使用CMAC代替哈希函数进行消息签名

Question

通常，当我们想要生成消息M的签名时，我们使用哈希函数H，并使用私钥对H(M)的结果签名。如果不使用散列函数H，而是使用带有key K的CMAC，然后用私钥签名CMAC(M，K)的结果呢？这样的操作密码安全吗？如果是的话，密钥K需要保密吗？

我有一个设备，硬件加速器的AES-CMAC，并想知道我是否可以利用它，而不是在软件中实现哈希算法。

Answer 1

如果不使用散列函数H，而是使用带有key K的CMAC，然后用私钥签名CMAC(M，K)的结果呢？这样的操作密码安全吗？

如果用于特定签名的K是公共的(必须由持有公钥和签名的人验证签名，而不需要保密)，那么很容易找到第二条消息M'，例如\text{CMAC}(M, K) = \text{CMAC}(M', K)；也就是说，该签名还将使用第二条消息M'进行验证。

实际上，攻击者在选择该M'时将有很大的灵活性；他可以指定整个M'消息，但该消息中任何位置的16字节对齐块除外--然后他可以高效地计算该16字节值必须是什么；这给了他整个M'。

另一方面，如果K是机密的，则上述内容不适用。当然，这就引出了一个明显的问题:如果签名者和验证者确实共享一个秘密(而且您可以相信验证者不会试图生成伪造的)，为什么不直接使用CMAC，而不去处理签名操作呢？