附　錄　D （資料性附錄） 機制安全性和參數長度選擇

D.1　概述

本附錄針對8個人工鑒別的安全性進行探討，并對檢驗值、摘要值、消息鑒別碼、隨機比特串以及密鑰的長度選擇提供指導性建議。

D.2　機制1和機制2的使用

所有在兩個設備之間通信信道上傳遞的數據都是公開的，即便在有些情況下數據串D需保密。這兩個人工鑒別機制的安全目標是保護數據的完整性，而非機密性。所需的完整性保護是使用基于檢驗值的檢驗步驟來實現的。

檢驗函數是一個映射f，將D所在的數據空間和K所在的密鑰空間映射到一個檢驗值空間C：

在機制1和機制2中，檢驗值用于保護數據的完整性。因此，這兩個機制的安全性是基于檢驗函數的無條件安全，而非計算安全性。檢驗函數的無條件安全基于消息鑒別理論的結果，示例可見參考文獻[28]的4.5節。一般會考慮兩類主要的攻擊：

——假冒攻擊

——替換攻擊

在假冒攻擊中，攻擊者在接收方未觀察到發、收雙方此前交換的數據時，嘗試讓接收者相信數據來自合法的發送方。在替換攻擊中，攻擊者首先觀察到某個數據d，然后使用

來替換d。攻擊者成功執行假冒攻擊和替換攻擊的可能性用P**I和P**S分別表示，可以表達為：

這兩個機制的安全性依賴于攻擊者使用數據

來成功替換數據d的可能性。如果鑒別雙方接受了

并視為有效數據，則攻擊成功了。鑒于我們假定兩個設備在物理上彼此接近，且除非兩個設備都指示他們已就緒，否則我們不會接受任何數據，因而假冒攻擊并不適用于機制1和機制2場景下的人工鑒別。另外，如果使用消息鑒別碼做完整性保護，正常情況下數據及其消息鑒別碼都會被傳遞且能夠被被攻擊者觀察到。而在機制1和機制2中情況不同，這兩個機制中使用檢驗值而非消息鑒別碼來保護完整性，這樣只有數據是在公開信道上傳遞的，攻擊者在數據串D被傳遞之前無法獲知檢驗函數的輸出（事實上，在機制1中攻擊者根本無法接觸到檢驗函數的輸出）。這簡化了安全性分析和對成功的替換攻擊的表達，因此針對機制1和機制2成功實施替換攻擊的可能性可以表達為：

這樣，在密鑰k是在密鑰空間K中被隨機選取的前提下，上述的可能性可以表達為：

|K|表示集合K的勢。從這個公式可以看出，為了獲得高安全性，檢驗值函數的碰撞概率就必須很低。這可以通過使用糾錯碼來構造檢驗函數來保證，附錄E給出了一個糾錯碼構造檢驗函數的方案。

基于上述分析，推薦使用16-20位的密鑰長度和16-20位的檢驗值長度。附錄E給出了一個表，列舉了對于16位和20位的長度，成功施行攻擊的可能性。

D.3　機制3和機制5的使用

機制3和機制5的安全性原理與機制1和機制2基本類似，不同的是使用摘要函數和雜湊函數來替代檢驗函數。雜湊函數在ISO/IEC 10118[11]中予以標準化，該標準中定義的雜湊函數均可用于機制3和機制5。

因為長隨機密鑰k被用于保證摘要函數要滿足的第二個條件（即摘要值碰撞），所以建議使用160位的k值。

鑒于摘要值是在設備A和設備B之間手工傳遞或手工比對的，建議使用輸出長度為b=16-20比特的短摘要函數。短摘要函數與消息鑒別算法類似，只是摘要值要短于消息鑒別碼的典型長度。短摘要值的可能構造方法包括使用消息鑒別碼或標準密碼雜湊算法輸出的前b個比特，文獻[25]的附錄G給出了建議。

有關機制3和機制5的安全性證明在文獻[24]中已經給出。

D.4　機制4和機制6的使用

機制4和機制6的安全性原理與機制1和機制2不同，使用雜湊函數來替代檢驗函數。雜湊函數在ISO/IEC 10118[11]中予以標準化，該標準中定義的雜湊函數均可用于機制4和機制6。

對于機制3和機制5，建議使用160比特位的k值。由于機制3和機制5涉及設備A與設備B之間短比特流R的手工傳遞或者對比，因此建議使用16-20位長度的比特流R。

有關機制4和機制6的安全性證明在文獻[24]中給出。

D.5　機制7和機制8的使用

機制7和機制8的安全性原理與機制1和機制2不同，使用消息鑒別函數來替代檢驗函數。消息鑒別函數在ISO/IEC 9797中予以標準化，該標準中定義的消息鑒別函數均可用于機制7和機制8。

16-20位的隨機比特串適用于機制7和機制8，但是消息鑒別碼位數應更長一些。用于機制7和機制8的消息鑒別函數的輸出應在128-160比特位范圍內。類似地，用于消息鑒別函數的隨機密鑰K**A和K**B（KAi和KBi）長度也應該在128-160比特位范圍內。超時程序則用于探測機制7和機制8可能出現的中斷。