Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску

Аутентифицированное шифрование ( AE ) и аутентифицированное шифрование со связанными данными ( AEAD ) - это формы шифрования, которые одновременно обеспечивают конфиденциальность и подлинность данных.

Гарантии безопасности [ править ]

Помимо защиты целостности и конфиденциальности сообщений, аутентифицированное шифрование может обеспечить защиту от атаки с выбранным зашифрованным текстом.. В этих атаках злоумышленник пытается получить преимущество перед криптосистемой (например, информацию о секретном ключе дешифрования), отправляя тщательно выбранные зашифрованные тексты некоему «оракулу дешифрования» и анализируя дешифрованные результаты. Аутентифицированные схемы шифрования могут распознавать неправильно построенные зашифрованные тексты и отказываться их расшифровывать. Это, в свою очередь, не позволяет злоумышленнику запрашивать расшифровку любого зашифрованного текста, если он не был правильно сгенерирован с использованием алгоритма шифрования, что означает, что открытый текст уже известен. Правильно реализованное шифрование с проверкой подлинности устраняет полезность оракула дешифрования, не позволяя злоумышленнику получить полезную информацию, которой у злоумышленника еще нет.

Многие специализированные режимы аутентифицированного шифрования были разработаны для использования с симметричными блочными шифрами . Однако аутентифицированное шифрование может быть в общем построено путем объединения схемы шифрования и кода аутентификации сообщения (MAC) при условии, что:

Интерфейс программирования [ править ]

Типичный программный интерфейс для реализации AE предоставляет следующие функции:

  • Шифрование
    • Ввод: открытый текст , ключ и, необязательно, заголовок в виде открытого текста, который не будет зашифрован, но будет защищен аутентификацией.
    • Вывод: зашифрованный текст и тег аутентификации ( код аутентификации сообщения ).
  • Расшифровка
    • Ввод: зашифрованный текст , ключ , тег аутентификации и, возможно, заголовок (если он используется во время шифрования).
    • Вывод: открытый текст или ошибка, если тег аутентификации не соответствует предоставленному зашифрованному тексту или заголовку .

Заголовок часть предназначена для обеспечения подлинности и целостности защиты сетей или метаданные хранения , для которых конфиденциальность является ненужной, но подлинность желательна.

История [ править ]

Потребность в аутентифицированном шифровании возникла из наблюдения, что безопасное сочетание отдельных режимов конфиденциальности и аутентификации блочного шифра может быть подвержено ошибкам и затруднено. [1] [2] Это было подтверждено рядом практических атак, введенных в производственные протоколы и приложения из-за неправильной реализации или отсутствия аутентификации (включая SSL / TLS ). [3]

Примерно в 2000 году ряд усилий был направлен на концепцию стандартизации режимов, обеспечивающих правильную реализацию. В частности, большой интерес к возможно безопасным режимам был вызван публикацией в 2000 г. режима CBC с учетом целостности и параллелизируемого режима с учетом целостности, IAPM [4] Чаранджита Джутлы (см. OCB и хронологию [5] ). Шесть различных режимов аутентифицированного шифрования (а именно режим кодовой книги смещения 2.0 , OCB  2.0; Key Wrap ; счетчик с CBC-MAC , CCM; шифрование, затем аутентификация, затем перевод , EAX; шифрование, затем MAC , EtM; и режим Галуа / счетчика, GCM) были стандартизированы в ISO / IEC 19772: 2009. [6] В ответ на запрос NIST были разработаны более аутентифицированные методы шифрования . [7] Функции Sponge можно использовать в дуплексном режиме для обеспечения аутентифицированного шифрования. [8]

Bellare и Namprempre (2000) проанализировали три композиции примитивов шифрования и MAC и продемонстрировали, что шифрование сообщения и последующее применение MAC к зашифрованному тексту ( подход « шифрование-затем-MAC» ) подразумевает защиту от атаки с адаптивным выбранным шифротекстом , при условии, что и то, и другое. функции соответствуют минимально требуемым свойствам. Кац и Юнг исследовали понятие под названием «неподдельное шифрование» и доказали, что оно подразумевает защиту от атак с выбранным шифротекстом. [9]

В 2013 году был объявлен конкурс на разработку режимов аутентифицированного шифрования. [10]

Аутентифицированное шифрование со связанными данными (AEAD) [ править ]

AEAD - это вариант AE, который позволяет получателю проверять целостность как зашифрованной, так и незашифрованной информации в сообщении. [11] AEAD привязывает ассоциированные данные (AD) к зашифрованному тексту и к контексту, в котором он должен появиться, так что попытки «вырезать и вставить» действительный зашифрованный текст в другой контекст обнаруживаются и отклоняются.

Это требуется, например, для сетевых пакетов или кадров, где заголовок требует видимости, полезной нагрузки требуется конфиденциальность , а также требуется целостность и аутентичность .

Подходы к аутентифицированному шифрованию [ править ]

Шифрование, затем MAC (EtM) [ редактировать ]

EtM подход

Открытый текст сначала зашифровывается, затем на основе полученного зашифрованного текста создается MAC. Зашифрованный текст и его MAC отправляются вместе. Используется, например, в IPsec . [12] Стандартный метод согласно ISO / IEC 19772: 2009. [6] Это единственный метод, который может достичь наивысшего уровня безопасности в AE, но это может быть достигнуто только в том случае, если используемый MAC является «строго неподдающимся подделке». [13] В ноябре 2014 года расширение TLS и DTLS для EtM было опубликовано как RFC 7366 . Для SSHv2 также существуют различные наборы шифров EtM (например,[email protected]).

Обратите внимание, что разделение ключей является обязательным (для шифрования и для ключевого хэша должны использоваться разные ключи), в противном случае это потенциально небезопасно в зависимости от конкретного метода шифрования и используемой хеш-функции. [14]

Шифрование и MAC (E&M) [ редактировать ]

E&M подход

MAC создается на основе открытого текста, а открытый текст зашифрован без MAC. MAC открытого текста и зашифрованный текст отправляются вместе. Используется, например, в SSH . [15] Хотя не было доказано, что подход E&M сам по себе является сильно неподдающимся подделке, [13] можно применить некоторые незначительные модификации к SSH, чтобы сделать его совершенно неподдающимся подделке, несмотря на подход. [ необходима цитата ]

MAC-затем-шифрование (MtE) [ редактировать ]

Подход MtE

MAC создается на основе открытого текста, затем открытый текст и MAC вместе зашифровываются для создания зашифрованного текста на основе обоих. Зашифрованный текст (содержащий зашифрованный MAC) отправляется. Используется, например, в SSL / TLS . [16] Несмотря на то, что подход MtE сам по себе не доказал, что его невозможно подделать, [13] реализация SSL / TLS была доказана Кравчиком как неподдающаяся подделке. кодировка, используемая вместе с механизмом MtE. [17] [ сомнительно - обсудить ]Несмотря на теоретическую безопасность, более глубокий анализ SSL / TLS смоделировал защиту как MAC-then-pad-then-encrypt, то есть открытый текст сначала дополняется до размера блока функции шифрования. Ошибки заполнения часто приводят к обнаруживаемым ошибкам на стороне получателя, что, в свою очередь, приводит к атакам оракула заполнения , таким как Lucky Thirteen .

См. Также [ править ]

  • Режим работы блочного шифра
  • CCM режим
  • CWC режим
  • Режим OCB
  • Режим EAX
  • Поли1305
  • GCM
  • GCM-SIV
  • SGCM
  • Шифрование подписи

Ссылки [ править ]

  1. ^ М. Белларе; П. Рогавей; Д. Вагнер. «Обычный режим аутентифицированного шифрования» (PDF) . NIST . Проверено 12 марта 2013 года . у людей дела шли довольно плохо, когда они пытались склеить традиционную (только конфиденциальную) схему шифрования и код аутентификации сообщения (MAC)
  2. ^ Т. Коно; Дж. Вьега и Д. Уайтинг. «Режим аутентифицированного шифрования (связанных данных) CWC» (PDF) . NIST . Проверено 12 марта 2013 года . очень легко случайно объединить безопасные схемы шифрования с безопасными MAC-адресами и при этом получить небезопасные аутентифицированные схемы шифрования
  3. ^ «Сбои в криптографии с секретным ключом» (PDF) . Дэниел Дж. Бернштейн. Архивировано из оригинального (PDF) 18 апреля 2013 года . Проверено 12 марта 2013 года .
  4. ^ Jutl, Charanjit С. (2000-08-01). «Режимы шифрования с почти свободной целостностью сообщений» . Cryptology ePrint Archive: Report 2000/039 . Слушания IACR EUROCRYPT 2001. IACR . Проверено 16 марта 2013 .
  5. ^ Т. Кровец; П. Рогавей (01.03.2011). «Программные характеристики режимов аутентифицированного шифрования» (PDF) . Быстрое программное шифрование 2011 (FSE 2011) . МАКР .
  6. ^ а б «Информационные технологии - Методы безопасности - Аутентифицированное шифрование» . 19772: 2009 . ИСО / МЭК . Проверено 12 марта 2013 года .
  7. ^ «Разработка режимов шифрования» . NIST . Проверено 17 апреля 2013 года .
  8. ^ Команда Keccak. «Двусторонняя печать губки» (PDF) .
  9. ^ Кац, Дж .; Юнг, М. (2001). Б. Шнайер (ред.). Неподдельное шифрование и режимы работы с выбранным зашифрованным текстом . Fast Software Encryption (FSE): Труды 2000 . Конспект лекций по информатике. 1978 . С. 284–299. DOI : 10.1007 / 3-540-44706-7_20 . ISBN 978-3-540-41728-6.
  10. ^ «CAESAR: Конкуренция за аутентифицированное шифрование: безопасность, применимость и надежность» . Проверено 12 марта 2013 года .
  11. ^ «NIST выпускает первый призыв к« облегченной криптографии »для защиты малогабаритной электроники» . 2018-04-18 . Проверено 4 сентября 2019 .
  12. ^ «Отдельные алгоритмы конфиденциальности и целостности» . RFC 4303 . Инженерная группа Интернета (IETF) . Проверено 12 сентября 2018 .
  13. ^ a b c «Аутентифицированное шифрование: отношения между понятиями и анализ общей парадигмы композиции» . M. Bellare и C. Namprempre . Проверено 13 апреля 2013 года .
  14. ^ Menezes, A .; van Oorschot, P .; Ванстон, С. (1996). Справочник по прикладной криптографии (глава 9, пример 9.88) . ISBN 0-8493-8523-7.
  15. ^ «Целостность данных» . RFC 4253 . Инженерная группа Интернета (IETF) . Проверено 12 сентября 2018 .
  16. ^ «Запись защиты полезной нагрузки» . RFC 5246 . Инженерная группа Интернета (IETF) . Проверено 12 сентября 2018 .
  17. ^ «Порядок шифрования и аутентификации для защиты коммуникаций (или: насколько безопасен SSL?)» (PDF) . Х. Кравчик . Проверено 13 апреля 2013 года .
Общий
  • Bellare, M .; Namprempre, C. (2000), T. Okamoto (редактор), «Аутентифицированное шифрование: взаимосвязь между понятиями и анализ общей парадигмы композиции» , Extended Abstract in Advances in Cryptology: Asiacrypt 2000 Proceedings , Lecture Notes in Computer Science, Springer -Verlag, 1976 : 531, DOI : 10.1007 / 3-540-44448-3_41 , ISBN 978-3-540-41404-9

Внешние ссылки [ править ]

  • NIST: разработка режимов
  • Как выбрать режим аутентифицированного шифрования