无线传感器网络的完整性保护

Question

我做了一个关于无线传感器节点的实验室，并且第一次接触到加密技术。我的工作表上有一些问题，特别是关于完整性保护(攻击者想要篡改我们的数据)，这是我想问的。我读了一些东西，但我觉得不太舒服：( 1)为什么简单的校验和或MD5和不够？

我猜是因为他们不再安全了。2004年，一些研究人员发现，有两个不同的消息具有相同的MD5值，一个可以创造更多。校验和(?)也是如此。

( 2) CBCMAC是实现完整性保护的好方法吗？

如果我正确地理解了维基百科的文章，那么它对于固定长度的消息是安全的，对于任意长的消息则不再是安全的。

3)分组密码通常是快速和容易获得的。当比较HMAC和CMAC时，您怀疑在WSN场景中哪个会更好呢？他们之间有什么不同？

区别是非常重要的: HMAC使用哈希函数来加密和CMAC块密码。但我不知道哪个更适合无线传感器网络。由于我们的资源非常有限，也许我们应该选择一个“成本”较低的能源？

4)在加密和MAC功能中使用相同的密钥是个好主意吗？

不，不是，在CBC-MAC的文章中，维基百科展示了一个大问题，如果你使用同样的密钥。

( 5)是否有加密和小保护相结合的方法？至少举出两个例子。在这种情况下，单键就足够了吗？不同的方法是否因其性能特性而不同？这种方法通常会更快、更慢，还是相当于将加密和MAC计算作为单独的步骤？

我想这个问题是关于认证加密的。维基百科的文章(http://en.wikipedia.org/wiki/Authenticated_加密)很短，我找不到很多关于这些问题的信息.

我很感谢你的帮助

Answer 1

这是很多问题，我会试着按顺序回答。

1. 单独的散列或消息摘要并不安全，因为任何人都可以计算并从而替换散列值。如果你(正确地)为混合添加了一个键，那么你就会得到一个HMAC，它可以使用。
2. 现在经常使用HMAC或认证模式，如GCM、CCM (用于分组加密)或EAX。如果您想使用基于分组密码的MAC，可以使用AES-CMAC。你需要一个128位的分组密码。
3. 是的，您应该检查哈希或加密在您的平台上是否最有效。您还可以查看哪一种攻击对侧通道(定时/能量使用)攻击的脆弱性最小。如果你只是第一次看到密码，你就想尝试找到最好的密码库。
4. 你已经回答了。虽然在HMAC中不太担心，但对于AES-CBC-MAC甚至AES-CMAC来说，使用单独的密钥来加密和计算身份验证标记被认为是最佳实践。通常，导出额外的密钥并不是很大的性能问题。请注意，强烈建议为每个方向使用一个键，并确保您的IV是唯一的(对于CBC来说，也是不可预测的)。你的MAC应该包括IV，而不仅仅是密文。
5. 我想我刚刚在答案2中指定了3个经过验证的密码，它们都只使用一个密钥(至少是外部的)，并且自动地将IV包含在身份验证中。GCM和CCM是NIST标准化的，EAX是NIST的一种拟议模式，但是--因为它只是在内部使用AES-CMAC --它很可能是安全的。