一、EAX简介
认证加密(AE)方案是一种通过消息M转换成密文CT为目标,保护M的隐私和真实性的对称密钥机制。近几年来,AE的出现成为公认的密码目标。认证加密方案,EAX,提供了一种基于认证加密的机制。
介绍EAX之前,先简单介绍一下OMAC。OMAC是一种基于块加密的消息认证,OMAC允许任意长度的消息,CBC MAC仅仅对于固定长度且是块长度的倍数的消息是安全的。CMAC是效率是高度优化的,与CBC MAC一样高效。OMAC是OMAC1和OMAC2的统称。下图是OMAC1和OMAC2的算法流程:
图1
图2
OMAC1算法流程分为预处理过程和Tag的生成。
预处理过程:
生成n位的0,让0 n 与K(加密密钥)做E (K, 0 n) 加密运算,生成L。若L的最高位是0,则左移一位,将最高位移出,低位最后一位补0。否则让次高位异或一个n位的常量,如下图3所示。如果n是128位则这个常量是0x00000000000000000000000000000087,如果n是64位则这个常量是0x000000000000001b。本文的代码中采用的是128位的常量,如下图4所示。上述操作后的的L命名为L.u,检验L.u的最高位,若为0则左移一位,否则,左移一位后与0x00000000000000000000000000000087这个常量异或操作,如下图5所示。
图3
图4
图5
Tag的生成:
将消息M分为M[1], M[2], ..., M[m],其中M[i] (i = 1 ,..., m-1)是n位,M[m]可能是n位或者比n位少。 生成n位的0记为Y[0],对于i从1到m-1让K,M[i],Y[i-1]做E(K, M[i] xor Y[i-1]) 运算.,如下图6所示。若M[m]即M_last长度等于n时,则让M[m] xor Y[m-1] xor L.u ;否则先填充,然后做M[m] xor Y[m-1] xor L.u 2 运算。如图7中所示:
图6
图7
在双路机制中,我们通过数据提供双路认证,致力于提供加密和认证。通过类属成分提供的双路认证,一路用于构成隐私的加密机制,另一路是消息认证码(MAC)。加密和认证使用它们各自的一把私钥(这一点很重要哦)。EAX是一种使用随机数的AEAD模式,AEAD是基于区块的加密模式。nonce只要不重复即可,EAX提供了隐私和认证,使得攻击方不能生成新的并且有效的nonce+header+ciphertext(随机数+头部+密文)。EAX在功能上是灵活多变的,它支持任意长度的消息,也支持任意长度的nonce,任意长度的tag(认证码)都是有可能的,这样能够允许用户根据安全度选择他想要的安全级别。EAX的安全性意味着不可区分的随机位和认证码,因此安全级别极高。下图是EAX的认证流程,详细介绍可以参考:http://web.cs.ucdavis.edu/~rogaway/papers/eax.pdf,与这篇参考文献稍有差别是:本篇采用本篇中采用的是CMAC,它是一种基于密文的消息认证码。而下图所采用的是OMAC,但处理流程是类似的。
图8
图8中简单介绍其中N是nonce随机数,H是头部,M是消息体。加密时对N、H、M分别做OMAC0、OMAC1、OMAC2处理,对处理后的结果做一个异或运算得到Tag,然后取Tag的前T位,得到MAC认证码。解密过程类似于加密过程。
二、JS实现EAX介绍
①、项目地址:https://github.com/ying2025/websocket---vbs/blob/master/EAX/eax.js
②、测试地址:https://github.com/ying2025/websocket---vbs/blob/master/EAX/test.js
③、详解
a、文件内主要实现功能介绍:
eax.js主要实现eax算法以及CMAC实现算法;cryptojs-aes.min.js主要实现了AES加密算法;cryptojs-mode-ctr.min.js主要实现了CMAC的CRT模式加密。
b、EAX的实现
在eax.js里面包含了三个立即执行函数,其中包含ext的立即执行函数主要封装和实现了EAX和CMAC的一些函数,接下来主要讲解CMAC和EAX这两个立即执行函数。
CMAC部分:主要包括块加密函数、初始化创建CMAC、认证消息、MAC的生成
aesBlock函数主要实现16字节的块加密
图9
init函数主要使用加密的Key派生出认证的Key即生成MAC的Key,如图10中所示。当是CMAC1算法时,K2的生成采用
var K2 = K1.clone();
ext.dbl(K2);
当采用CMAC2时,K2的生成采用
var K2 = L.clone();
ext.inv(K2);
图10
update函数主要是将M分为M[1],M[2],...,M[m],然后按照块加密方式对其加密,同时计数器累加,流程如图12所示:
图11
图12
EAX部分:初始化块加密对象、以0为初始值,应用CMAC对nonce、header、Msg进行认证计算出最后的消息认证码以及加密或者解密后的数据。
init函数主要使用key初始化加密对象,以及tag;reset函数主要初始化_mac,默认以1为初始值。如图13所示
图13
updateAAD主要应用CMAC对header进行认证;initCrypt函数主要初始化Tag,以0为初始值对nonce认证,认证的结果赋值给nonce,然后作为KCTR加密模块的初始向量,如下图14所示:
,图14
update函数实现主要功能:若是加密则数据的长度是buffer的长度,然后对数据进行加密处理;若是解密则数据长度减去tag的长度,然后对数据进行解密处理。其中判断self.xoredData是否等于undefined主要是concat函数使用对象不能为undefined,此处主要为了多个消息可以连续使用update函数
图15
finalize函数主要实现了加密MAC的生成以及最后一块Block的生成,若是加密则密文为前n-1块数据拼接最后一个区块的数据再拼接MAC认证码;否则,前n-1块的数据拼接最后一个区块的数据。
图16
prepareEncryption函数包括对nonce和header分别做CMAC0和CMAC1认证
图17
测试说明:
nodejs里面使用,在test.js文件test2函数,先运行立即执行函数,然后使用KeyBytes初始化eax加密对象,然后使用nonce和header认证nonce和header,然后对数据进行加密和认证,最后生成密文.如图18所示:
注意:使用let msgBytes4 = CryptoJS.lib.WordArray.create(new Uint8Array([12,234,34,23,34,45,34, 67, 89, 89, 23, 89,34,12,34,45]));解密后可能会有多余0,会造成误差,具体可以运行测试类运行试试,使用test2.js里面的test2()的函数你就会发现不一样之处。
图18
三、go实现EAX介绍
①、项目地址:https://github.com/halftwo/mangos/blob/master/eax/eax.go
②、测试地址:https://github.com/halftwo/mangos/blob/master/eax/eax_test.go
测试地址2: https://github.com/ying2025/Server/blob/master/eax/eax_test.go
说明:go实现EAX主要是熊家贵老师实现的,本人在熊家贵老师的基础上对测试类进行了简单封装。
③、详解
a、文件内主要实现功能介绍:
eax.go主要实现eax算法以及CMAC实现算法,还包括一些填充函数。
b、EAX的实现
CmacCtx结构体主要由16字节块加密对象cipher、_X主要用来保存M[m]与Y[i-1]异或的结果,count主要用来计数,主要实现CMAC的CRT模式;NewCmac函数:判断加密块对象是否是16字节的加密块,若是则初始化CmacCtx对象,否则,保存;Start函数:主要用于初始化_X,以0填充_X;blockXOR函数主要实现两个字节数组每一项异或运算。 如下图19、20所示:
图19
图20
Update函数:若是nonce则进行CMAC0认证,若是header则进行CMAC1认证; 若不是,然后让buf的每一项与_X做异或运算,即以之前的值为初始值对其进行CMAC认证。
图21,
gf_mulx1和gf_mulx2函数主要用于填充的,如图24中所示的流程图,如23中程序判断部分
图22
Finish函数主要用于完成CMAC认证
图23
图24
EaxCtx结构体主要CMAC对象,加密标志,当前处于一个区块的位置,_S
网友评论