【密码算法 之五】CMAC 浅析

1. 概述

  CMAC（Cipher Block Chaining-Message Authentication Code），也简称为CBC_MAC，它是一种基于对称秘钥分组加密算法的消息认证码。由于其是基于“对称秘钥分组算法”的，故可以将其当做是对称算法的一种操作模式。
  CMAC可以应用的算法主要有：AES、DES、3DES等。

2. 原理分析

  以AES128为例，对其工作原理进行探讨。

2.1 符号

名称	含义
b	加密块的位长（bit）
Rb	用于生成子秘钥的常量字符串
K	加密算法的秘钥
K1	第1个子秘钥
K2	第2个子秘钥
M	消息
Mi	第i个消息块
Mn*	最后一个块（该块可能是整块，也可能是部分块）
Mlen	消息的长度（单位：bit）
T	MAC值
Tlen	MAC值的长度（单位：bit）
n	块分组的个数
[M]	取不小于M的最小整数值，比如M = 2.1 则取值3， 若M= 3，则取值为3
CIPHK(X)	使用秘钥K对数据块X进行加密（通过调用相应的加密算法）
LSBs(X)	取位串X的低s位
MSBs(X)	取位串X的高s位
0s	位串中含有连续的0的个数
X<<1	X左移一位，最高位溢出，最低位以0补齐

2.1 子秘钥生成

  如下图所示：对于AES128来说，b的大小为128bit，K的长度同样也是128bit。
  步骤1：通过AES算法，对128bit的0000…0000进行加密，得到加密后的串L（128bit）；
  步骤2：若L的最高位为0， 则K1 = L <<1，若L的最高位为1， K1 = （L << 1）与Rb的异或之后的值。
  步骤3：若K1的最高位为0， 则K2 = K1 <<1，若K1的最高位为1， K2 = （K1 << 1）与Rb的异或之后的值。

注：
（1）AES算法，b的长度为128bit，则R₁₂₈ = 0¹²⁰10000111 (10000111为固定值)；
（2）DES、3DES算法，b的长度为64bit， 则则R₆₄ = 0⁵⁹11011（11011也是固定值）。

2.2 计算MAC

  步骤1：通过2.1中的方法计算出子秘钥K1、K2；
  步骤2：若M为空，则n = 1, 否则，n 取不小于[M_len/b]的最小整数值；
  步骤3：若M分为n个block，其中前n-1个块均为完整的块，最后一个块n可能是完整的块，也可能不是完整的块；
  步骤4：对最后一个块M_n^*进行处理，若M_n^*是完整块，则M_n^*与K1异或之后作为作为最后一个块M_n；若M_n^*为非完整块，则先补齐M_n^*，再与K2异或最为最后一个块M_n。
  步骤5：通过加密算法对所有的块进行加密，并取最后一组密文C_n高T_len作为MAC值T。到此，计算MAC的步骤全部完成。

  下图展示两种块（完整、非完整）的处理过程：

3. 总结

（1）与AES加密的区别在于，这里需要对最后一个block进行处理；
（2）需要计算两个子秘钥K1、K2；
（3）算MAC的key与加密的key是同一个key；
（4）可以认为CMAC是一种工作模式，支持的算法为AES，DES、3DES等。

各种算法的链接地址如下：
【密码算法 之零】对称算法（DES,、3DES、 AES、DM5、HMAC、CMAC、SHAxx、SM3、SM4），非对称算法（RSA、ECC、ECDSA、ECDH、SM2、SM9…）