深入解析:消息认证码与加密认证模式
(本文由deepseek生成,仅供参考)
在信息安全领域,确保信息的完整性和认证性与确保信息的机密性同等重点。消息认证码和加密认证模式正是为此而生的两类核心技术。它们虽然都涉及"认证",但在设计目标和应用方式上有着根本的区别。
常见的消息认证码有:HMAC、EMAC、XCBC、TMAC、OMAC / CMAC、PMAC
常见的加密认证模式有:GCM、CCM、EAX、OCB
加密认证组合模式有:E&M(Encrypt-and-MAC)、MTE(MAC-then-Encrypt)、ETM(Encrypt-then-MAC)、HTE(Hash-then-Encrypt)
下面分别介绍。
第一部分:消息认证码 - 完整性
1. 核心概念
消息认证码是一种与密钥相关的单向哈希函数,其唯一目的是为消息生成一个认证标签,用于验证:
完整性:消息在传输或存储过程中未被篡改。
认证性:消息确实来自声称的发送方(因为只有持有共享密钥的双方才能计算出正确的标签)。
关键点:MAC 不给出任何加密机制。原始消息(或密文)本身是明文传输的。MAC只是一个附加的"封印",用于验证内容本身的有效性。
2. 典型工作流程
发送方和接收方共享一个密钥 K。
发送方:对消息
M计算TAG = MAC(K, M),然后将(M, TAG)发送出去。接收方:收到
(M', TAG')后,使用密钥K重新计算TAG_new = MAC(K, M')。如果TAG_new == TAG',则接受消息;否则拒绝。
3. 主要MAC算法介绍
HMAC
基础:基于加密哈希函数(如SHA-256、SHA-3)。
原理:通过将密钥与消息进行两次混合哈希计算来构造,结构为
H((K ⊕ opad) || H((K ⊕ ipad) || M))。优点:安全、通用、易于实现,有强大的理论安全证明。是业界最广泛使用的MAC算法之一。
应用:TLS、IPsec、API认证、数字签名。
CBC-MAC 及其演进家族
一条追求安全与效率的优化之路。就是这是一个基于分组密码(如AES)的MAC家族,其演进史EMAC:最基础的CBC-MAC。注意:它对变长消息不安全,现已废弃。
XCBC:为修复EMAC缺陷而提出,使用三个独立密钥,安全但密钥管理复杂。
TMAC:XCBC的简化版,将密钥数减少到两个。
OMAC / CMAC:TMAC的进一步简化,最终只需一个密钥。CMAC(基于OMAC1)已成为NIST标准,是当前基于AES的MAC的事实标准。它通过派生两个子密钥来处理消息末尾块,安全且高效。
应用:金融支付系统、无线通信(如4/5G)。
PMAC
原理:一种并行化的MAC算法。不同于CBC-MAC的串行结构,它可以同时处理所有消息块,最后进行组合加密。
优点:在现代多核处理器上性能极高,特别适合处理大消息或高速网络。
应用:大数据完整性校验、高性能计算环境。
第二部分:加密认证模式 - 机密与认证的一体化方案
1. 核心概念
加密认证模式,也称认证加密或AEAD,是一种将加密和认证在一个算法内同时完成的密码学原语。它一次性消除三个挑战:
机密性:防止窃听,内容不可读。
完整性:内容未被篡改。
认证性:材料来源可信。
关键点:它是"一站式"解决方案,输出是密文和认证标签。
2. 典型工作流程
发送方和接收方共享一个密钥 K。
发送方:输入明文
M和可选的"关联数据"(AD,如头部信息,只认证不加密),输出密文C和认证标签TAG。发送(C, TAG)。接收方:接收
(C', TAG'),使用密钥K进行解密和验证。如果验证通过,则输出明文M;否则输出错误(拒绝解密)。
3. 主要加密认证模式介绍
GCM
原理:结合了CTR模式的高速加密和GHASH函数的认证。支持并行计算和额外的关联数据。
优点:性能极高,特别是在有硬件加速(如AES-NI)的情况下。是目前最流行的认证加密模式。
应用:TLS 1.2/1.3、SSH、无线存储。
CCM
原理:结合了CTR模式的加密和CBC-MAC的认证。采用"先认证后加密"的模式。
优点:同样被NIST标准化,安全性良好。
缺点:处理过程是串行的,且需要预先知道消息长度,性能不如GCM。
应用:WPA2/3、蓝牙LE、政府标准协议。
EAX
原理:同样基于CTR模式和CMAC,但利用将多个CMAC输出组合起来进行认证。
优点:模式简洁,安全性证明清晰,对随机数(Nonce)的重复使用比GCM有更好的容错性。
应用:在一些对安全性要求极高的定制化协议中。
OCB
原理:一种高度集成和优化的模式,在一个处理过程中同时结束加密和认证。
优点:效率极高,是所有模式中性能开销最低的之一。
历史:曾因专利困难阻碍了其广泛采用,但专利已过期。
应用:随着专利过期,其应用正在逐渐增多。
ChaCha20-Poly1305
原理:由Daniel J. Bernstein设计。运用ChaCha20流密码进行加密,使用Poly1305 MAC进行认证。
优点:在没有硬件加速的软件建立中(尤其是移动设备和ARM平台),性能通常优于AES-GCM。对时序侧信道攻击有较强的抵抗力。
应用:TLS 1.2/1.3(作为AES-GCM的替代方案)、QUIC协议、现代VPN(如WireGuard)。
第三部分:加密与认证的组合模式 - 传统方案的构建方式
在认证加密模式(如GCM)成为标准之前,工程师们需要手动组合描述这些不同组合方式的术语。就是加密算法和MAC算法来实现既加密又认证的目标。MTE、ETM、E&M、HTE正
1. 核心概念
具体的算法,而是就是这些不架构模式,描述了如何将独立的加密算法和MAC算法组合在一起使用。
2. 主要组合模式
E&M(Encrypt-and-MAC)
流程:分别对同一明文进行加密和MAC计算,然后发送
(加密(明文), MAC(明文))。安全性:通常不安全。攻击者可能通过观察MAC值来获取明文信息。在某些特定实现下可能安全,但一般不推荐。
示例:SSH协议在某些配置下应用此模式。
MTE(MAC-then-Encrypt)
流程:先计算明文的MAC,然后将
(明文, MAC(明文))作为一个整体进行加密,发送加密后的整体。安全性:有潜在风险。接收方必须先解密整个数据包才能验证MAC,这可能使系统面临填充Oracle攻击。
示例:TLS 1.0中使用的CBC模式与HMAC组合。
ETM(Encrypt-then-MAC)
流程:先加密明文得到密文,然后计算密文的MAC,发送
(密文, MAC(密文))。安全性:目前公认最安全的手动组合方式。接收方行先验证MAC,假设验证失败就不进行解密,有效防止多种攻击。
示例:IPsec、SSH的现代调整、TLS 1.0之后的某些模式。
HTE(Hash-then-Encrypt)
流程:先对明文进行哈希(或MAC计算),然后加密
(明文, 哈希(明文))。安全性:与E&M类似,通常不安全,容易受到攻击。
现状:现已很少利用。
总结与对比
| 特性维度 | 消息认证码 | 加密认证组合模式 | 一体化加密认证模式 |
|---|---|---|---|
| 核心功能 | 仅认证 | 加密 + 认证(手动组合) | 加密 + 认证(一体化设计) |
| 组成方式 | 独立组件 | 加密算法 + MAC算法按特定顺序组合 | 单一算法原生支撑 |
| 典型代表 | HMAC, CMAC, PMAC | E&M, MTE,ETM | GCM, ChaCha20-Poly1305 |
| 安全性 | 取决于使用方式 | ETM最安全,其他有风险 | 通常最高,设计时已考虑安全 |
| 易用性 | 需要手动组合 | 容易出错,需谨慎实现 | 容易可靠,开箱即用 |
| 性能 | 取决于具体算法 | 两次处理,开销较大 | 优化设计,通常更高效 |
演进关系与技术选择
技巧发展路径:
早期:利用单纯的MAC或简单组合(E&M)
中期:认识到组合安全性的重要性,发展出MTE、ETM等规范模式
现代:设计原生的认证加密模式(AEAD),避免组合风险
如何选择?
当你只需要验证数据真伪,但数据本身无需保密时:
选择单纯的MAC。
推荐算法:HMAC-SHA256(通用首选)或AES-CMAC。
在遗留系统或受限环境中需要手动组合加密和认证时:
必须选择ETM模式,这是唯一相对安全的手动组合方式。
示例组合:AES-CTR加密 + HMAC-SHA256(对密文计算MAC)。
新项目开发,既需要保密又需要验证时:
优先选择一体化的加密认证模式。
推荐算法:
AES-GCM:x86服务器有硬件加速时的首选。
ChaCha20-Poly1305:移动设备、无AES硬件加速环境的首选。
结论:密码学的发展历程是从分离组件(MAC)到手动组合(ETM等),最终走向一体化设计(AEAD)的演进过程。在现代系统中,除非有兼容性要求,否则应优先选用经过严格检验的加密认证模式,因为它们消除了手动组合的安全风险,供应了更轻松、更高效的解决方案。理解这三类技能的区别和关系,是构建安全体系的关键基础。
浙公网安备 33010602011771号