF序號：MAC值1B7F4508111EB8C3B5229C6AED406DE9ECA6401332BC78F55933BCEB1EE85A906F9E18374F23E310F936300DC20E97A5AA29DB9C7D607D23D126FA3686343A2AC89B78EEAB8759F5112BCAD4CD405EEB5D35516DC174925BBC27E0C93D426C346846F97F8BC696E062210BA5C9C94737BF3A6E85B3B5664FBD1D4E79B462D5CBDAE1485FFE10BC001EF9E3AF6D128B5888E73A01A1DE36C92D6F9E41F7278D407B4A4CCD9E7B128E4A1842B750F1E61A486C867C4887A4B21密鑰2：0123456789ABCDEFFEDCBA9876543210序號：MAC值1B45D6CA84CFB9020E0D5ABA2A7609D3D81F3F57F28844375992037D1BCD0D118EE548D70C3F19CBBB3917C59B8AC7FC19DC25BEF82766412FA16BBC6A74E0737CC7976D8F424390CB8798D623D751AFE15A5D57FAE83687-718EFA4BD4A5F2F322A179A8735E642B20D4C8FD5E8672760CF83C0478D7BF8021404742B20D4C8FD5E8672760CF83C0478D7BF8021404810441DF4F68CE8815818DC0FB370ABF87BCA44649E06AD21D2AF04DD4217AB03B1A578F036997D01A專用雜湊函數2密鑰1：00112233445566778899AABBCCDDEEFF序號：MAC值1A47A64E9EDE0741B3FDDE33E5C1C6D78251355051852FDC79FB228EAC905633AD3D83940DAFFBD4CBBE6BA30A6F9E63F5F41A7CFE2BB26E973E213C1CB96FA4C2EF5798AEAC6046B31907C197BD68E59D37660B8E1D4A571F32657189322A1F2F4A537B814730F482300C6E474FD255A66D68089060A30758EBE3368D939AC168F1A9FD920763FDEDF01E56FF5756954302C7DE0密鑰2：0123456789ABCDEFFEDCBA9876543210序號：MAC值135FA3AC39F50F2A4E3FFC7AF5776B4EB2A89E25E6796747B630A2A00B802EA53E366339027A36608EBD932DD551616E7B241F8779BAD84B50373931211A2761EAD3531BF5B5B7ABAC2567DC0E02F1C3A25D76B5B8BA3B8EA895FBC83CB7588FBD265678D27BBEC257C848D5CF375EB5EDA4CC78B40B5BF6727DE90B26F770850F059C89976C7BC831B0BCE593DFD44E8E054A373專用雜湊函數3密鑰1：00112233445566778899AABBCCDDEEFF序號：MAC值1C8A8B3C75E6CE7C6C4F79CC19853CCD54ABCB07928DD9AE643BF10BBB7B978EF13EE6C0F480618FB03A738B26A8BD318184E76707A99CAE14C670B971141EBFE413E55D6B288A2BD01D294A21FD8D4B20BF50CE7BF40A73D977AB4999CF3A9BD1C5B3DC442E9612A6823CC181294F95109073A6AA0C8961B1438679369EE4A043AF1CA6E078D0B8A9CE5C1545440BA8B00D37D70A84B762FC0A8A9BC1B15F0E517B5EDF9DDDF44613E8559D12C150D022D5FE33F9E0FBACE密鑰2：0123456789ABCDEFFEDCBA9876543210序號：MAC值1C3A5ECD1E715C7272CFE78BC278086587B0404222D5D50FFA7EFDF1B17E96E2EC14DBC4412F7B771F301BFDD568008D412158F5B0C90AE2730DCFB77FB49982E0EE91DB89AE7E7618AD1D649BA43406DBDD5ACD04E1004FCE53DECA9EE7AB95DAF97B7C44AA86FADF62DCE789E86E60756AA819EF62C8E5C25E94746DB9A49FB4976D007B14B1574843D019CA9944584EF5BED3E816C530B23F491583C038596BB76FDB9BAC6BE6BE6153FECE2891F9DA03824DD4D535D19專用雜湊函數4密鑰1：00112233445566778899AABBCCDDEEFF序號：MAC值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密鑰2：0123456789ABCDEFFEDCBA9876543210序號：MAC值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算法2在這一部分的示例中，選取。具體來講，在專用雜湊函數1和3中，；在專用雜湊函數2中，；在專用雜湊函數4中，。專用雜湊函數1密鑰1：00112233445566778899AABBCCDDEEFF序號：MAC值19EBEA41FBC24CD90BF2ECFD5B8C8CC8181D3FCAE275CB722C50024C0E8A7A0DBA7D5C36B86D9D1DD535B48C1749DDED71EDFE0ADE2B944E808E4A658204F9033064567F541235C3944EE95CB476055985D15B37885405B71E025AF0CB574021A562A6273362865C6429B982C8054B5B3348A0D7D2CE24D7032BC17B0A4A451D0926855E52428E16D1FEAA241C4DD9B81CCEEC5122F08A76EBCD8E3DE88610D942D8A5F6945D61908BFF6039E6DE3C037FDCE6191F19F6410密鑰2：0123456789ABCDEFFEDCBA9876543210序號：MAC值12FDE5DAF7050D14E6D7ACD2254D17FA3A8CBFCDD2239C4020610429A8662BF81A2CAAEA47F8EA0A44389EFFB9F5A6BCEAE3C65D0C9803F3464E5E9E3494F5FC87FD5702F5D4E7BB634DA4CB4B41CD505B6C55686C00F69E6C868732C67402AA107CEAB5134396525EC4893A221EFD9B6DD351059B40C05B4CE2D37B975ED3893FC8D535376EF49211E2E6B1BB30B908BC201FFA581357C271DAE25104167F3DCC97BADC995A875A1D64D55E677D8E4455E1445E7E940F758專用雜湊函數2密鑰1：00112233445566778899AABBCCDDEEFF序號：MAC值1AD9DB2C1E22AF9AB5CA9DBE5A86F67DC23BF448C762DE00BCFA0310B11C0BDE4C3F34EC0945F02B70B8603F89E1CE4C78C4E8503Q8AEC2289D82AA0D8D445A06BDD5EE880B735CE3126065DE1699CC1361996794DAF2E3BDEEA2538638A5CED15443473A06EEF165B23625247800BE23E232B689A4F0159C0952DA43A8D466D46B0AF58919B1B3AF333B894DD86D09427116D0AD密鑰2：0123456789ABCDEFFEDCBA9876543210序號：MAC值18931EEEE56A6B257FD1AB5418183D8262DBBCF169EA7419D5BA7BD8EB3673FF2D32C4CD07D3162D6A0E338004D6B6FBC9A475BFB25888F4BB77C77AE83AD08174475B1B5DC0FCB7258758855DD1840FCDCE46670D0F7A697B18F1A8AB7D2A2A00DBC1754E315FDB34A61C0475392E5C78529988AD04354D8AA2A623E72E3594EE3535C096F9B1C0FC06753618D6DB4B007733795專用雜湊函數3密鑰1：00112233445566778899AABBCCDDEEFF序號：MAC值186C2962E58B3498A2608935AF7726311F2BFB53820497FF21DAE3251DA0ED2F47F5A3B74ABA6B256036EE2A25F943E3F3EC05225FBB86BA73E2E5D51D24CD4C0D1328DC4A8DC2801001B129AEFC6E0CF9CE589ECE303FAD1E4313950CC3B008CB239B5B8584469DF741057D075D3C4E1533E38A5FF469647194B47188A58390A6EF9827035B81CDF1B5049211F0EE5898A98D6A81FD361030856D2C19742AD8DBC468E79D2986310BA18A78786534882F9C6BCBF06CCE9E3密鑰2：0123456789ABCDEFFEDCBA9876543210序號：MAC值12739B6BE63F539EB70FE250346F6382A2DFA345F2A0C2711A6B1DA4CD8F85EF1E6FF7BF70B412B477318F570E864FF903D2773D53C2E114E1A621529534A80845A89BA15E941A2457084BC431F3E47759E1514143EA1057B02D20C0157216190A006E30F3D416DAB4B41BA639B4715889406FE18E0C037017E0637AEAEA5415B4F266CB15CBEB844E56AEC2DABAD6D83DBA11471EB4FCCF21BAEB0BFF7E20150132C6CF93BB917B8BD8560E89FF9054FBE096CBACA109D5F專用雜湊函數4密鑰1：00112233445566778899AABBCCDDEEFF序號：MAC值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密鑰2：0123456789ABCDEFFEDCBA9876543210序號：MAC值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算法3在這一部分的示例中，選取。具體來講，在專用雜湊函數1和3中，；在專用雜湊函數2中，；在專用雜湊函數4中，。專用雜湊函數1密鑰1：00112233445566778899AABBCCDDEEFF序號：MAC值16606EF2D3BBD010F516C65372C3CF0ACF111B3F72F0BC0C81307E17A71F4C40AE0B2AC39FCB23CE1237720FD23925B854F963E8812573CD86EBA61EB6642683D6CE053BA0420E76130EAE2367734B7D2D535DE532D156CB312464BB6147E99470C471D91F1C6密鑰2：0123456789ABCDEFFEDCBA9876543210序號：MAC值14BD390E9EC460AD4866CCB32D091AFBF73E5B6DA2CD2847BAB4636C9BCEADCF3D187122A9199DA670315C3910C42638E5EE6DEBD506BD8C4DB94713A3A404148DCB47728E3E57B836A66043D5145879796E5829A24010704DBD0EE34A6D607F7B34829E04E95專用雜湊函數2密鑰1：00112233445566778899AABBCCDDEEFF序號：MAC值1AEB2C45F13C0C6F5F10BE2F1E3E9C322216874D0E17E4F1C290DD749CCEFF78343A289AA06AEB8FC99B989C377BAADD9D440D80DB68BBF99442DC3D6B83D038DEF3511DC4A6BD375C64F78BB78AD265ED7CD密鑰2：0123456789ABCDEFFEDCBA9876543210序號：MAC8D3AF29F5C002FF769EA52DFE1E36CE9792476E0889F1BECEF18A939B4F1D21320F4A327F023947554BFC3B43D2D658D0196E4EE9F42ADA50DFCFA6F50A34452D9DA70C70183DFFDDB8EEC056專用雜湊函數3密鑰1：00112233445566778899AABBCCDDEEFF序號：MAC值1708F4A226CDE708820643CBEEFDCBE6CB36FB2692EAB87BE709D1E5CB62C7489C2B1407130B7727603C1BD6F9C908132FEF5187CBE681B42A8C785FBF64F34DEB241D46C6448D67ACE6B8CD4DF00DA23EBC5669DED2BD6A1AE0BCFF7D3B74494C1D8161FA0D8密鑰2：0123456789ABCDEFFEDCBA9876543210序號：MAC值1EAF6F9DDBAFD299320FF0FC8E02E2BE62879F34122AAE9DE0A555E7CD7383C27506A467B8DF4E3A333FE6031710329D12090F73F55CFFCC6215F9BEAE940CCDD9DAB6B0126800EC1CC7A02656E12EDEA42C5ABDBC8AAAE4A8CE734432188740A149BDF2D215F專用雜湊函數4密鑰1：00112233445566778899AABBCCDDEEFF序號：MAC值135E68BCFCD5548A09F6A1615B84BEE9AAE35D286BD948BFD7EC1132A8D462C88272E8DA475B0F5C97F71D7A98FB3E0D4E1032AF8080F3BD793EC034B06E619067345AD62CA5A90E3AFD20B645AAC8D77614DB847790867F348D1732BB9BA816C1E4039731A1305C30B2F443D403F40B55C6B3B16B5B1B20B60B5942B01E16D0ADEA57F2E3B78CAB48C93E6E7C33BD52B2911C3FBB5BB3F9D40242BB5861D70C1D29C密鑰2：0123456789ABCDEFFEDCBA9876543210序號：MAC值1BB52A0272197E3C112A502A994A12B20CB257C7C4F00D134E9B85E92CD2809072DB4C2DC7512E00D835FAF9680F855EAE1379B6A380A8C53F2507F5A5AF0A447C33D75654FC093B5318C05455A212416FD3A4C82F58468C3327C5C8109F7973FBA4BE3D19D1E4D6A0F644742A6EAB9D371447D77B8BAE26AE63D4797C5CBBB10E71584EE551EF07D23E2E043061E2C1E6D9ACBADDDAFAF8FD6FC98A384F6FEEB2B0E

（資料性附錄）

MAC算法的安全性分析本附錄討論了本部分中MAC算法的安全強度。它的目標是協助本部分的使用者選擇合適的MAC算法。該附錄中，表示用密鑰為的MAC算法對消息進行計算所得到的MAC。為了確定MAC算法的安全強度，本附錄考慮了如下兩種攻擊策略：1)偽造攻擊：這種攻擊是在沒有密鑰的情況下，對消息預測。如果攻擊者能夠對一個消息成功預測其MAC，那么稱他有能力“偽造”。實際的攻擊經常要求一個偽造是可驗證的，也就是說，事先以接近于1的概率確認偽造的MAC是正確的。而且，在許多應用中，消息有特定的格式，這就意味著對消息有額外限制。2)密鑰恢復攻擊：這種攻擊根據大量的（消息，MAC）對找到MAC算法的密鑰。密鑰恢復攻擊比偽造攻擊更強大，因為它一旦成功就可以進行任意地偽造。一個攻擊的可行性依賴于攻擊者已知和選擇的（消息，MAC）對數目以及離線加密的次數。對MAC算法可能的攻擊描述如下，但是這里并不保證列舉了所有的攻擊。前兩種攻擊是一般性的，也就是說，它們對任何MAC算法都有效。第三種適用于任何迭代的MAC算法（更多信息請參閱[5]）。·猜測MAC這種偽造是不可驗證的，成功概率為。這種攻擊適用于所有的MAC算法，只有合適地選擇和才能夠抵抗這種攻擊。·密鑰窮搜索這種攻擊需要運行平均次MAC算法，并且需要對（消息，MAC）以唯一確定密鑰。同樣這種攻擊適用于所有MAC算法，合適地選擇能夠抵抗這種攻擊。另外，MAC算法使用者也可以阻止攻擊者獲得對（消息，MAC）以抵抗這種攻擊。比如說，若，，那么對于給定的（消息，MAC）對，大約有個密鑰和其對應；如果每次使用MAC算法后都改變密鑰，那么密鑰窮搜索攻擊并不比猜測MAC攻擊更有效。·生日攻擊[5]如果攻擊者獲得足夠數目的（消息，MAC）對，他就能夠找到這樣兩個消息和滿足：并且兩次輸出變換的輸入值在兩次MAC計算中是相等的；這被稱作內部碰撞。如果消息和構成內部碰撞，那么對任意的比特串都有。這就構成了一種偽造，當攻擊者得到比特串的MAC時，就能夠預測比特串的MAC。這種偽造依賴于消息的特殊格式，可能對許多應用沒有威脅；但是，這種攻擊的擴展版本在消息格式方面有更大的靈活性。這種攻擊需要選擇一個消息比特串，收集大約對已知（消息，MAC）和對選擇（消息，MAC），其中是中間狀態的比特長度。通過以下方式可以避免生日攻擊：在要處理的消息前面加上一個序列號消息塊，使得MAC算法是帶狀態的。這就要求在MAC算法實現中要保證在一個密鑰周期內，每個序列號在MAC計算過程中只用一次。這種要求并不是在所有環境下都可行。·捷徑密鑰恢復基于內部碰撞的密鑰恢復攻擊適用于某些MAC算法，但目前還沒有關于本部分中MAC算法的捷徑密鑰恢復攻擊。·側信道攻擊針對RIPEMD-160和SHA-1算法中異或、模加和模乘運算的特點，可以使用差分能量分析的方法恢復MAC算法2的全部密鑰[6]。安全證明若如下的假定成立，那么MAC算法1被證明是安全的[4]：·使用密鑰為初始值和附加常數的輪函數是一個偽隨機函數。一個偽隨機函數使用一個密鑰，對于不知道密鑰的敵手，它的表現和一個隨機函數相仿（也就是說，偽隨機函數和隨機函數很難區別）。若如下的假定成立，那么MAC算法2被證明是安全的[3]：·當保密的時候，雜湊函數是抗碰撞的。·使用密鑰為初始值的輪函數是一個強MAC算法（也就是說，很難預測它的輸出）。·密鑰、和隨機密鑰不可區分；相當于要求使用密鑰的輪函數是“弱”偽隨機函數（“弱”源于敵手不能直接得到和）。進一步的證明指出，只要輪函數是偽隨機函數，即可保證MAC算法2是偽隨機函數[7]。另外，當輪函數具備不可延展和不可預測性質的時候，MAC算法2被證明是不可偽造的[8]。其它研究表明，當采用弱的雜湊函數的時候，MAC算法2的安全性有所降低[9-13]。MAC算法3的安全性假設和MAC算法1和2中對輪函數的假設相似。參?考?文?獻ISO16609:2004Banking--Requirementsformessageauthenticationusingsymmetrictechniques.ISO/IEC10181-6：1996Informationtechnology-OpenSystemsInterconnection-Securityframeworksforopensystems:Integrityframework.M.Bellare,R.Canetti,H.Krawczyk,"Keyinghashfunctionsformessageauthencication,"AdvancesinCryptology,ProceedingsCrypto’96,LNCS1109,N.Koblitz,Ed.,Springer-Verlag,1996,pp.1-15.M.Bellare,R.Canetti,H.Krawczyk,"Pseudorandomfunctionsrevisited:Thecascadeconstructionanditsc