OMAC/CMAC

Le operazioni preliminari sono la scelta di un algoritmo di crittografia a blocchi ${\displaystyle E}$  (indicheremo con n la lunghezza in bit del blocco) e della lunghezza del codice CMAC ${\displaystyle t}$ . Non ci sono restrizioni sull'algoritmo crittografico da utilizzare.

Occorre, inoltre, che i due interlocutori condividano una chiave segreta di ${\displaystyle k}$  bit che servirà come chiave per l'algoritmo ${\displaystyle E}$  precedentemente selezionato.

A questo punto il processo di generazione si articola nei seguenti passi:

1. Per prima cosa si cripta un blocco di n bit tutti pari a 0 (chiamiamolo 0n) ottenendo un certo valore ${\displaystyle L=E\ (K,\ 0n)}$ .
2. Si controlla se il bit più significativo di L è 0: se ciò accade si effettua uno shift di un bit nella direzione del bit più significativo. Il bit più significativo viene, quindi, scartato ed uno 0 viene posto nel bit meno significativo. Chiameremo il risultato ${\displaystyle L.u}$ . Quindi ${\displaystyle L.u\ =L<<1}$ , che equivale a quanto detto prima. In caso contrario ${\displaystyle L.u=L<<1\oplus Costante}$ , dove ${\displaystyle Costante}$  is the n-bit constant.

    

3. Si controlla il bit più significativo di ${\displaystyle L.u}$ . Se è pari a 0 allora ${\displaystyle L.u^{2}=\ (L.u)<<1}$ , diversamente ${\displaystyle L.u^{2}=\ ((L.u)<<1)\oplus Costante}$ .
4. A questo punto si memorizzano sia ${\displaystyle L.u}$  che ${\displaystyle L.u^{2}}$ .

Sia M il messaggio. Si suddivide il messaggio M in blocchi di n bit.

1. ${\displaystyle Y[0]=0^{n}}$ , che significa riempire Y[0] con un numero n di 0.
2. Per ogni i da 1 a m-1: ${\displaystyle Y[i]=E(K,M[i]\oplus Y[i-1])}$ .
3. Se la lunghezza dell'ultimo blocco del messaggio è di n bit allora ${\displaystyle X[m]=M[m]\oplus Y[m-1]\oplus L.u}$ , altrimenti effettua il padding sull'ultimo blocco aggiungendo 1 seguito da tanti 0 quanti sono necessari a ricondurre il blocco ad una lunghezza di n bit e poi calcola ${\displaystyle X[m]=M[m]\oplus Y[m-1]\oplus L.u^{2}}$ .
4. ${\displaystyle T\ =E(K,X[m])}$ .
5. Il codice MAC sarà il troncamento di T a t bit.

• (EN) (PDF)T. Iwata and K. Kurosawa. OMAC: One-Key CBC MAC. Fast Software Encryption, FSE 2003, LNCS 2887, pp. 129–153. Springer-Verlag (February 24, 2003, Lund, Sweden).

• CBC-MAC

• (EN) Tetsu Iwata (2006) OMAC: One-Key CBC MAC
• (EN) (PDF)T. Iwata and K. Kurosawa. OMAC: One-Key CBC MAC. NIST submission (December 20, 2002).
• (EN) (PDF)T. Iwata and K. Kurosawa. OMAC test vectors. NIST submission (December 20, 2002).
• (EN) (PDF)T. Iwata and K. Kurosawa. OMAC: One-Key CBC MAC --- addendum. NIST submission (March 10, 2003).
• (EN) (PDF)T. Iwata and K. Kurosawa. Stronger security bounds for OMAC, TMAC and XCBC. Comment to NIST (April 30, 2003).
• (EN) (PDF)T. Iwata. Comparison of CBC MAC variants and comments on NIST's consultation paper. Comment to NIST (May 5, 2003).