Аутентифицированное шифрование
Из Википедии, свободной энциклопедии
  (Перенаправлено с Encrypt-then-MAC )
Перейти к навигации Перейти к поиску

Шифрование с проверкой подлинности ( AE ) и шифрование с проверкой подлинности со связанными данными ( AEAD ) — это формы шифрования, которые одновременно обеспечивают конфиденциальность и подлинность данных.

Гарантии безопасности

В дополнение к защите целостности и конфиденциальности сообщения шифрование с проверкой подлинности может обеспечить защиту от выбранной атаки с использованием зашифрованного текста.. В этих атаках злоумышленник пытается получить преимущество перед криптосистемой (например, информацию о секретном ключе дешифрования), отправляя тщательно подобранные зашифрованные тексты некоему «оракулу дешифрования» и анализируя расшифрованные результаты. Аутентифицированные схемы шифрования могут распознавать неправильно сконструированные зашифрованные тексты и отказываться их расшифровывать. Это, в свою очередь, не позволяет злоумышленнику запросить расшифровку любого зашифрованного текста, если только он не был правильно сгенерирован с использованием алгоритма шифрования, что означает, что открытый текст уже известен. Правильно реализованное аутентифицированное шифрование сводит на нет полезность оракула дешифрования, не позволяя злоумышленнику получить полезную информацию, которой у него еще нет.

Многие специализированные режимы шифрования с проверкой подлинности были разработаны для использования с симметричными блочными шифрами . Однако аутентифицированное шифрование может быть построено в общем случае путем объединения схемы шифрования и кода аутентификации сообщения (MAC) при условии, что:

Интерфейс программирования

Типичный программный интерфейс для реализации AE предоставляет следующие функции:

  • Шифрование
    • Ввод: открытый текст , ключ и, возможно, заголовок в открытом тексте, который не будет зашифрован, но будет защищен защитой подлинности.
    • Вывод: зашифрованный текст и тег аутентификации ( код аутентификации сообщения ).
  • Расшифровка
    • Входные данные: зашифрованный текст , ключ , тег аутентификации и, возможно, заголовок (если он используется во время шифрования).
    • Вывод: открытый текст или ошибка, если тег аутентификации не соответствует предоставленному зашифрованному тексту или заголовку .

Часть заголовка предназначена для обеспечения аутентичности и защиты целостности метаданных сети или хранилища, для которых конфиденциальность не требуется, но желательна аутентичность.

История

Потребность в аутентифицированном шифровании возникла из наблюдения, что безопасное сочетание отдельных режимов работы блочного шифра конфиденциальности и аутентификации может быть подвержено ошибкам и затруднено. [1] [2] Это было подтверждено рядом практических атак, внедренных в рабочие протоколы и приложения из-за неправильной реализации или отсутствия аутентификации (включая SSL/TLS). [3]

Примерно в 2000 году был предпринят ряд усилий, направленных на стандартизацию режимов, обеспечивающих правильную реализацию. В частности, сильный интерес к возможно безопасным режимам был вызван публикацией в 2000 году Чаранджита Ютлы CBC с поддержкой целостности и параллелизируемых режимов с поддержкой целостности IAPM [4] (см. OCB и хронологию [5] ). Шесть различных режимов аутентифицированного шифрования (а именно: режим смещенной кодовой книги 2.0 , OCB  2.0; Key Wrap ; счетчик с CBC-MAC , CCM; шифрование, затем аутентификация, затем перевод , EAX; шифрование, затем MAC , EtM; и режим Галуа/счетчика ., GCM) были стандартизированы в ISO/IEC 19772:2009. [6] В ответ на запрос NIST были разработаны более аутентифицированные методы шифрования . [7] Функции Sponge можно использовать в дуплексном режиме для обеспечения шифрования с проверкой подлинности. [8]

Bellare и Namprempre (2000) проанализировали три комбинации примитивов шифрования и MAC и продемонстрировали, что шифрование сообщения и последующее применение MAC к зашифрованному тексту ( подход Encrypt-then-MAC ) предполагает защиту от атаки с адаптивным выбранным зашифрованным текстом , при условии, что оба функции удовлетворяют минимальным требуемым свойствам. Кац и Юнг исследовали это понятие под названием «не поддающееся подделке шифрование» и доказали, что оно подразумевает защиту от атак с выбранным шифротекстом. [9]

В 2013 году был объявлен конкурс на поощрение разработки режимов шифрования с проверкой подлинности. [10]

Аутентифицированное шифрование со связанными данными (AEAD)

AEAD — это вариант AE, который позволяет получателю проверять целостность как зашифрованной, так и незашифрованной информации в сообщении. [11] AEAD привязывает связанные данные (AD) к зашифрованному тексту и к контексту, в котором они должны появляться, так что попытки «вырезать и вставить» действительный зашифрованный текст в другой контекст обнаруживаются и отвергаются.

Это требуется, например, для сетевых пакетов или фреймов, где заголовку нужна видимость, полезной нагрузке нужна конфиденциальность , а также целостность и подлинность .

Подходы к аутентифицированному шифрованию

Зашифровать-затем-MAC (EtM)

подход ETM

Открытый текст сначала шифруется, затем на основе полученного зашифрованного текста создается MAC. Зашифрованный текст и его MAC отправляются вместе. Используется, например, в IPsec. [12] Стандартный метод согласно ISO/IEC 19772:2009. [6] Это единственный метод, который может обеспечить высочайшее определение безопасности в AE, но это может быть достигнуто только в том случае, если используемый MAC «абсолютно не поддается подделке». [13] В ноябре 2014 года расширение TLS и DTLS для EtM было опубликовано как RFC  7366 . Для SSHv2 также существуют различные наборы шифров EtM (например,[email protected]).

Обратите внимание, что разделение ключей является обязательным (для шифрования и хеширования с ключом должны использоваться разные ключи), в противном случае оно потенциально небезопасно в зависимости от конкретного метода шифрования и используемой хэш-функции. [14]

Шифрование и MAC (E&M)

Подход ЭиМ

MAC создается на основе открытого текста, а открытый текст шифруется без MAC. MAC-адрес открытого текста и зашифрованный текст отправляются вместе. Используется, например, в SSH . [15] Несмотря на то, что подход E&M сам по себе не является полностью не поддающимся подделке, [13] можно применить некоторые незначительные модификации к SSH , чтобы сделать его строго не поддающимся подделке, несмотря на подход. [16]

MAC-затем-шифрование (MtE)

подход MtE

MAC создается на основе открытого текста, затем открытый текст и MAC совместно шифруются для создания зашифрованного текста на основе обоих. Зашифрованный текст (содержащий зашифрованный MAC) отправляется. Используется, например, в SSL/TLS . [17] Несмотря на то, что подход MtE не был полностью защищен от подделки сам по себе, [13] реализация SSL/TLS была доказана Кравчиком, который показал, что SSL/TLS на самом деле был безопасным из-за кодирование, используемое вместе с механизмом MtE. [18] [ сомнительно - обсудить ]Несмотря на теоретическую безопасность, более глубокий анализ SSL/TLS смоделировал защиту как MAC-затем-заполнение-затем-шифрование, т. е. открытый текст сначала дополняется до размера блока функции шифрования. Ошибки заполнения часто приводят к обнаруживаемым ошибкам на стороне получателя, что, в свою очередь, приводит к атакам оракула заполнения , таким как Lucky Thirteen .

Смотрите также

  • Режим работы блочного шифра
  • режим СКК
  • режим CWC
  • режим ОСВ
  • режим EAX
  • ГКМ
  • ГКМ-СИВ
  • СГКМ
  • Шифрование подписи

использованная литература

  1. ^ М. Белларе; П. Рогауэй; Д. Вагнер. «Обычный режим шифрования с проверкой подлинности» (PDF) . НИСТ . Проверено 12 марта 2013 г. люди довольно плохо справлялись, когда пытались склеить традиционную (только конфиденциальную) схему шифрования и код аутентификации сообщений (MAC)
  2. ^ Т. Коно; Дж. Вьега и Д. Уайтинг. «Режим шифрования с проверкой подлинности CWC (ассоциированные данные)» (PDF) . НИСТ . Проверено 12 марта 2013 г. очень легко случайно скомбинировать безопасные схемы шифрования с безопасными MAC-адресами и все равно получить небезопасные схемы шифрования с проверкой подлинности.
  3. ^ «Ошибки криптографии с секретным ключом» (PDF) . Дэниел Дж. Бернштейн. Архивировано из оригинала (PDF) 18 апреля 2013 года . Проверено 12 марта 2013 г.
  4. ^ Ютл, Чаранджит С. (01.08.2000). «Режимы шифрования с почти полной целостностью сообщения» . Архив криптологии ePrint: отчет 2000/039 . Труды IACR EUROCRYPT 2001. IACR . Проверено 16 марта 2013 г. .
  5. ^ Т. Кровец; П. Рогауэй (01 марта 2011 г.). «Производительность программного обеспечения в режимах шифрования с проверкой подлинности» (PDF) . Быстрое программное шифрование 2011 (FSE 2011) . ИАКР .
  6. ^ a b "Информационные технологии. Методы обеспечения безопасности. Шифрование с проверкой подлинности" . 19772:2009 . ИСО/МЭК . Проверено 12 марта 2013 г.
  7. ^ «Разработка режимов шифрования» . НИСТ . Проверено 17 апреля 2013 г.
  8. ^ Команда Кеккак. «Дуплекс губки» (PDF) .
  9. ^ Кац, Дж .; Юнг, М. (2001). Б. Шнайер (ред.). Неподдельное шифрование и безопасные режимы работы с выбранным шифротекстом . Быстрое программное шифрование (FSE): материалы 2000 г. . Конспект лекций по информатике. 1978 . стр. 284–299. doi : 10.1007/3-540-44706-7_20 . ISBN 978-3-540-41728-6.
  10. ^ «CAESAR: Конкуренция за аутентифицированное шифрование: безопасность, применимость и надежность» . Проверено 12 марта 2013 г.
  11. ^ «NIST выпускает первый призыв к« облегченной криптографии »для защиты малой электроники» . 2018-04-18 . Проверено 4 сентября 2019 г. .
  12. ^ «Отдельные алгоритмы конфиденциальности и целостности» . RFC 4303 . Инженерная рабочая группа Интернета (IETF) . Проверено 12 сентября 2018 г. .
  13. ^ a b c «Шифрование с проверкой подлинности: отношения между понятиями и анализ общей парадигмы композиции» . М. Белларе и К. Нампремпре . Проверено 13 апреля 2013 года .
  14. ^ Менезес, А .; ван Оршот, П.; Ванстон, С. (1996). Справочник по прикладной криптографии (глава 9, пример 9.88) . ISBN 0-8493-8523-7.
  15. ^ «Целостность данных» . RFC 4253 . Инженерная рабочая группа Интернета (IETF) . Проверено 12 сентября 2018 г. .
  16. ^ Белларе, Михир; Коно, Тадаёси; Нампремпре, Чанатип. «Взлом и доказуемое восстановление схемы шифрования с аутентификацией SSH: пример парадигмы кодирования, затем шифрования и MAC» (PDF) . Транзакции ACM по информационной и системной безопасности . Проверено 30 августа 2021 года .
  17. ^ «Защита от записи полезной нагрузки» . RFC 5246 . Инженерная рабочая группа Интернета (IETF) . Проверено 12 сентября 2018 г. .
  18. ^ «Порядок шифрования и аутентификации для защиты связи (или: насколько безопасен SSL?)» (PDF) . Х. Кравчик . Проверено 13 апреля 2013 года .
Общий
  • Белларе, М.; Нампремпре, К. (2000), Т. Окамото (редактор), «Аутентифицированное шифрование: отношения между понятиями и анализ общей парадигмы композиции» , Расширенный реферат в достижениях в области криптологии: материалы Asiacrypt 2000 , Конспект лекций по информатике, Springer -Verlag, 1976 : 531, doi : 10.1007/3-540-44448-3_41 , ISBN 978-3-540-41404-9

внешняя ссылка

  • NIST: разработка режимов
  • Как выбрать режим авторизованного шифрования
Получено с https://en.wikipedia.org/w/index.php?title=Authenticated_encryption&oldid=1062456166#Encrypt-then-MAC .
Contribute a better translation