CCM和GCM

分組密碼連接-消息認證碼--CCM   　　Counter with CBC-MAC

　　組成CCM的關鍵算法是AES加密算法、CTR工做模式和CMAC認證算法，在加密和MAC算法中共用一個密鑰K。

　　CCM加密過程的輸入由三部分構成：

　　　　一、將要被加密和認證的數據，即明文消息P數據塊

　　　　二、將要被認證，可是不須要加密的相關數據A，如協議頭等。

　　　　三、臨時量N，做爲負載和相關數據的補充，對每條消息N取值惟一，以防止重放攻擊等。

　　

　　 

　　由計數器產生大量的Ctr_i

 

Galois/計數器模式--GCM   　　Galois/Counter Mode

 　　GCM基於並行化設計，能夠提供高效的吞吐率和低成本、低延遲。其本質是消息在變型的CTR模式下加密，密文結果與密鑰以及消息長度信息在GF(2¹²⁸)域上相乘。該標準還同時制定了僅支持MAC的工做模式即GMAC。

　　GCM模式使用兩個函數：帶密鑰的Hash函數GHASH，以及計數器每次增1 的CTR模式的GCTR。

　　一、GHASH

　　    

　　GHASH_H(X)函數將Hash密鑰H和位串X做爲輸入，通過轉化函數可表示成：

　　　　GHASH_H(X) = (X₁•H^m)⊕(X₂•H^m-1)⊕...⊕(X_m-1•H²)⊕(X_m•H)

　　該式很是適合快速實現，若是使用相同的Hash密鑰認證多個消息，那麼H₂，H₃，...可以經過一次預計算來對全部消息進行認證，而且待認證的數據分組(X₁，X₂，...，X_m)可以並行處理，由於每組計算都相互獨立。

　　二、GCRT

 　　

　　inc₃₂(S)函數對S的最右32位增1並取模2³²，其他位不變。

　　最後一次加密生成MSB，根據X_n'的長度截取後再與X_n'異或產生Y_n'

　　三、整個認證函數結構

　　

　　(1)令 H = E(K , 0¹²⁸)

　　(2)定義分組J₀以下

　　　　若是len(IV) = 96，則令J₀ = IV || 0³¹ || 1。

　　　　若是len(IV) ≠ 96，則令 s = 128⌈len(IV)/128⌉ - len(IV) 　　

　　　　　　並令J₀ = GHASH_H(IV || 0^s+64 || [len(IV)₆₄])　　　　//[s+64+len(IV)]%64 = 0,說白了就是使輸入知足恰好可分整數組的長度

　　(3)令C = GCRT_K(inc₃₂(J₀) , P)

　　(4)令u = 128⌈len(C)/128⌉ - len(C) 　　　　v = 128⌈len(A)/128⌉ - len(A) 　　//目的也是爲了知足分組長度

　　(5)定義分組S以下

　　　　　　S = GHSASH_H(A || 0^v || C || o^u || [len(A)]₆₄ || [len(C)₆₄])

　　(6)令 T = MSB_t(GCTR_K(J₀ , S))，這裏t是支持的MAC長度