Symmetrische Authentifikation - Kryptologie

Cryptography Reference

In-Depth Information

auffassen, je nachdem, ob eine Verschlüsselung stattgefunden hat oder nicht. Um

Verwirrung zu vermeiden, sprechen wir in diesem Kapitel bei

N

nicht von einem

Klartext, sondern von einem Datensatz .

Bemerkung

Nicht nur das System wird MAC genannt, auch der Wert

S = α ( N

)

, k

wird oft

als MAC bezeichnet.

5.1.2 Ein Beispiel und Varianten

Der vom NIST standardisierte CMAC ist von der Bauart wie im folgenden Bei-

spiel beschrieben.

Beispiel

Es sei

A n , A n , K , f

eine symmetrische Blockchiffre über dem Alphabet A der

Blocklänge n wie etwa AES. Die Kommunikationspartner wählen einen gemein-

samen, geheimen Schlüssel k

(

)

A ∗ , wobei A ∗ die

Halbgruppe der Strings über dem Alphabet A bezeichnet, beliebiger Länge wen-

den sie den CBC-Modus aus Abschnitt 3.4.2 mit Initialisierungsblock

∈

K . Auf einen Datensatz

N∈

C 0 an. Sie

A n , i

zerlegen also

, der Länge n , sodass gilt

N = N 1 N 2 ···N r . Das letzte Wort muss evtl. durch Padding aufgefüllt werden.

Dann wird rekursiv gerechnet:

N

in Wörter

N i ∈

∈{

1,..., r

}

C i :

=

( N i + C i − 1 , k

)

∈{

}

f

für i

1, . . . , r

.

Die Abbildung

= C r definiert. Soll der MAC eine Länge

kleiner als n haben, wird einfach abgeschnitten.

In der Praxis wird häufig

α

ist durch

α ( N

, k

)

:

N r des Datensatzes

maskiert , d. h., es gibt einen weiteren geheimen Schlüssel (der oft aus k gewonnen

wird), mit dem

C 0 =

0 gewählt und das letzte Wort

N r vor der Anwendung von f verschlüsselt wird.

Benutzt man AES als unterliegende Blockchiffre, so beträgt die maximale Län-

ge eines MAC 128 Bit. Das scheint den Angaben aus Abschnitt 4.4.2 auf S. 78

zu widersprechen. Dort hatten wir festgehalten, dass ein Hashwert mindestens

die Länge 160 haben sollte, um Kollisionsresistenz sicherzustellen. Im gegebenen

Kontext können wir aber mit kleineren Werten auskommen, weil die Kommuni-

kationspartner ja den Schlüssel wechseln können.

In der Praxis legen die Kommunikationspartner fest, welche Anzahl von ungülti-

gen Nachrichten sie tolerieren wollen, bis sie einen neuen Schlüssel austauschen.

Der Erhalt einer ungültigen Nachricht wird dabei als Betrugsversuch ausgelegt.

Bemerkung

Das NIST hat neben CMAC noch zwei weitere Betriebsmodi zur Authentifikation

standardisiert - CCM und GCM . Diese beiden Verfahren gewährleisten außer

Authentifikation auch noch Geheimhaltung.

Kryptologie

Search WWH ::

Custom Search

Home