Aes

AES-PMAC-SIV AE算法

  • May 10, 2018

AES-SIV 是一種非常健壯和安全的算法,但性能不是很好。AES-PMAC-SIV 應該提供出色的並行化,提高性能並確保相同的穩健性。這方面的跡象可以在 Miscreant 的 GitHub 頁面IETF 郵件列表中找到。

它與其他經過身份驗證的加密 (AE) 算法相比如何?它是否具有成為流行算法並克服其他 AE 算法的技術潛力,也就是說,它在技術上(安全屬性/性能)是否在(許多?)方面優於其他目前(在某種程度上)廣泛使用的 AE 方案?

我不認為它會變得流行。AES-SIV 主要用作其確定性加密屬性的密鑰包裝機制。但是鍵通常很小。對於最少量的數據,當然不需要並行計算。

關於性能:是的,它可以並行化。但是在現代機器上,您可能需要大量增強功能才能在使用硬體加速的單執行緒上以 CTR 模式 + AES CMAC 擊敗 AES。英特爾的 AES-NI + GCM 加速可以在 Westmere 晶片(這是一個 2.4 GHz 的舊晶片)的單個核心上獲得 2 Gbps(請注意)的吞吐量 - 這在實際的 IPSEC 隧道內。您可能想要更快,但可能是系統的其他組件無法跟上。對於可以具有任意數量連接的伺服器組件:如果您有一個 8 核晶片(和 8 個連接),您可能很容易使 10 Gbps 網卡飽和。

AES-PMAC 仍然需要對每個明文塊進行單個 AES 塊加密。因此,即使它可以並行化,它也會被特殊的 MAC 構造(如 GMAC 或 Poly1305)所超越,這些構造不需要對每個明文塊進行分組密碼呼叫。您至少需要另一個執行緒來彌補性能上的差異,並且您仍然需要管理多執行緒。

我認為認證標籤是相對安全的,即使只有前 x 個字節用於認證標籤。這對於嵌入式平台來說可能很好,但那些通常不適合多執行緒/並行計算。與其他不具有此屬性的 MAC 構造相比,這無疑是一個優勢,但與 AES-SIV、AES-EAX 或 AES-CCM 等其他 MAC 構造相比卻沒有。


它可能會流行的一個很好的原因是,當加密社區決定從經過身份驗證的加密切換到在很大程度上不受隨機數重用(隨機數濫用抗性)的加密時。

但請注意,在 GCM 模式下使用的 GMAC 實際上也可以並行執行;將元件放在一起需要此處顯示的一些額外計算。因此,GCM-SIV 也可以並行執行,使用計算成本較低的 MAC 計算。SIV 模式下的 GCM 迴避了 nonce 的問題,這使得它對 nonce 重用極為敏感。使用分組密碼的 MAC 計算根本就沒有那麼高效。

引用自:https://crypto.stackexchange.com/questions/59076