分组密码解密模式MAC的构造

Question

假设我们有一个内置AES解密和支持ECB和CBC模式的硬件设备(但不支持AES加密)。它只接收数据并解密数据。对硬件的小修改仍然是可能的，但是不能添加AES加密。

现在假设我们想要添加一个MAC来确保完整性。CBC不能使用，因为它需要分组密码的加密模式.

，你是否可以用分组密码的解密模式来构造MACs？

我考虑使用CBC-MAC方案，简单地用AES解密代替AES加密，但我不确定这会导致安全的MAC。

Answer 1

分组密码是一种强伪随机排列。因此，如果您在正向或向后方向上计算它，那么它就没有什么区别。因此，您可以在解密模式下使用AES，它与加密模式下的AES具有完全相同的安全性，就像块密码一样。因此，你可以做CBC-MAC与AES解密，你是好的.

两点意见：

1. 确保对CBC-MAC使用独立密钥(与加密不同)，以及
2. 你应该使用CMAC而不是直接的CBC-MAC。