Режим RIVIAC. 
Криптографические методы защиты информации

Рассмотрим еще один режим^[1], представляющий собой одну из возможных модификаций режима СВС-МАС.

Так же как и в алгоритме СМАС, данный режим использует производный ключ аутентификации Ад, который может быть выработан в соответствии с равенством (8.10).

В отличие от приведенного выше алгоритма, RMAC выполняет на одно шифрование больше и использует случайное значение — синхропосылку iv, которая должна передаваться или храниться вместе с сообщением.

Выработка значения Мас (Ада) ключевой функции хэширования происходит в соответствии со следующим алгоритмом.

Алгоритм 8.3 (Режим RMAC).

Вход: Секретный ключ к ? F? сообщение а = (ai|| • •? 11а,-) € F2⁰, аь… а_т 6 F-2, алгоритм блочного зашифрования Е (-, •): FI," х FJ -> F? и синхропосылка iv ? Fg.

Выход: Мас (А, а) — код целостности сообщения а, Мас (Ада) ? Fg.

• 1. В соответствии с (8.10) вычислить производный ключ к.
• 2. Определить гс₀ = (0||? • • ||0) € F?.
• 3. Для всех i от 1 до г — 1 вычислить

4. Вычислить и>_г = Е (к, а*), где а* = а_г||1|| .

п—len о_г —1.

5. Определить Mac (fc, а) = Е (к, w_r ф к ф iv). ?

В завершение данного раздела отметим, что все ключевые функции хэширования, построенные на основе блочных алгоритмов шифрования, вырабатывает код целостности, длина которого совпадает с длиной блока алгоритма шифрования. Для шифров с маленькой длиной блока, скажем п = 64, в силу парадокса «дней рождений» данный класс алгоритмов становится уязвим к атакам на построение коллизий. С другой стороны, у отечественного блочного шифра «Кузнечик» длина блока п равна 128, что является приемлемым для применения шифра «Кузнечик» в режиме выработки и м итовстаки.

• [1] См. Jaulmes Е., Joux A., Valette F. RMAC: A randomized MAC beyond theparadox birthday limit, 2001.