CMAC

CMAC (Cipher-based MAC)^[1] は、ブロック暗号に基づくメッセージ認証符号アルゴリズムである。認証およびデータの機密の保証に用いられる。この暗号利用モードは、CBC-MACのセキュリティ上の欠陥を修正したものである（CBC-MACは固定長のメッセージの場合のみ安全である）。

CMACアルゴリズムの中核は、John BlackとPhillip Rogawayによって提案、解析され、NISTに提出^[2]されたXCBC^[3]と呼ばれるCBC-MACの変種である。XCBCアルゴリズムはCBC-MACの欠陥を効率的に克服しているが、3つの鍵を必要とする。岩田と黒沢はXCBCの改良を提案し、One-Key CBC-MAC (OMAC)として発表した^[4][5]。さらに、OMACの改良としてOMAC1^[6]を発表し、さらなるセキュリティ解析を行った^[7]。OMACではXCBCよりも必要な鍵が少なくなっている。CMACはOMAC1と等価なものである。

bビットのブロック暗号 (E) と秘密鍵 (k) を用いてメッセージ (m) の ℓビットのCMACタグ (t) を生成する場合、はじめに2つの bビットの副鍵 (k₁ and k₂) を以下の手順で生成する（これは有限体GF(2^b) 上での x と x² の乗算と等価である）。 ここで ≪ は左シフト演算子である。

1. 一時的な値として k₀ = E_k(0) を計算する。
2. msb(k₀) = 0 であれば k₁ = k₀ ≪ 1 とする。そうでない場合は k₁ = (k₀ ≪ 1) ⊕ C とする。ここで C は b のみに依存するある定数である。(具体的には、二元体上の b 次既約多項式の中で、辞書順序において最も小さいものの主係数以外の係数)
3. msb(k₁) = 0 であれば k₂ = k₁ ≪ 1 とする。そうでない場合は k₂ = (k₁ ≪ 1) ⊕ C とする。
4. 副鍵 (k_{1, 2}) をMAC生成に用いる。

例として、b = 4 の場合 C = 0011₂ であり、k₀ = E_k(0) = 0101₂ である。そのため k₁ = 1010₂、k₂ = 0100 ⊕ 0011 = 0111₂ となる。

CMACタグの生成プロセスは以下の通りである。

1. メッセージ m を b ビットごとのブロックに分割する。 m = m₁ ∥ … ∥ m_n−1 ∥ m_n′ このとき m₁, …, m_n−1 は完全なブロックとする（空のメッセージは1つの不完全なブロックとして扱う）。
2. m_n′ が完全なブロックであれば m_n = k₁ ⊕ m_n′ とする。そうでない場合は m_n = k₂ ⊕ (m_n′∥ 10…0₂) とする。
3. c₀ = 00…0₂ と置く。
4. i = 1,…, n に対して c_i = E_k(c_i−1 ⊕ m_i) を計算する。
5. t = msb_ℓ(c_n) を出力とする。

検証プロセスは以下の通りである。

1. 上記のアルゴリズムでタグを生成する。
2. 生成したタグと受け取ったタグが等しいことを確認する。

• ^ NIST, Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B.
• ^ J. Black, P. Rogaway, A Suggestion for Handling Arbitrary-Length Messages with the CBC MAC, available from NIST.
• ^ J. Black, P. Rogaway, CBC MACs for Arbitrary-Length Messages: The Three-Key Constructions, Advances in Cryptology—Crypto 2000.
• ^ T. Iwata, K. Kurosawa, OMAC: One-Key CBC MAC, available from NIST.
• ^ T. Iwata, K. Kurosawa, OMAC: One-Key CBC MAC, Fast Software Encryption 2003.
• ^ T. Iwata, K. Kurosawa, OMAC: One-Key CBC MAC—Addendum, available from NIST.
• ^ T. Iwata, K. Kurosawa, Stronger Security Bounds for OMAC, TMAC, and XCBC, available from NIST.

• RFC 4493 The AES-CMAC Algorithm
• RFC 4494 The AES-CMAC-96 Algorithm and Its Use with IPsec
• RFC 4615 The Advanced Encryption Standard-Cipher-based Message Authentication Code-Pseudo-Random Function-128 (AES-CMAC-PRF-128)

表 話 編 歴 暗号学的ハッシュ関数とメッセージ認証コード セキュリティ要約（英語版） 一般的関数 MD5 SHA-1 SHA-2 SHA-3/Keccak SHA-3最終候補（英語版） BLAKE Grøstl（英語版） JH（英語版） Skein（英語版） Keccak (勝者) その他の関数 FSB（英語版） ECOH（英語版） GOST（英語版） HAS-160（英語版） HAVAL（英語版） Kupyna（英語版） LMハッシュ MDC-2（英語版） MD2 MD4 MD6（英語版） N-Hash（英語版） RadioGatún RIPEMD SipHash（英語版） Snefru（英語版） Streebog（英語版） SWIFFT（英語版） Tiger（英語版） VSH（英語版） WHIRLPOOL crypt(3)（英語版） (DES) MACアルゴリズム DAA（英語版） CBC-MAC HMAC OMAC（英語版）/CMAC PMAC（英語版） VMAC（英語版） UMAC（英語版） Poly1305 認証付き暗号モード CCM CWC（英語版） EAX（英語版） GCM IAPM（英語版） OCB（英語版） 攻撃 衝突攻撃（英語版） 原像攻撃 誕生日攻撃 総当たり攻撃 レインボーテーブル サイドチャネル攻撃 伸長攻撃（英語版） 差分解読法 設計 アバランシェ効果（英語版） ハッシュ衝突 Merkle–Damgård構成法（英語版） 標準化 CRYPTREC NESSIE NISTハッシュ関数コンベンション（英語版） NSA Suite B（英語版） CNSA 利用 ソルト キーストレッチ（英語版） メッセージ認証（英語版） パスワードハッシュ関数 bcrypt PBKDF2 scrypt Argon2 Catena（英語版） Lyra2（英語版） Makwa（英語版） yescrypt Balloon（英語版） crypt（英語版） カテゴリ：ハッシュ関数・メッセージ認証コード・認証付き暗号

表 話 編 歴 暗号 暗号史 暗号解読 Cryptography portal en:Outline of cryptography 共通鍵暗号 ブロック暗号 ストリーム暗号 暗号利用モード 公開鍵暗号 暗号学的ハッシュ関数 メッセージ認証コード 認証付き暗号 乱数生成器 ステガノグラフィー

カテゴリ