Tek anahtarlı mesaj doğrulama kodu

Tek anahtarlı mesaj doğrulama kodu (One-key MAC, OMAC), CBC-MAC algoritmasına benzer bir blok şifresinden oluşturulan bir mesaj kimlik doğrulama kodudur .

Resmi olarak, küçük bir değişiklik dışında her ikisi de esasen aynı olan iki OMAC algoritması (OMAC1 ve OMAC2) vardır. Mayıs 2005'te NIST tarafından önerilmiş olan OMAC1, CMAC algoritmasına eşdeğerdir.

Algoritma, herhangi bir patent kapsamında olmadığından her kullanıcı için ücretsizdir. Kriptografide CMAC (Cipher-based Message Authentication Code, Şifre Tabanlı Mesaj Kimlik Doğrulama Kodu)^[1] bir çeşit blok şifreleme tabanlı mesaj kimlik doğrulama kodu algoritmasıdır. İkili verilerin kimliğinin doğruluğunu ve dolayısıyla da bütünlüğünü garanti etmek için kullanılabilir. Bu çalışma kipi, CBC-MAC'in güvenlik eksikliklerini giderir (CBC-MAC sadece sabit uzunluktaki mesajlar için güvenlidir).

CMAC algoritmasının temeli, Black ve Rogaway tarafından önerilmiş ve XCBC^[2] adı altında analiz edilip NIST'e gönderilmiş^[3] olan bir CBC-MAC varyasyonudur. XCBC algoritması, CBC-MAC'in güvenlik eksikliklerini etkili bir şekilde gidermektedir, ancak üç anahtar gerektiriyor. Iwata ve Kurosawa, XCBC için bir iyileştirme sunmuş ve elde ettikleri algoritmayı makalelerinde One-Key CBC-MAC (OMAC) olarak adlandırmış,^[4] ardından OMAC üzerine bir iyileştirme ve ilave güvenlik analizi olan OMAC1'i yayımlamışlardır.^[5]^[6] OMAC algoritması, XCBC için gereken anahtar miktarını azaltır. CMAC, OMAC1'e eşdeğerdir.

Bir adet $b$ -bitlik blok şifresi $(E)$ ve bir adet gizli anahtar $(k)$ kullanarak, bir mesaja $(m)$ ait ${\mathcal {l}}$ -bitlik bir CMAC etiketi $(t)$ oluşturmak için; öncelikle aşağıdaki algoritma kullanılarak iki adet $b$ -bitlik alt-anahatlar ( $k_{1}$ ve $k_{2}$ ) türetilir (Bu işlem, sonlu alan $GF(x^{b})$ üzerinde $x$ ve $x^{2}$ 'nin çarpımına eşdeğerdir). $\ll$ sembolü standart sola-kaydırma operatörü ve $\oplus$ sembolü ise dışlayıcı veya işlemini, $msb$ fonksiyonu ise sayının en anlamlı bitini (most significant bit) belirtmek üzere:

Geçici bir $k_{0}=E_{k}(0)$ değeri hesaplanır.
Eğer $msb(k_{0})=0$ ise, $k_{1}=k_{0}\ll 1$ ; aksi halde $k_{1}=(k_{0}\ll 1)\oplus C$ olur. Burada, $C$ yalnızca $b$ 'ye bağlı belirli bir sabittir. (Spesifik olarak, $C$ değeri, indirgenemeyen $b.$ dereceden ikili polinomlar arasında en az sayıda $1$ içeren ilk polinomun baş katsayısı haricindeki diğer katsayılarıdır: Mesela, 64 bit için 0x1B, 128 bit için 0x87 ve 256 bit bloklar için 0x425.)
Eğer $msb(k_{1})=0$ ise, $k_{2}=k_{1}\ll 1$ , aksi halde $k_{2}=(k_{1}\ll 1)\oplus C$ olur.
MDK hesaplama işlemi için gerekli bu alt anahtarlar $(k_{1},k_{2})$ döndürülür.

Küçük bir örnek olarak, $b=4$ , $C=0011_{2}$ ve $k_{0}=E_{k}(0)=0101_{2}$ olarak varsayılsın. O halde $k_{1}=1010_{2}$ ve $k_{2}=0100\oplus 0011=0111_{2}$ olarak hesaplanmış olur.

CMAC etiketi oluşturma süreci aşağıdaki gibidir:

Mesaj $m=m_{1}\ ||\ m_{2}\ ||\ \dots \ ||\ m_{n}$ olacak şekilde $b$ bitlik bloklara ayrılır. Burada $m_{1},m_{2},\dots ,m_{n-1}$ tam bloktur. (Boş mesaj ise tamamlanmamış bir tane blok olarak değerlendirilir.)
Eğer $M_{n}$ tam bloksa $m_{n}^{'}=k_{1}\oplus m_{n}$ , aksi halde $m_{n}^{'}=k_{2}\oplus (m_{n}\ ||\ 10...0_{2})$ olur.
$c_{0}=00...0_{2}$ olsun.
Her $i\in \{1,2,3,\dots ,n-1\}$ için, $c_{i}=E_{k}(c_{i-1}\oplus m_{i})$ değeri hesaplanır.
$c_{n}=E_{k}(c_{n-1}\oplus m_{n}^{'})$ olur.
Çıktı $t=msb_{\mathcal {l}}(c_{n})$ olarak bulunmuş olur.