[发明专利]用于生成基于密码的消息认证码的方法

说明书

技术领域

本发明涉及用于生成基于密码的消息认证码的方法。

背景技术

消息认证码(MAC)是用于认证消息的信息片段。生成MAC的算法的输入是密钥和要认证的消息。基于密码的MAC(CMAC)是基于块密码的消息认证码，并且在例如NIST(国家标准和技术研究所)特殊公开800-38B，2005年5月中对其加以描述。

通过将消息分为大小等于底层密码的块大小的块，来构建与该消息相关的CMAC，例如在高级加密标准(AES)的情况中是128比特，对消息进行密码块链(CBC)加密(如果需要，则对最后一块进行填充)，并且保留最后一块加密的结果(全部或部分的)作为计算出的MAC值。

为了避免特定的攻击类型，在加密之前，让最后一块与从当前使用的密钥下的零向量的加密中获取到的两个可能的“子密钥”值之一(通常表示为K1或K2)进行互斥析取(异或)。由最后一个消息块是否包含填充来确定要使用哪个子密钥的选择。仅可以由知晓正在使用中的密码密钥的参与者来计算该子密钥值。

如果MAC短于密码块大小，则标准规定应当通过保留所需数量的最高有效位来截断计算出的MAC。

如果对大小小于或等于密码块大小的消息来计算MAC，则最后一块也是第一块，因此对该单块执行子密钥异或的修改。这意味着在该MAC计算期间，外部观察者无法知晓对密码的块运算的直接输入。

图1示出了状态阵列1及其依照于Federal Information Standard(FIPS)publication 197，November 26，2001中公开的AES的字节编号。

AES密码在状态阵列1上对字节进行运算，该状态阵列1具有4字节乘4字节的大小，并且具有字节项S_r，c，其中索引“r”指示状态阵列1的相应行，并且索引“c”指示状态阵列1的相应列。当将AES密码运算的输出表示为比特串时，字节排序如下：

S_0，0 S_1，0 S_2，0 S_3，0 S_0，1 S_1，1 S_2，1 S_3，1 S_0，2 S_1，2 S_2，2 S_3，2 S_0，3 S_1，3 S_2，3 S_3，3

随后，根据习惯来对该比特串的字节进行编号，其中s₁₅是最左或最高有效字节，并且s₀是最右或最低有效字节，使得

s_r，c＝s_15-(4c+r)

依照前述NIST标准用于截断MAC的标准方法是保留所需数量的最高有效比特。相应的，将基于AES的MAC截断为8字节对应于保留最终状态字节s₁₅至s₈(包含)。

图2示出了在根据标准的MAC计算的最后一回合期间的16字节AES状态的示例。在所谓密码的开始处，向图1的状态阵列1添加初始回合密钥21，以生成状态阵列22(AddRoundKey运算)。对状态阵列22进行ShiftBytes变换，以生成第一变换后状态阵列23，对其进行ShiftRow变换，以生成第二变换后状态阵列24。然后，通过将第二变换后状态阵列24的状态的每一列与来自密钥调度的字(word)进行异或，来向第二变换后状态阵列24添加另一回合密钥26，以生成由行31-34和列41-44所构成的输出状态阵列25。使用状态阵列25，依照于标准，通过在截断之后保留8个最高有效字节s₁₅到s₈，并且丢弃剩余字节，来计算CMAC。以阴影示出了8个最高有效字节27s₁₅到s₈。

阵列22-24示出了在实现最终回合的ShiftRows和SubBytes运算之前的对应字节。因此，基于对以阴影表示的输出字节的观察以及与最终回合密钥26阵列中的对应位置的假定，差分功耗分析(DPA)攻击者能够恢复回合密钥21、26的一些字节。

在该阶段，攻击者可以收集与倒数第二回合密钥相关的附加信息，因为他/她可以用相反顺序来计算AES密钥扩展。

可以用如下形式来给出AES密钥扩展算法