Tiêu chuẩn quốc gia TCVN 11495-2:2016 về Công nghệ thông tin - Các kỹ thuật an toàn - Phần 2

Đối với mục đích của tiêu chuẩn này, các ký hiệu và giải thích sau được áp dụng:

Chuỗi dữ liệu đã được đệm

h

h'

Hàm băm

 Hàm băm h có các hằng số đã sửa đổi và giá trị IV đã sửa đổi.

Hàm băm h được đơn giản hóa không có phép đệm và gắn thêm độ dài, không cắt ngắn đầu ra hàm vòng (L₂ bit) về L_H bit bên trái nhất.

...

...

...

CHÚ THÍCH 2 Đầu ra của  Phải là L₂ bit thay cho L_H bit; đặc biệt, trong các Hàm băm Chuyên dụng 6 và 8 được định nghĩa trong ISO/IEC 10118-3, L_H luôn nhỏ hơn L₂.

H’, H”

Các chuỗi có L₂ bit được sử dụng trong tính toán thuật toán MAC để lưu trữ kết quả trung gian.

IV’. IV₁, IV₂

k

K

Các giá trị khởi đầu.

Độ dài (tính theo bit) của khóa của thuật toán MAC.

Khóa bí mật của thuật toán MAC.

...

...

...

Các khóa bí mật được dẫn xuất của thuật toán mac.

KT

Chuỗi đầu vào thứ nhất của hàm ϕ được sử dụng trong bước biến đổi đầu ra của Thuật toán MAC 1.

Chuỗi bit mã hóa độ dài thông điệp trong Thuật toán MAC 3.

OPAD, IPAD

R, S₀, S₁, S₂

Các chuỗi hằng số được sử dụng trong Thuật toán MAC 2.

Các chuỗi hằng số được sử dụng trong tính toán các hằng số cho Thuật toán MAC 1 và Thuật toán MAC 3.

...

...

...

Các chuỗi hằng số được sử dụng trong dẫn xuất khóa cho Thuật toán MAC 1 và Thuật toán MAC 3.

U₀, U₁, U₂

Các chuỗi hằng số được sử dụng trong dẫn xuất khóa cho Thuật toán MAC 1 và Thuật toán MAC 3.

ϕ’

K₁[i]

Hàm vòng cùng với các hằng số được sửa đổi.

Từ thứ i của chuỗi K₁, tức là K₁ = K₁[0] || K₁[1] || K₁[2] || K₁[3

Tiêu chuẩn này sử dụng các ký hiệu và giải thích sau đã được định nghĩa trong ISO/IEC 10118-1.

H

...

...

...

L_X

Mã băm

Giá trị khởi đầu

Độ dài (tính theo bit) của chuỗi bit X

Tiêu chuẩn này sử dụng các ký hiệu và giải thích sau đã được quy định trong ISO/IEC 10118-3.

L₁

Các từ là hằng số được sử dụng trong các hàm vòng

Độ dài (tính theo bit) của chuỗi đầu vào thứ nhất trong số hai chuỗi đầu vào cho hàm vòng ϕ

...

...

...

Độ dài (tính theo bít) của chuỗi đầu vào thứ hai trong số hai chuỗi đầu vào cho hàm vòng ϕ, của chuỗi đầu ra từ hàm vòng ϕ và của IV.

w

Độ dài (tính theo bit) của một từ; w là 32 khi sử dụng các Hàm băm Chuyên dụng 1, 2, 3, 4 và 8 của ISO/IEC 10118-3, và w bằng 64 khi sử dụng các Hàm băm Chuyên dụng 5 và 6 của ISO/IEC 10118-3.

ϕ

Hàm vòng, tức là, nếu X và Y là các chuỗi bit có các độ dài tương ứng L₁ và L₂, thì ϕ(X,Y) là chuỗi nhận được bằng cách áp dụng ϕ vào X và Y.

ψ

Phép toán cộng modulo 2^w, trong đó w là số các bit trong một từ. Cho nên, nếu A và B là các từ, thì A ψ B là từ nhận được bằng cách xử lý A và B như các biểu diễn nhị phân của các số nguyên và tính tổng của chúng theo modulo 2^w, và kết quả được ràng buộc nằm giữa 0 và 2^w - 1 bao gồm các đầu mút. Giá trị của w là 32 trong các Hàm băm Chuyên dụng 1, 2, 3, 4 và 8 và bằng 64 trong các Hàm băm Chuyên dụng 5 và 6.

5  Các yêu cầu

Người dùng muốn áp dụng một thuật toán MAC trong tiêu chuẩn này phải lựa chọn:

...

...

...

- Một hàm băm chuyên dụng từ các hàm đã được chỉ ra trong ISO/IEC 10118-3;

- Độ dài (tính theo bit) m của MAC.

CHÚ THÍCH 1 Việc sử dụng của các Thuật toán MAC 1 và 3 cùng với Hàm băm Chuyên dụng 7 của ISO/IEC 10118-3 không được chỉ ra trong tiêu chuẩn này.

Thỏa thuận trên các lựa chọn này trong số những người dùng là cần thiết cho việc sử dụng cơ chế toàn vẹn dữ liệu.

Khóa K được sử dụng trong thuật toán MAC phải có entropy thỏa mãn hoặc vượt quá độ mạnh an toàn được cung cấp bởi thuật toán MAC.

CHÚ THÍCH 2 Trong mọi trường hợp, khóa K của thuật toán MAC phải được chọn sao cho mọi khóa có thể là khóa được chọn một cách xấp xỉ bằng nhau.

Đối với các Thuật toán MAC 1 và 2, độ dài m của MAC phải là một số nguyên dương nhỏ hơn hoặc bằng với độ dài của mã băm L_H. Đối với Thuật toán MAC 3, độ dài m của MAC sẽ là một số nguyên dương nhỏ hơn hoặc bằng với một nửa độ dài của mã băm, tức là, m ≤, L_H/2.

Đối với các Thuật toán MAC 1 và 2, độ dài tính theo bit của chuỗi dữ liệu đầu vào D nhiều nhất là 2⁶⁴ - 1 khi sử dụng các Hàm băm Chuyên dụng 1, 2, 3, 4 và 8, và nhiều nhất là 2¹²⁸ - 1 khi sử dụng các Hàm băm Chuyên dụng 5 và 6. Đối với Thuật toán MAC 2, nó nhiều nhất bằng 2²⁵⁶ - 1 khi sử dụng Hàm băm Chuyên dụng 7. Đối với thuật toán MAC 3, nó nhiều nhất là 256.

Việc lựa chọn một thuật toán MAC cụ thể, hàm băm chuyên dụng và giá trị cho m là nằm ngoài phạm vi của tiêu chuẩn này.

...

...

...

CHÚ THÍCH 4 Được coi là thực hành mật mã tốt phải có các khóa độc lập cho tính bảo mật và tính toàn vẹn dữ liệu.

6  Thuật toán MAC 1

CHÚ THÍCH 1 Điều này mô tả về MDx-MAC [9] cùng với các Hàm băm Chuyên dụng 1-6 và 8. Bảng 1 chỉ ra các tên thường được biết đến của MDx-MAC cùng với từng hàm băm chuyên dụng riêng rẽ.

Bảng 1 - Thuật toán MDx-MAC cùng với các Hàm băm Chuyên dụng khác nhau.

Hàm băm Chuyên dụng

Thuật toán MDx-MAC cũng được biết đến như

Hàm băm Chuyên dụng 1

RIPEMD-160-MAC

Hàm băm Chuyên dụng 2

...

...

...

Hàm băm Chuyên dụng 3

SHA-1-MAC

Hàm băm Chuyên dụng 4

SHA-256-MAC

Hàm băm Chuyên dụng 5

SHA-512-MAC

Hàm băm Chuyên dụng 6

SHA-384-MAC

Hàm băm Chuyên dụng 8

...

...

...

CHÚ THÍCH 2 Việc sử dụng Thuật toán MAC 1 cùng Hàm băm Chuyên dụng 7 của ISO/IEC 10118-3 không được quy định trong tiêu chuẩn này.

Thuật toán MAC 1 đòi hỏi một lần áp dụng của hàm băm để tính giá trị MAC, nhưng yêu cầu các hằng số trong hàm vòng tương ứng được sửa đổi.

Hàm băm phải được chọn từ các Hàm băm Chuyên dụng 1 - 6 trong ISO/IEC 10118-3:2004, và Hàm băm Chuyên dụng 8 trong ISO/IEC 10118-3:2004/Amd.1:2006.

Độ dài theo bít của khóa k nhiều nhất là 128 bit.

6.1  Mô tả của Thuật toán MAC 1

Thuật toán MAC 1 bao gồm 5 bước sau: mở rộng khóa, sửa đổi các hằng số và IV, phép băm, biến đổi đầu ra và cắt ngắn,

6.1.1  Bước 1 (mở rộng khóa)

Nếu K ngắn hơn 128 bit, nối K vào chính nó [128/k] lần và chọn 128 bit bên trái nhất của kết quả để tạo thành khóa 128-bit K’ (nếu độ dài (tính theo bit) của K bằng 128 thì K’ : = K):

K’ := 128 ~ (K || K || ... || K).

...

...

...

K₀ := (K || U₀ || K’);

K₁ := 128 ~ (K’ || U₁ || K’), khi sử dụng các Hàm băm Chuyên dụng 1, 2 và 3;

K₁ := 256 ~ (K’ || U₁ || K’), khi sử dụng các Hàm băm Chuyên dụng 4, 5, 6 và 8;

K₂ := 128 ~ (K’ || U₂ || K’),

Tại đây U₀, U₁, và U₂ là các hằng số 768 bit mà được định nghĩa trong Điều 6.3, và  ký hiệu hàm băm h đã đơn giản hóa, tức là không có phép đệm và gắn thêm độ dài và không cắt ngắn đầu ra của hàm vòng (L₂ bit) về L_H bit bên trái nhất.

CHÚ THÍCH 1 Bước đệm và gắn thêm độ dài được bỏ qua bởi vì trong trường hợp này độ dài của chuỗi đầu vào hoặc là L₁ bit hoặc là 2L₁ bit.

CHÚ THÍCH 2 Việc cắt ngắn được bỏ qua vì trong trường hợp này độ dài của K₀ luôn là L₂ bit, ít nhất nó bằng L_H.

Khi sử dụng các Hàm băm Chuyên dụng 1, 2, 3, 5 và 6, khóa dẫn xuất K₁ được phân tách thành 4 từ được ký hiệu bởi K₁[i] (0 ≤ i ≤ 3), tức là:

K₁ = K₁[0] || K₁[1] || K₁[2] || K₁[3].

...

...

...

K₁ = K₁[0] || K₁[1] || K₁[2] || K₁[3] || K₁[4] || K₁[5] || K₁[6] || K₁[7].

Để chuyển đổi một chuỗi thành các từ cần có một quy ước thứ tự byte. Quy ước thứ tự byte cho việc chuyển đổi này được định nghĩa cho hàm băm chuyên dụng đã chọn có trong ISO/IEC 10118-3.

6.1.2  Bước 2 (sửa đổi các hằng số và IV)

Khi sử dụng các Hàm băm Chuyên dụng 1, 2, 3, 4, 5 và 8, các hằng số cộng tính đã sử dụng trong hàm vòng được sửa đổi bằng cách cộng mod 2^w với một từ của K₁, ví dụ:

C₀ := C₀ ψ K₁[0].

Điều 6.3 chỉ ra từ nào của K₁ được cộng vào từng hằng số.

Giá trị khởi đầu IV của hàm băm được thay thế bởi IV’ := K₀. Hàm thu được từ các thay đổi trong bước này được ký hiệu bởi h’, và hàm vòng của nó được ký hiệu bởi ϕ’.

6:1.3  Bước 3 (phép băm)

Chuỗi đầu vào cho hàm hăm đã sửa đổi h' là bằng với chuỗi dữ liệu đầu vào D, tức là:

...

...

...

6.1.4  Bước 4 (biến đổi đầu ra)

Hàm vòng đã sửa đổi ϕ’ được áp dụng thêm một lần nữa, với đầu vào thứ nhất là chuỗi KT (được định nghĩa dưới đây) và đầu vào thứ hai là chuỗi H’ (kết quả của Bước 3), tức là:

H” := ϕ’(KT, H’).

Đối với các Hàm băm Chuyên dụng 1, 2, 3, 4 và 8,

KT = K₂ || (K₂ Å T₀) || (K₂ Å T₁) || (K₂ Å T₂).

Đối với các Hàm băm Chuyên dụng 5 và 6,

KT = K₂ || (K₂ Å T₀) || (K₂ Å T₁) || (K₂ Å T₂) || K₂ || (K₂ Å T₀) || (K₂ Å T₁) || (K₂ Å T₂).

Ở đây T₀, T₁ và T₂ là các chuỗi 128-bit được định nghĩa trong Điều 6.3 cho mỗi hàm băm chuyên dụng.

CHÚ THÍCH Biến đổi đầu ra tương ứng với việc xử lý khối dữ liệu thêm được dẫn xuất từ K₂ sau khi đệm và gắn thêm trường độ dài.

...

...

...

MAC gồm m bit được nhận được bằng cách lấy m bit bên trái nhất của chuỗi H”, tức là

MAC := m ~ H”.

6.2  Hiệu suất

Nếu chuỗi dữ liệu đã được đệm (trong đó thuật toán đệm phụ thuộc vào hàm băm đã chọn) chứa q khối, thì Thuật toán MAC 1 yêu cầu q + 7 lần áp dụng hàm vòng.

Việc này có thể được rút gọn về q + 1 lần áp dụng hàm vòng bằng cách tính trước các giá trị K₀, K₁ và K₂, và bằng cách thay thế giá trị khởi đầu IV bằng giá trị IV’ trong khi áp dụng hàm vòng. Khuyến cáo thực hiện sửa đổi này với mã lệnh của hàm băm cùng với sửa đổi bắt buộc được yêu cầu cho Bước 2. Đối với các chuỗi đầu vào dài, Thuật toán MAC 1 có hiệu suất là so sánh được với hiệu năng của hàm băm đã được sử dụng.

6.3  Tính toán hằng số

Các hằng số mô tả trong mục này được sử dụng trong các Thuật toán MAC 1 và 3. Thuật toán MAC 3 được chỉ ra trong Điều 8.

Các chuỗi T_i và U_i (0 ≤ i ≤ 2) là các phần tử cố định trong mô tả của thuật toán MAC. Chúng được tính (chỉ một lần) khi dùng hàm băm; chúng khác nhau cho mỗi một trong số bảy hàm băm.

Các hằng số 128-bit T_i và các hằng số 768-bit U_i được định nghĩa như sau. Định nghĩa của T_i bao gồm hằng số 496-bit R = 'ab...yzAB...YZ1...89" và các hằng số 16-bit S₀, S₁, S₂ trong đó S_i là chuỗi 16-bit được tạo nên bằng cách lặp lại 2 lần biểu diễn 8-bit của i (ví dụ biểu diễn hexa của S₁ là 3131). Trong cả hai trường hợp mã ghi dạng ASCII được sử dụng: tương đương với mã ghi khi sử dụng ISO/IEC 646:1991.

...

...

...

T_i := 128 ~  (S_i || R) cho Hàm băm Chuyên dụng 1, 2, 3, 4 và 8.

T_i := 128 ~  (S_i || R || 0⁵¹²) cho Hàm băm Chuyên dụng 5 và 6, trong đó 0⁵¹² là 512 bit '0'.

For i: = 0 to 2

U_i := T_i || T_i+1 || T_i+2 || T_i || T_i+1 || T_i+2

trong đó chỉ số dưới trong T_i được lấy theo modulo 3.

Trong các Hàm băm Chuyên dụng 1, 2, 3, 4, 5, 6 và 8, đối với tất cả các hằng số C_i,  và tất cả các từ K₁[i], bit có nghĩa lớn nhất tương ứng với bít bên trái nhất. Các hằng số C_i, và  được trình bày bằng biểu diễn hexa.

6.3.1  Hàm băm Chuyên dụng 1 (RIPEMD-160)

Các chuỗi hằng số 128-bit T_i cho Hàm băm Chuyên dụng 1 được định nghĩa như sau (trong biểu diễn hexa):

T₀ = 1CC7086A046AFA22353AE88F3D3DACEB

...

...

...

T₂ = 93987557C07B8102BA592949EB638F37

Hai dãy các từ là hằng số C₀, C₁,…, C₇₉ và , ,…,được sử dụng trong hàm vòng của Hàm băm Chuyên dụng 1. Chúng được định nghĩa như sau:

C_i = K₁[0] ψ 00000000, (0 ≤ i ≤ 15),

C_i = K₁[1] ψ 5A827999, (16 ≤ i ≤ 31),

C_i = K₁[2] ψ 6ED9EBA1, (32 ≤ i ≤ 47),

C_i = K₁[3] ψ 8F1BBCDC, (48 ≤ i ≤ 63),

C_i = K₁[0] ψ A953FD4E, (64 ≤ i ≤ 79),

 = K₁[1] ψ 50A28BE6, (0 ≤ i ≤ 15),

 = K₁[2] ψ 5C4DD124, (16 ≤ i ≤ 31),

...

...

...

 = K₁[0] ψ 7A6D76E9, (48 ≤ i ≤ 63),

 = K₁[1] ψ 00000000, (64 ≤ i ≤ 79),

6.3.2  Hàm băm Chuyên dụng 2 (RIPEMD-128)

Các chuỗi hằng số 128-bit T_i cho Hàm băm Chuyên dụng 2 được định nghĩa như sau (trong biểu diễn hexa):

T₀ = FD7EC18964C36D53FC18C31B72112AAC

T₁ = 2538B78EC0E273949EE4C4457A77525C

T₂ = F5C93ED85BD65F609A7EB182A85BA181

Hai dãy các từ là hằng số C₀, C₁,…, C₆₃ và , ,…, được sử dụng trong hàm vòng của Hàm băm Chuyên dụng 2. Chúng được định nghĩa như sau:

C_i = K₁[0] ψ 00000000, (0 ≤ i ≤ 15),

...

...

...

C_i = K₁[2] ψ 6ED9EBA1, (32 ≤ i ≤ 47),

C_i = K₁[3] ψ 8F1BBCDC, (48 ≤ i ≤ 63),

 = K₁[0] ψ 50A28BE6, (0 ≤ i ≤ 15),

 = K₁[1] ψ 5C4DD124, (16 ≤ i ≤ 31),

 = K₁[2] ψ 6D703EF3, (32 ≤ i ≤ 47),

 = K₁[3] ψ 00000000, (48 ≤ i ≤ 63),

6.3.3  Hàm băm Chuyên dụng 3 (SHA-1)

Các chuỗi hằng số 128-bit T_i cho Hàm băm Chuyên dụng 3 được định nghĩa như sau (trong biểu diễn hexa):

T₀ = 1D4CA39FA40417E2AE5A77B4 9067BBCC

...

...

...

T₂ = 4544209656E14F97005DAC76868E97A3

Hai dãy các từ là hằng số C₀, C₁,…, C₇₉ được sử dụng trong hàm vòng của Hàm băm Chuyên dụng 3. Chúng được định nghĩa như sau:

C_i = K₁[0] ψ 5A827999, (0 ≤ i ≤ 19),

C_i = K₁[1] ψ 6ED9EBA1, (20 ≤ i ≤ 39),

C_i = K₁[2] ψ 8F1BBCDC, (40 ≤ i ≤ 59),

C_i = K₁[3] ψ CA62C1D6, (60 ≤ i ≤ 79),

6.3.4  Hàm băm Chuyên dụng 4 (SHA-256)

Các chuỗi hằng số 128-bit T_i cho Hàm băm Chuyên dụng 4 được tính như sau (trong đó  là phiên bản được đơn giản hóa của Hàm băm Chuyên dụng 4 được định nghĩa trong Điều 6.1.1):

T₀ = 128 ~  (S₀ || R),

...

...

...

T₂ = 128 ~  (S₂ || R),

Dây các từ là hằng số C₀, C₁,…, C₆₃ được sử dụng trong hàm vòng của Hàm băm Chuyên dụng 4. Chúng được định nghĩa như sau:

C_i = K₁[imod 8] ψ  (0 ≤ i ≤ 63),

trong đó dãy  ở biểu diễn hexa (bit có nghĩa lớn nhất tương ứng với bit bên trái nhất) được định nghĩa như sau, các từ được liệt kê theo thứ tự C₀, C₁,…, C₆₃.

CHÚ THÍCH Các giá trị này là 32 bit đầu tiên của phần thập phân của các căn bậc 3 của 64 số nguyên tố đầu tiên. Chúng là dãy hằng số được sử dụng trong SHA-256.

6.3.5  Hàm băm Chuyên dụng 5 (SHA-512)

Các chuỗi hằng số 128-bit T_i cho Hàm băm Chuyên dụng 5 được tính như sau (trong đó R là phiên bản được đơn giản hóa của Hàm băm Chuyên dụng 5 được định nghĩa trong Điều 6.1.1):

...

...

...

C_i = K₁[imod 4] ψ  (0 ≤ i ≤ 79),

trong đó dãy  ở biểu diễn hexa (bít có nghĩa lớn nhất tương ứng với bit bên trái nhất) được định nghĩa như sau, các từ được liệt kê theo thứ tự C₀, C₁,…, C₇₉.

CHÚ THÍCH Các giá trị này là 64 bit đầu tiên của phần thập phân của các căn bậc 3 của 80 số nguyên tố đầu tiên. Chúng là dãy hằng số được sử dụng trong SHA-512.

6.3.6  Hàm băm Chuyên dụng 6 (SHA-384)

Các chuỗi hằng số 128-bit T_i cho Hàm băm Chuyên dụng 6 được tính như sau (trong đó  là phiên bản được đơn giản hóa của Hàm băm Chuyên dụng 6 được định nghĩa trong Điều 6.1.1):

Dãy các từ là hằng số C₀, C₁,…, C₇₉  được sử dụng trong hàm vòng của Hàm băm Chuyên dụng 6. Chúng được định nghĩa như sau:

...

...

...

trong đó dãy  chính là dãy cho Hàm băm Chuyên dụng 6 của Điều 6.3.5.

6.3.7  Hàm băm Chuyên dụng 8 (SHA-224)

Các chuỗi hằng số 128-bit T_i cho Hàm băm Chuyên dụng 8 được tính như sau (trong đó  là phiên bản được đơn giản hóa của Hàm băm Chuyên dụng 8 được định nghĩa trong Điều 6.1.1):

T₀ = 128 ~  (S₀ || R),

T₁ = 128 ~  (S₁ || R),

T₂ = 128 ~  (S₂ || R),

Dây các từ là hằng số C₀, C₁,…, C₆₃ được sử dụng trong hàm vòng của Hàm băm Chuyên dụng 8. Chúng được định nghĩa như sau:

C_i = K₁[imod 8] ψ  (0 ≤ i ≤ 63),

trong đó dãy   chính là dãy cho Hàm băm Chuyên dụng 4 của Điều 6.3.4.

...

...

...

CHÚ THÍCH 1 Mục này chứa mô tả của HMAC [7].

Thuật toán MAC 2 yêu cầu hai lần áp dụng của một hàm băm để tính một giá trị MAC.

Hàm băm được chọn từ ISO/IEC 10118-3, với yêu cầu rằng L₁ là bội số dương của 8 và L₂ ≤ L₁.

CHÚ THÍCH 2 Các Hàm băm Chuyên dụng 1 - 7 trong ISO/IEC 10118-3:2004 và Hàm băm Chuyên dụng 8 trong ISO/IEC 10118-3/Amd1:2006 thỏa mãn các điều kiện này.

Kích thước khóa k tính theo bít cần ít nhất bằng L₂, trong đó L₂ là kích thước của mã băm tính theo bit, và nhiều nhất là L₁ bit, trong đó L₁ là kích thước của đầu vào dữ liệu của hàm vòng tính theo bit, tức là, L₂ ≤ k ≤ L₁.

7.1  Mô tả của Thuật toán MAC 2

Thuật toán MAC 2 yêu cầu 4 bước sau: mở rộng khóa, phép toán băm, biến đổi đầu ra và cắt ngắn.

7.1.1  Bước 1 (mở rộng khóa)

Gắn thêm (L₁ - k) bit 0 vào bên phải của khóa K: chuỗi thu được có độ đài L₁ được ký hiệu bởi .

...

...

...

• Định nghĩa chuỗi IPAD như ghép nối của L₁/8 bản sao của giá trị hexa '36' (hay giá trị nhị phân '00110110'). Sau đó tính giá trị  như XOR của  và chuỗi IPAD, tức là:

 :=  Å IPAD.

• Định nghĩa chuỗi OPAD như ghép nối của L₁/8 bản sao của giá trị hexa '5C' (hay giá trị nhị phân ‘01011100’). Sau đó tính giá trị  như XOR của  và chuỗi OPAD, tức là:

 :=  Å OPAD.

7.1.2  Bước 2 (phép toán băm)

Chuỗi đầu vào của hàm băm bằng với ghép nối của  và D, tức là:

H’ := h( || D).

7.1.3  Bước 3 (biến đổi đầu ra)

Chuỗi đầu vào của hàm băm bằng với ghép nối của  và H’, tức là:

...

...

...

7.1.4  Bước 4 (cắt ngắn)

MAC có m bít được rút ra bằng cách lấy m bit trái nhất của chuỗi H”, tức là:

MAC := m ~ H”.

7.2  Hiệu suất

Nếu chuỗi dữ liệu đã được đệm (trong đó thuật toán đệm là đặc thù đối với hàm băm được chọn) chứa q khối, thì Thuật toán MAC 2 yêu cầu q + 3 lần áp dụng hàm vòng.

Nó có thể được rút gọn về q + 1 lần áp dụng hàm vòng bằng cách sửa đổi mã lệnh của hàm vòng. Người ta có thể tính trước các giá trị IV₁ := ϕ(, IV) và IV₂ := ϕ (,IV) và thay thế giá trị khởi đầu IV bởi IV₁ trong lần áp dụng thứ nhất của hàm băm, và bởi IV₂ trong biến đổi đầu ra (lần áp dụng thứ hai của hàm băm). Nó cũng yêu cầu một sửa đổi của phương pháp đệm: thực ra, đầu vào thực sự của hàm băm bây giờ là L₁ bit ngắn hơn; điều đó có nghĩa rằng giá trị L₁ phải được thêm vào giá trị L_D.

Đối với các chuỗi đầu vào dài, Thuật toán MAC 2 có hiệu năng so sánh được với hiệu năng của hàm băm được sử dụng.

8  Thuật toán MAC 3

CHÚ THÍCH Điều này chứa một biến thể của Thuật toán MAC 1, nó được tối ưu hóa cho các đầu vào ngắn (nhiều nhất 256 bit).

...

...

...

Hàm băm phải được lựa chọn từ các Hàm băm chuyên dụng 1 - 6 từ ISO/1EC 10118-3:2004 và Hàm băm Chuyên dụng 8 từ ISO/IEC 10118-3/Amd1:2006.

Kích cỡ khóa k tính bằng bít lớn nhất bằng 128 bít và độ dài MAC theo bít là m lớn nhất bằng L_H/2.

8.1  Mô tả của Thuật toán MAC 3

Thuật toán MAC 3 yêu cầu năm bước sau: mở rộng khóa, sửa đổi các hằng số của hàm vòng, đệm, áp dụng hàm vòng và cắt ngắn.

8.1.1  Bước 1 (mở rộng khóa)

Nếu K ngắn hơn 128 bit, ghép nối K vào chính nó một số đủ lần và chọn 128 bit bên trái nhất để tạo ra khóa 128-bit K’ (nếu độ dài (tính theo bít) của K bằng với 128 thì K’ := K):

K’ := 128 ~(K || K || ... || K).

Tính các khóa con K₀, K₁, và K₂ như sau:

K₀ :=  (K’ || U₀ || K’);

...

...

...

K₁ := 256 ~(K’ || U₁ || K’), khi sử dụng các Hàm băm Chuyên dụng 4, 5, 6 và 8;

K₂ := 128 ~(K’ || U₂ || K’).

Ở đây U₀, U₁ và U₂ là các hằng số 768-bit mà được định nghĩa trong Điều 6.3, và  ký hiệu hàm băm h mà không có phép đệm và gắn thêm độ dài, và không cắt ngắn đầu ra hàm vòng (L₂ bit) thành L_H bit bên trái nhất.

CHÚ THÍCH 1 Phép đệm và gắn thêm độ dài được bỏ qua bởi vì trong trường hợp này độ dài của chuỗi đầu vào hoặc là L₁ bit hoặc là 2L₁ bit.

CHÚ THÍCH 2 Phép cắt ngắn được bỏ qua bởi vì trong trường hợp này độ dài của K₀ luôn là L₂ bit, nó là ≥ L_H.

Khi sử dụng các Hàm băm Chuyên dụng 1, 2, 3, 5 và 6, khóa dẫn xuất K₁ được phân tách thành 4 từ được ký hiệu bởi K₁[i] (0 ≤ i≤ 3), tức là:

K₁ = K₁[0] || K₁[1] || K₁[2] || K₁[3].

Khi sử dụng các Hàm băm Chuyên dụng 4 và 8, khóa dẫn xuất K₁ được phân tách thành 8 từ được ký hiệu:

K₁ = K₁[0] || K₁[1] || K₁[2] || K₁[3] || K₁[4] || K₁[5] || K₁[6] || K₁[7].

...

...

...

8.1.2  Bước 2 (sửa đổi các hằng số và IV)

Khi sử dụng các Hàm băm Chuyên dụng 1, 2, 3,4, 5, 6 và 8, các hằng số dùng để cộng được sử dụng trong hàm vòng được sửa đổi bởi phép cộng mod 2^w với một từ của K₁, ví dụ:

C₀ := C₀ ψ K₁[0].

Điều 6.3 chỉ ra từ nào của K₁ được cộng vào từng hằng số.

Giá trị khởi đầu IV của hàm băm được thay thế bởi IV’ := K₀. Hàm vòng kết quả được ký hiệu bởi ϕ’.

8.1.3  Bước 3 (đệm)

Các bit đệm được thêm vào chuỗi dữ liệu ban đầu chỉ được sử dụng để tính MAC. Do vậy, các bit đệm này (nếu có) không cần phải lưu trữ hoặc truyền đi cùng với dữ liệu. Người kiểm tra phải biết dù các bit đệm có được lưu trữ hoặc truyền đi hay không.

Chuỗi dữ liệu D là đầu vào cho thuật toán MAC cần phải được đệm về phía bên phải cùng với số ít nhất các bít ‘0’ (có thể không có) như cần thiết để nhận được chuỗi dữ liệu  có độ dài 256 bit.

CHÚ THÍCH Nếu chuỗi dữ liệu đầu vào là trống, thì chuỗi dữ liệu đã được đệm  chứa 256 bit ‘0’

...

...

...

Chuỗi bit  được tính như biểu diễn nhị phân của độ dài (tính theo bit) L_D của chuỗi dữ liệu D, nó được đệm về phía bên trái bởi số ít nhất các bit ‘0’ như cần thiết để nhận được một chuỗi 128-bit. Bit bên phải nhất của chuỗi bit  tương ứng với bit có nghĩa nhỏ nhất của biểu diễn nhị phân của L_D.

Chuỗi đầu vào của hàm vòng ϕ’ (cùng với các hằng số được sửa đổi) bằng với ghép nối K₂,  và kết quả XOR của K₂ và .

Đối với các Hàm băm Chuyên dụng 1, 2, 3, 4 và 8:

H : = ϕ’(K₂ ||  || (K₂ Å ), IV).

Đối với các Hàm băm Chuyên dụng 5 và 6:

H : = ϕ’(K₂ ||  || (K₂ Å ) || K₂ || || (K₂ Å ), IV ).

8.1.5  Bước 5 (cắt ngắn)

MAC có m bit được rút ra bằng cách lấy m bit trái nhất của chuỗi H’, tức là:

MAC := m ~ H’.

...

...

...

Thuật toán MAC 3 yêu cầu 7 lần áp dụng hàm vòng.

Thuật toán có thể được rút gọn về một lần áp dụng duy nhất của hàm vòng bằng cách tính trước các giá trị K₀, K₁, K₂.

FILE ĐƯỢC ĐÍNH KÈM THEO VĂN BẢN

Phụ lục C

(tham khảo)

...

...

...

Phụ lục này đề cập về mức an toàn của các thuật toán MAC trong tiêu chuẩn này. Mục tiêu là để hỗ trợ người sử dụng tiêu chuẩn này trong việc lựa chọn một trong những cơ chế và giá trị các tham số.

Trong phụ lục này, MAC_K(D) ký hiệu MAC cho chuỗi D được tính khi dùng khóa của thuật toán MAC là K.

Để xác định mức an toàn của một thuật toán MAC, hai chiến lược tấn công đã được xem xét:

Tấn công giả mạo: Tấn công này bao gồm việc dự đoán giá trị của MAC_K(D) cho chuỗi dữ liệu D mà không có hiểu biết ban đầu về K. Nếu đối phương có thể làm điều này cho một chuỗi dữ liệu duy nhất, anh ta được gọi là có khả năng giả mạo. Các tấn công thực hành được thường yêu cầu rằng một giả mạo là xác minh được, tức là MAC bị giả mạo là tính được chuẩn xác từ trước với xác suất gần bằng 1. Hơn nữa, trong nhiều ứng dụng chuỗi dữ liệu có một khuôn dạng đặc biệt, tại đó áp đặt các ràng buộc thêm lên chuỗi dữ liệu D;

Tấn công khôi phục khóa: Tấn công này bao gồm việc tìm ra bản thân khóa K của thuật toán MAC từ một số các cặp chuỗi dữ liệu/MAC. Một tấn công như vậy là mạnh hơn so với giả mạo, vì nó cho phép các giả mạo tùy ý.

Tính khả thi của một tấn công phụ thuộc vào số các cặp chuỗi dữ liệu/MAC đã biết và số các cặp chuỗi dữ liệu/MAC lựa chọn được yêu cầu, và vào số các lần mã hóa không trực tuyến.

Các tấn công có thể chống lại các thuật toán MAC được mô tả dưới đây: không có đảm bảo rằng danh sách này là đầy đủ toàn bộ. Hai tấn công đầu là tổng quát, tức là, chúng áp dụng được vào thuật toán MAC bất kỳ. Tấn công tiếp theo áp dụng được vào thuật toán MAC lặp bất kỳ (để biết chi tiết hơn hãy xem [9]).

Đoán MAC: Đó là một giả mạo mà không xác minh được, và nó có xác suất thành công bằng max(1/2^m, 1/2^k). Tấn công này áp dụng được vào tất cả các thuật toán MAC, và chỉ có thể bị ngăn ngừa bằng lựa chọn đúng đắn của m và k.

Khôi phục khóa vét cạn: Tấn công này yêu cầu về trung bình 2^k-1 lần tính; việc xác minh của một tấn công như vậy yêu cầu khoảng k/m cặp chuỗi dữ liệu/MAC. Một lần nữa tấn công này áp dụng được vào tất cả các thuật toán MAC. Nó có thể bị ngăn chặn bằng lựa chọn đúng của giá trị k. Một cách khác, người ta có thể ngăn cản ai đó nhận được k/m cặp chuỗi dữ liệu/MAC, đó là số cần thiết để nhận dạng khóa một cách duy nhất. Ví dụ, nếu k = 128 và m = 64, xấp xỉ 2⁶⁴ khóa tương ứng với một cặp chuỗi dữ liệu/MAC đã cho; nếu một khóa khác được sử dụng để tính mỗi giá trị MAC, thì việc khôi phục khóa bằng cách vét cạn sẽ không hiệu quả hơn so với việc đoán giá trị MAC.

...

...

...

Tấn công giả mạo kiểu ngày sinh có thể bị ngăn ngừa bằng cách thêm một khối vào phía trước chuỗi dữ liệu mà chứa một số seri và làm cho việc tính MAC phụ thuộc trạng thái. Điều này có nghĩa rằng cài đặt phải đảm bảo rằng mỗi số seri chỉ được sử dụng 1 lần để tính MAC trong thời gian sống của khóa. Điều này không sẵn có trong mọi môi trường.

Khôi phục khóa đường tắt: Một số thuật toán MAC tiềm tàng bị tổn thương đối với các tấn công khôi phục khóa dựa trên va chạm trong. Chưa có báo cáo về có tấn công đường tắt đối với các Thuật toán MAC đã được mô tả trong tiêu chuẩn này.

Các chứng minh độ an toàn

Đã chứng minh được rằng Thuật toán MAC 1 là an toàn nếu các giả thiết sau đúng [8]:

• Hàm vòng ϕ được nạp khóa bởi giá trị khởi đầu IV và bởi hằng số dùng để cộng là một hàm giả ngẫu nhiên.

CHÚ THÍCH Một hàm giả ngẫu nhiên cùng với khóa bí mật mà có hành vi như một hàm ngẫu nhiên (tức là, khó phân biệt với một hàm ngẫu nhiên) đối với người không biết khóa bí mật.

Đã chứng minh được rằng Thuật toán MAC 2 là an toàn nếu các giả thiết sau đúng [6]:

• Hàm vòng ϕ được nạp khóa bởi giá trị khởi đầu IV là một thuật toán MAC mạnh (tức là, đầu ra của nó là khó dự đoán được).

Độ an toàn của Thuật toán MAC 3 là tương tự đối với các giả thiết được làm trên hàm vòng ϕ để chứng minh độ an toàn của các thuật toán MAC 1 và 2.

...

...

...

THƯ MỤC TÀI LIỆU THAM KHẢO

[1] ISO 7498-2:1989, Information processing systems - Open Systems Interconnection - Basic Reference Model - Part 2: Security Architecture;

[2] ISO/IEC 646:1991, Information technology - ISO 7-bit coded character set for information interchange;

[3] TCVN 11495-1 (ISO/IEC 9797-1), Công nghệ thông tin - Các kỹ thuật an toàn - Các mã xác thực thông điệp (MAC) - Phần 1: Các cơ chế sử dụng mã khối;

[4] ISO/IEC 10118-1:2000, Information technology - Security techniques - Hash- functions - Part 1 :General;

[5] ISO/IEC 10181-6:1996, Information technology - Open Systems Interconnection - Security frameworks for open systems: Integrity framework.

[6] BELLARE, M. "New proofs for NMAC and HMAC: Security without Collision- Resistance,” Advances in Cryptology, Proceedings Crypto'06, LNCS 4117, C. Dwork, Ed., Springer-Verlag, 2006, pp. 602-619;

[7] BELLARE, M., CANETTI, R., KRAWCZYK, H. "Keying hash functions for message authentication", Advances in Cryptology, Proceedings Crypto'96, LNCS 1109, N. Koblitz, Ed., Springer-Verlag, 1996, pp. 1-15;

[8] BELLARE, M. CANETTI, R., KRAWCZYK, H. "Pseudorandom functions revisited: The cascade construction and its concrete security," Proc. 37th Annual Symposium on the Foundations of Computer Science, IEEE, 1996, pp. 514-523. Full version via http://www- cse.ucsd.edu/users/mihir;

...

...

...

[10] ISO/IEC 18032, Information technology - Security techniques - Prime number generation;

MỤC LỤC

Lời nói đầu

1  Phạm vi áp dụng

2  Tài liệu viện dẫn

3  Thuật ngữ và định nghĩa

4  Ký hiệu và giải thích

5  Các yêu cầu

...

...

...

6.1  Mô tả của Thuật toán MAC 1

6.1.1  Bước 1 (mở rộng khóa)

6.1.2  Bước 2 (sửa đổi các hằng số và IV)

6.1.3  Bước 3 (phép toán băm)

6.1.4  Bước 4 (biến đổi đầu ra)

6.1.5  Bước 5 (cắt ngắn)

6.2  Hiệu suất

6.3  Tính toán các hằng số

6.3.1  Hàm băm Chuyên dụng 1 (RIPEMD-160)

...

...

...

6.3.3  Hàm băm Chuyên dụng 3 (SHA-1)

6.3.4  Hàm băm Chuyên dụng 4 (SHA-256)

6.3.5  Hàm băm Chuyên dụng 5 (SHA-512)

6.3.6  Hàm băm Chuyên dụng 6 (SHA-384)

6.3.7  Hàm băm Chuyên dụng 8 (SHA-224)

7  Thuật toán MAC 2

7.1  Mô tả của Thuật toán 2

7.1.1  Bước 1 (mở rộng khóa)

7.1.2  Bước 2 (phép toán băm)

...

...

...

7.1.4  Bước 4 (cắt ngắn)

7.2  Hiệu suất

8  Thuật toán MAC 3

8.1  Mô tả của Thuật toán MAC 3

8.1.1  Bước 1 (mở rộng khóa)

8.1.2  Bước 2 (sửa đổi các hằng số và IV)

8.1.3  Bước 3 (đệm)

8.1.4  Bước 4 (áp dụng hàm vòng)

8.1.5  Bước 5 (cắt ngắn)

...

...

...

Phụ lục A (quy định) Mô đun ASN.1

Phụ lục B (tham khảo) Các ví dụ

Phụ lục C (tham khảo) Phân tích độ an toàn của các thuật toán MAC

Thư mục tài liệu tham khảo