我根据 RFC-3610 实现了 AES-CCM,我想知道为什么额外的认证数据 l(a) 的长度需要由 MAC 保护。
问问题
816 次
1 回答
1
标准警告:不要编写自己的加密并使用它。使用由专业加密人员编写的可信库。几乎所有你需要的语言/运行时都有一些,或者应该为它编译。
至于你的问题:
默认情况下,CBC-MAC 仅适用于固定长度的消息。如果攻击者知道消息 m 上的标签 t 和消息 m' 上的标签 t',他们就可以在实际上未发送的第三条消息上伪造标签。事实上这是
如果您在前面加上长度,它会更安全,尽管您仍然可以获得彼此前缀的消息并遇到类似的问题。因此,一个随机数也被前置的原因之一。
于 2012-04-27T02:36:40.217 回答