Aes

是否可以調整 AES-GCM 以使其對整個磁碟加密(如 XTS 模式)感到滿意?

  • April 9, 2015

是否可以利用現有的 AES-GCM 實現來提供全盤加密所必需的關鍵安全優勢(類似於 AES-XTS)?

GCM 是一種流行的加密模式,由多個庫支持並在硬體中快速實現,並且 GCM 本身俱有很好的屬性,包括並行性。由於 GCM 的內置身份驗證功能及其性能,將其作為起點是有益的;硬體實現可以將 AES-GCM 實現為獨立的性能常式。

但另一方面,GCM 的一個關鍵要求(對其安全性至關重要)是它必須具有唯一的隨機 IV,就像 CCM 一樣。因此,如果選擇的 IV 來自扇區或塊偏移(即使有中間雜湊),那麼在磁碟上寫入和覆蓋數據的事實是很常見的(加上 GCM 和 CCM 的行為幾乎像流ciphers) 使得以這種確定性方式導出 IV 具有潛在危險。但就像許多加密模式基於加密原語的組合一樣,我想知道是否可以從 GCM(及其 AEAD 屬性)開始並在此基礎上獲得在扇區偏移處寫入磁碟的安全能力。

ZFS 文件系統在 CCM 或 GCM 模式下使用 AES。這是因為在 ZFS 中數據和文件系統元數據是加密的,但塊指針是明文的,AuthTag (MAC) 儲存在塊指針中。ZFS 還具有基於塊指針的基於 SHA256 的 merkle 樹,用於重新同步和導航目的的數據完整性。

請注意,ZFS 是文件系統(實際上實際上是基於對象)加密,它並不聲稱是“全盤加密”。

有關更多詳細資訊,請參見此處:https ://blogs.oracle.com/darren/entry/zfs_encryption_what_is_on

Darren J Moffat(ZFS 加密的架構師和首席開發人員)。

如果您不介意密文比明文長,GCM 非常適合儲存加密。每次將塊寫入磁碟時,選擇一個新的隨機數並將生成的密文寫入磁碟。(您可以要求更強大的安全屬性,但隨後一切都變得更加昂貴。基本上,為標籤建構樹形結構。讀取和寫入不再是恆定時間,而是磁碟大小的對數。這對旋轉磁碟不利當您有大量的搜尋時間時,但其他情況可能沒問題。)

如果你想要非擴展加密(密文長度與明文長度相同),那麼GCM是不合適的,因為IV的重用時它很弱,並且沒有身份驗證標籤的空間(沒有身份驗證的GCM只是一種形式計數器模式)。

如果您只有 GCM 的黑盒實現,我預計很難以任何明智的方式將其用作安全非擴展方案的建構塊。

如果您可以訪問用於建構 GCM 的組件(分組密碼、有限域算法等),那麼它們可能對建構安全方案很有用。

引用自:https://crypto.stackexchange.com/questions/14576