问MAC算法难点
EN

Cryptography用户

提问于 2016-01-31 16:48:01

回答 2查看 440关注 0票数 1

有人能解释一下为什么这是个坏主意吗？我看不出它有什么问题，只是对于MAC和AES，键K应该是不同的。

MAC算法由消息M的MAC (由消息块M1、M2、.、Mn组成)作为AES加密，密钥K为所有消息块的异或。

即MACK(M)=EK(M1 XOR M2 XOR .异或锰)

回答已采纳

发布于 2016-01-31 18:45:34

计算冲突非常简单，因为消息块M1..Mn可以在没有问题的情况下被交换。因此EK(M1 XOR M2) = EK( M1‘XOR M2')，其中M1’= M2和M2‘=M1。不同的消息显然不应该计算到相同的MAC身份验证标记。

票数 2

发布于 2016-01-31 17:26:57

问题在于XOR-将消息块合并成一个压缩块。这以一种非常有规律的方式减少了消息，这意味着构建冲突非常容易。对此MAC设计的长度扩展攻击可以由任何数据组成，只要其中一个块是剩余部分的二进制补充--计算非常简单。

票数 1

页面原文内容由Cryptography提供。腾讯云小微IT领域专用引擎提供翻译支持

原文链接：

https://crypto.stackexchange.com/questions/32365

复制

相似问题

问MAC算法难点EN