MAC: 메시지 인증 코드

MAC: Message Authentication Codes

메시지 무결성과 메시지 인증을 위한 코드

• Alice와 Bob은 전송 중인 메시지 $x$가 변조되지 않았음을 보장받고 싶음
• Bob은 메시지 $x$와 공유된 비밀 키 $k$의 함수로서 MAC(y)을 생성
  • $y = \text{MAC}_k(x)$
  • Alice에게 $(x, y)$를 전송
• Alice는 공유된 비밀 키 $k$와 수신된 메시지 $x$를 사용하여 $y$를 검증

• 암호학적 Checksum
  • MAC은 메시지의 무결성을 보장
• 대칭 기술
• 임의의 입력 길이 / 고정된 출력 길이
• 메시지 무결성
• 메시지 인증
• 부인 방지 없음 (No nonrepudiation)

• 해시 함수 사용
• 블록 암호 사용

• 암호학적 해시 함수를 기본 블록으로 활용
• IP 보안 스위트, TLS(Transport Layer Security), SET(Secure Electronic Transaction) 등에서 사용
• 특정 가정 하에 HMAC의 보안 증명 가능

1. $K$의 왼쪽 끝에 0을 추가하여 $b$비트 문자열 $K^+$를 만든다.
2. $S_i = K^+ \oplus \text{ipad}$를 계산한다. 여기서 ipad는 0x36이 $b/8$번 반복된 것이다.
3. $S_i$에 $M$을 추가한다.
4. $H(S_i \| M)$을 계산한다.
5. $S_o = K^+ \oplus \text{opad}$를 계산한다. 여기서 opad는 0x5C가 $b/8$번 반복된 것이다.
6. $H(S_i \| M)$을 $S_o$에 추가한다.
7. $H(S_o \| H(S_i \| M))$을 계산하고 출력한다.

• 증명 가능한 보안을 제공할 수 있다. (특정 가정 하에 HMAC은 안전)
• MAC의 유효한 출력을 생성하는 것은 사용된 해시 함수에 대해 다음 중 하나의 공격과 동일
  • 공격자가 무작위로, 비밀로, 공격자에게 알려지지 않은 Ⅳ로 압축 함수의 출력 계산 가능
  • 공격자가 무작위로, 비밀로, Ⅳ가 설정 된 해시 함수에서 충돌을 찾을 수 있음
  $\Rightarrow$ 사용된 해시 함수의 충돌을 찾는 것과 관련됨

• 블록 암호와 운영 모드 결합
• AES와 CBC는 실무에서 가장 많이 사용됨

• $\text{Enc}(K, P_i) =\begin{cases}\text{EncBlock}(K, IV \oplus P_1) & \text{첫 블록의 경우}\\\text{EncBlock}(K, C_{i-1} \oplus P_i) & \text{다른 블록의 경우}\end{cases}$
  
• $\text{Dec}(K, C_i) =\begin{cases}\text{DecBlock}(K, C_1) \oplus IV & \text{첫 블록의 경우} \\\text{DecBlock}(K, C_i) \oplus C_{i-1} & \text{다른 블록의 경우}\end{cases}$
  

• 비밀 키 $k$, 초기 값 $IV$, 메시지 $x$가 $n$개의 블록 $x_1, x_2, \cdots, x_n$으로 나누어졌을 때
  • $y_1 = \text{Enc}_{Block}(k, IV \oplus x_1)$
  • $y_i = \text{Enc}_{Block}(k, y_{i-1} \oplus x_i)$
• $2\leq i \leq n$에 대해 계산 후 $(x, y_n)$를 전송

• $(x, y_n)$이 주어졌을 때, 다음을 확인
  • $y_n \stackrel{?}{=} \text{CBC-MAC}_k(x)$