Хеш-функции

*мажоритарная функция – логическая функция, принимающая то же значение, что и большинство ее аргументов

Значением хеш-функции является H(1)…H(m)

Условие криптостойкости: мощность должна быть хотя бы вдвое больше, чем длина хеш-функции

Значения r[x][y]

CBC-MAC:
Если размер блока больше, чем нужная длина MAC, можно использовать часть блока
Единая операция для шифрования и аутентификации позволяет сэкономить программный код или аппаратные ресурсы
Боб может генерировать сообщения с таким же MAC, как у присланного Алисой, подставляя нужные значения при расшифровке от последнего блока к первому
Если есть 2 сообщения A[1]..A[n] и B[1]..B[m] и CBC-MAC(A[1]..A[n])=T то CBC-MAC( xor(T,B[1]) || B[2]..B[M] ) = CBC-MAC( A[1]..A[n] || B[1]B[m] )
В первый блок сообщения записывается его длина и/или порядковый номер
Если Ева может подменить IV, то она может изменить первый блок без изменения СBC-MAC
Значение IV в стандарте CBC-MAC должно быть =0
В первый блок сообщения записывается его длина

C-MAC - Модификация CBC-MAC
Последний блок шифруется другим ключом, генерируемым на основе данных и исходного ключа в зависимости от конкретного протокола
В качестве ХФ берется не весь последний блок шифротекста, а только некоторое количество левых бит
Помимо режима CBC можно аналогичным образом использовать режим CFB
Пример – имитовставка ГОСТ28147-89

H-MAC:
HMAC(M)=Hash( K xor O || Hash(K xor I || M) )
O, I и K – имеют ту же длину, что и хеш-функция
O и I – константы, в стандарте каждый их байт =0х5с и =0х36 соответственно
Если исходный ключ больше, чем K, то К вычисляется как хэш-функция от него
Если исходный ключ меньше, чем K, то он дополняется нулями

Имитовставка по возможности должна включать порядковый номер и направление передачи сообщения (от Алисы к Бобу, или от Боба к Алисе)
Имитовставка должна аутентифицировать не только содержание сообщения, но и его смысл
Не «20 80 753», а «температура 20 влажность 80 давление 753»
Принцип введен, чтобы избежать ошибок при переменной длине полей
Часто один и тот же текст нужно и шифровать, и аутентифицировать:
Можно добавить имитовставку, затем все вместе зашифровать
Можно зашифровать текст, затем вычислить имитовставку от ШТ
Если имитовставка не верна, можно не расшифровывать (актуально при DoS-атаках)
Злоумышленник видит пары сообщение-имитовставка
Ключи шифрования и аутентификации должны быть различны
Можно применить специальный режим шифрования с аутентификацией
Такие режимы часто запатентованы, либо не получили широкого применения