Аутентифицированное шифрование - Authenticated encryption
Аутентифицирован шифрование (AE) и аутентифицированное шифрование со связанными данными (AEAD) являются формами шифрования, которые одновременно обеспечивают конфиденциальность и подлинность данных.
Гарантии безопасности
Помимо защиты целостности и конфиденциальности сообщений, аутентифицированное шифрование может обеспечить защиту от атака по выбранному зашифрованному тексту. В этих атаках злоумышленник пытается получить преимущество перед криптосистемой (например, информацию о секретном ключе дешифрования), отправляя тщательно выбранные зашифрованные тексты некоему «оракулу дешифрования» и анализируя дешифрованные результаты. Аутентифицированные схемы шифрования могут распознавать неправильно построенные зашифрованные тексты и отказываться их расшифровывать. Это, в свою очередь, не позволяет злоумышленнику запрашивать расшифровку любого зашифрованного текста, если он не был правильно сгенерирован с использованием алгоритма шифрования, что означает, что открытый текст уже известен. Правильно реализованное шифрование с аутентификацией устраняет полезность оракула дешифрования, не позволяя злоумышленнику получить полезную информацию, которой злоумышленник еще не обладает.
Многие специализированные режимы аутентифицированного шифрования были разработаны для использования с симметричным блочные шифры. Однако аутентифицированное шифрование может быть в общем построено путем объединения схемы шифрования и код аутентификации сообщения (MAC) при условии, что:
- Схема шифрования семантически безопасный под атака по выбранному открытому тексту.
- Функцию MAC невозможно подделать под выбранное сообщение атака.
Интерфейс программирования
Типичный программный интерфейс для реализации AE предоставляет следующие функции:
- Шифрование
- Вход: простой текст, ключ, и необязательно заголовок в открытом виде, который не будет зашифрован, но будет защищен аутентификацией.
- Выход: зашифрованный текст и тег аутентификации (код аутентификации сообщения ).
- Расшифровка
- Вход: зашифрованный текст, ключ, тег аутентификации, и необязательно заголовок (если используется при шифровании).
- Выход: простой текст, или ошибка, если тег аутентификации не соответствует поставленному зашифрованный текст или же заголовок.
В заголовок Часть предназначена для обеспечения аутентичности и защиты целостности сетевых метаданных или метаданных хранилища, для которых конфиденциальность не требуется, но желательна аутентичность.
История
Необходимость аутентифицированного шифрования возникла из наблюдения, что безопасное объединение отдельных конфиденциальность и аутентификация режимы работы блочного шифра может быть подвержено ошибкам и сложно.[1][2] Это было подтверждено рядом практических атак, введенных в производственные протоколы и приложения из-за неправильной реализации или отсутствия аутентификации (включая SSL /TLS ).[3]
Примерно в 2000 году ряд усилий был направлен на концепцию стандартизации режимов, обеспечивающих правильную реализацию. В частности, большой интерес к возможно безопасным режимам был вызван публикацией Чаранджит Ютла CBC и параллелизируемый с учетом целостности, МАУП, режимы[4] в 2000 г. (см. OCB и хронология[5]Шесть различных режимов аутентифицированного шифрования (а именно режим кодовой книги смещения 2.0, OCB 2.0; Key Wrap; счетчик с CBC-MAC, СКК; зашифровать, затем аутентифицировать, затем перевести, EAX; encrypt-then-MAC, EtM; и Галуа / режим счетчика, GCM) были стандартизированы в ISO / IEC 19772: 2009.[6] Методы аутентифицированного шифрования были разработаны в ответ на NIST ходатайство.[7] Функции губки может использоваться в дуплексном режиме для обеспечения аутентифицированного шифрования.[8]
Bellare и Namprempre (2000) проанализировали три композиции примитивов шифрования и MAC и продемонстрировали, что шифрование сообщения и последующее применение MAC к зашифрованному тексту ( Шифрование, затем MAC подход) подразумевает защиту от адаптивная атака по выбранному зашифрованному тексту при условии, что обе функции соответствуют минимальным требованиям. Кац и Юнг исследовали понятие под названием «неподдельное шифрование» и доказали, что оно подразумевает защиту от атак с выбранным зашифрованным текстом.[9]
В 2013 году был объявлен конкурс на разработку режимов аутентифицированного шифрования.[10]
Аутентифицированное шифрование со связанными данными (AEAD)
AEAD - это вариант AE, который позволяет получателю проверять целостность как зашифрованной, так и незашифрованной информации в сообщении.[11] AEAD привязывает связанные данные (AD) к зашифрованному тексту и к контексту, в котором он должен появиться, так что попытки «вырезать и вставить» действительный зашифрованный текст в другой контекст обнаруживаются и отклоняются.
Это требуется, например, для сетевых пакетов или кадров, где заголовок требует видимости, а полезная нагрузка конфиденциальность, и оба нуждаются честность и подлинность.
Подходы к аутентифицированному шифрованию
Шифрование, затем MAC (EtM)
Открытый текст сначала зашифровывается, затем на основе полученного зашифрованного текста создается MAC. Зашифрованный текст и его MAC отправляются вместе. Используется, например, в IPsec.[12] Стандартный метод согласно ISO / IEC 19772: 2009.[6] Это единственный метод, который может достичь наивысшего уровня безопасности в AE, но это может быть достигнуто только в том случае, если используемый MAC "сильно не подделывается".[13] В ноябре 2014 г. TLS и DTLS расширение для EtM было опубликовано как RFC 7366. Для SSHv2 также существуют различные наборы шифров EtM (например, [email protected]).
Обратите внимание, что разделение ключей является обязательным (отдельные ключи должны использоваться для шифрования и для ключевого хэша), в противном случае это потенциально небезопасно в зависимости от конкретного метода шифрования и используемой хеш-функции.[14]
Шифрование и MAC (E&M)
MAC создается на основе открытого текста, а открытый текст зашифрован без MAC. MAC открытого текста и зашифрованный текст отправляются вместе. Используется, например, в SSH.[15] Несмотря на то, что подход E&M сам по себе не доказал свою неподкупность,[13] можно внести небольшие изменения в SSH чтобы сделать его сильно неподдающимся подделке, несмотря на подход.[нужна цитата ]
MAC-затем-шифрование (MtE)
MAC создается на основе открытого текста, затем открытый текст и MAC вместе зашифровываются для создания зашифрованного текста на основе обоих. Зашифрованный текст (содержащий зашифрованный MAC) отправляется. Используется, например, в SSL / TLS.[16] Несмотря на то, что подход MtE сам по себе не доказал свою неподкупность,[13] то SSL / TLS Кравчик показал, что реализация SSL / TLS на самом деле безопасна из-за кодирования, используемого вместе с механизмом MtE.[17][сомнительный ] Несмотря на теоретическую безопасность, более глубокий анализ SSL / TLS смоделировал защиту как MAC-затем-pad-then-encrypt, то есть открытый текст сначала дополняется до размера блока функции шифрования. Ошибки заполнения часто приводят к обнаруживаемым ошибкам на стороне получателя, что, в свою очередь, приводит к обивка оракул атаки, такие как Счастливая Тринадцать.
Смотрите также
- Режим работы блочного шифра
- CCM режим
- CWC режим
- Режим OCB
- Режим EAX
- Поли1305
- GCM
- GCM-SIV
- SGCM
- Шифрование подписи
Рекомендации
- ^ М. Белларе; П. Рогавей; Д. Вагнер. «Обычный режим аутентифицированного шифрования» (PDF). NIST. Получено 12 марта, 2013.
у людей дела шли довольно плохо, когда они пытались склеить традиционную (только конфиденциальную) схему шифрования и код аутентификации сообщения (MAC)
- ^ Т. Коно; Дж. Вьега и Д. Уайтинг. «Режим шифрования с аутентификацией CWC (связанных данных)» (PDF). NIST. Получено 12 марта, 2013.
очень легко случайно объединить безопасные схемы шифрования с безопасными MAC-адресами и при этом получить небезопасные аутентифицированные схемы шифрования
- ^ «Сбои в криптографии с секретным ключом» (PDF). Дэниел Дж. Бернштейн. Архивировано из оригинал (PDF) 18 апреля 2013 г.. Получено 12 марта, 2013.
- ^ Ютл, Чаранджит С. (1 августа 2000 г.). «Режимы шифрования с почти свободной целостностью сообщения». Cryptology ePrint Archive: Отчет 2000/039. Труды IACR EUROCRYPT 2001. МАКР. Получено 2013-03-16.
- ^ Т. Кровец; П. Рогавей (01.03.2011). «Программные характеристики режимов аутентифицированного шифрования» (PDF). Быстрое программное шифрование 2011 (FSE 2011). МАКР.
- ^ а б «Информационные технологии - Методы безопасности - Аутентифицированное шифрование». 19772:2009. ISO / IEC. Получено 12 марта, 2013.
- ^ «Разработка режимов шифрования». NIST. Получено 17 апреля, 2013.
- ^ Команда Keccak. "Двойная печать губки" (PDF).
- ^ Katz, J .; Юнг, М. (2001). Б. Шнайер (ред.). Непревзойденное шифрование и режимы работы с выбранным зашифрованным текстом. Fast Software Encryption (FSE): трудов 2000 г.. Конспект лекций по информатике. 1978. С. 284–299. Дои:10.1007/3-540-44706-7_20. ISBN 978-3-540-41728-6.
- ^ «CAESAR: конкуренция за аутентифицированное шифрование: безопасность, применимость и надежность». Получено 12 марта, 2013.
- ^ «NIST выпускает первый призыв к« облегченной криптографии »для защиты малой электроники». 2018-04-18. Получено 2019-09-04.
- ^ «Раздельные алгоритмы конфиденциальности и целостности». RFC 4303. Инженерная группа Интернета (IETF). Получено 2018-09-12.
- ^ а б c «Аутентифицированное шифрование: отношения между понятиями и анализ общей парадигмы композиции». М. Белларе и К. Нампремпре. Получено 13 апреля, 2013.
- ^ Menezes, A .; van Oorschot, P .; Ванстон, С. (1996). Справочник по прикладной криптографии (глава 9, пример 9.88). ISBN 0-8493-8523-7.
- ^ "Целостность данных". RFC 4253. Инженерная группа Интернета (IETF). Получено 2018-09-12.
- ^ «Защита записи данных». RFC 5246. Инженерная группа Интернета (IETF). Получено 2018-09-12.
- ^ «Порядок шифрования и аутентификации для защиты коммуникаций (или: насколько безопасен SSL?)» (PDF). Х. Кравчик. Получено 13 апреля, 2013.
- Общий
- Bellare, M .; Нампремпре, К. (2000), Т. Окамото (ред.), «Аутентифицированное шифрование: взаимосвязь между понятиями и анализ общей парадигмы композиции», Расширенная аннотация по достижениям в криптологии: Труды Asiacrypt 2000, Конспект лекций по информатике, Springer-Verlag, 1976: 531, Дои:10.1007/3-540-44448-3_41, ISBN 978-3-540-41404-9