18、密码学中的消息认证、数字签名与素性测试

密码学中的消息认证、数字签名与素性测试

在密码学领域，消息认证、数字签名以及素性测试都是至关重要的概念，它们为数据的安全性和完整性提供了坚实的保障。下面将详细介绍这些概念及其相关算法。

消息认证码（MAC）

消息认证码用于验证消息的完整性和真实性。当使用密码学哈希函数时，可能会存在弱点，因为攻击者可以通过篡改消息直到找到有意义的碰撞。为了提供更高的安全性，我们可以使用消息认证码（MAC），并在生成消息摘要的过程中添加一个通常为秘密的密钥 $k_s$。

CBC - MAC

CBC - MAC 使用私钥密码系统，通常返回 CBC 模式加密过程的最后一个块。例如，给定数据 $m = m_0||m_1|| \cdots ||m_N$，块大小为 $n$，消息认证码可以定义为：
$MAC_{k_s} : Z_2^* \to Z_2^n$，$MAC_{k_s}(m) = e_{k_s}(m_0 \oplus m_1 \oplus \cdots \oplus m_N)$

然而，这种 MAC 存在安全问题。如果已知 $(m, MAC_{k_s}(m))$，可以构造新的数据 $q$ 使得 $MAC_{k_s}(q||q_N) = MAC_{k_s}(m)$。

CMACs（Cipher MAC）

CMACs 是 MAC 的扩展。首先使用 CBC - MAC，然后从一个密钥生成两个临时密钥，通过加密 $e_{k_s}(0 \cdots 0)$、左移循环和可能的异或操作。目前，这种消息认证码被认为是安全的。

基于哈希的消息认证码（HMAC）

MDC - MAC 是基