【能力验证】SM4 CBC-MAC 消息长度扩展异或伪造攻击

SM4  CBC-MAC 消息长度扩展异或伪造攻击

根据 GB-T 15852.1—2020 《信息技术 安全技术 消息鉴别码 第 1 部分：采用分组密码的机制》文档内容：

已知经由SM4 CBC-MAC生成的MAC值如下

MSG1:

E55E3E24A3AE7797808FDCA05A16AC15EB5FA2E6185C23A814A35BA32B4637C2

MAC1:

0712C867AA6EC7C1BB2B66312367B2C8

MSG2:

D8D94F33797E1F41CAB9217793B2D0F02B93D46C2EAD104DCE4BFEC453767719

MAC2:

43669127AE268092C056FD8D03B38B5B

要求生成64字节（128个16进制字）的MSG3和对应的MAC3。

分析：

A、SM4-CBC，输入为128位IV随机数、对称密钥K、128位明文分组

B、SM4 CBC-MAC，输入同SM4-CBC，只是IV取值固定为0，输出只取最后一个分组加密后的密文

C、MSG1明文长度为32字节（256位），所以有2个分组（M1a和M1b），输出为MAC1

M1a =E55E3E24A3AE7797808FDCA05A16AC15

M1b =EB5FA2E6185C23A814A35BA32B4637C2

MAC1=0712C867AA6EC7C1BB2B66312367B2C8

IV     =00000000000000000000000000000000

MAC1 = Ek(k, Ek(k,IV⊕M1a)⊕M1b) = Ek(k, Ek(k,M1a)⊕M1b)

D、同上MSG2与MSG1情况相同，所以

MAC2 = Ek(k, Ek(k,M2a)⊕M2b)

E、同理，对于MSG3，有4个分组（M3a、M3b、M3c、M3d），输出为MAC3

MAC3 = Ek(k,Ek(k,Ek(k, Ek(k,M3a)⊕M3b)⊕M3c)⊕M3d)