DAA和CMAC

数据认证算法（DAA）  Data Authentication Algorithm

　　DAA建立在DES之上，该算法比较陈旧，人们已经发现了这个算法的安全弱点，目前已经被废止。

　　DAA采用DES运算的CBC工作模式，其初始向量为0，需要认证的数据分成连续的64位分组D₁，D₂，...，D_N，若最后分组不足64位，则在其后填充0补足。

　　DAA的安全隐患

　　　　给定一个消息分组X的CBC MAC码，如T = MAC(K , X)，则攻击者马上就知道对于两个消息分组 X || (T⊕X) 的CBC MAC码还是T。显然，对于短消息，攻击者可以很容易就找到符合条件的M‘使得MAC(K , M‘) = MAC(K , M)。

基于密码的消息认证吗（CMAC）　　Cipher-based Message Authentication Code

　　CMAC的加密对于AES和3DES都适用。

　　为消除DAA存在的安全隐患，CMAC在DAA基础上做了一个改进，在最后一步加密的前后均作了数学处理

　　　　　C_n = E(K , [M_n⊕C_n-1⊕K₁])

　　　　　T = MSB_Tlen(C_n)

　　　　　　　　　　Tlen是T的长度，MSB_s(X)是取位串X最左边的s位

　　两位n位的密钥K₁和K₂由K按照如下方式导出：

　　　　L = E(K , 0ⁿ)　　　　　　//将分组密码应用到一个全0分组上

　　　　K₁ = L • x　　　　　　　　

　　　　K₂ = L • x² = (L • x) • x

　　　　乘法（•）在域GF(2ⁿ)内进行，x和x²是域GF(2ⁿ)的一次和二次多项式