Aes

NIST 的密鑰包裝方法?

  • June 6, 2017

NIST 已為密鑰包裝指定了完整的操作模式。與 CBC、CTR 或經過身份驗證的加密模式相比,密鑰包裝操作模式的優缺點是什麼?

存在差異(它們是 con’s 還是 pro’s 在某種程度上取決於您使用它的目的):

  • 表現; NIST 密鑰包裝比您列表中的任何其他內容都慢得多(並且不能並行化;您列表中的某些算法可以)。一方面,如果您將它用於密鑰包裝,那麼,我們通常不會如此頻繁地包裝/解開密鑰,這真的很重要。另一方面,您可能不想嘗試使用它來加密 10Gbps 鏈路上的數據包……
  • 正直; 如果攻擊者修改了一個密鑰包裹的密文,那麼機率大約是 $ 2^{-64} $ 即,在展開時,它將是一個有效(並且有效地隨機)的密鑰;這個機率大大高於經過身份驗證的加密模式(但優於沒有任何完整性保護的 CBC 或 CTR)。
  • 決定論;密鑰包裝算法是確定性的(基於包裝密鑰和明文);因此,如果您使用相同的包裝密鑰兩次包裝相同的密鑰,攻擊者可以檢測到;您列出的其他模式是隨機的。從好的方面來說,這意味著密鑰包裝機制不受“算法替換攻擊”的影響(攻擊者不使用真正的隨機隨機器,而是選擇洩露一些資訊的值)。此外,您可以通過將一些隨機數據與密鑰一起包含在內的簡單權宜之計使密鑰包裝隨機化(並且在解包後被丟棄)。
  • 密文成本;密鑰包裝將 64 位添加到明文長度(假設您要包裝的密鑰長度是 64 位的倍數);這比其他算法的成本更少。

您可能想知道加密強度的差異。實際上沒有區別;只要包裝密鑰是安全的,並且一切都正確完成,列出的這些方法中的任何一種基本上都不受密碼分析的影響。

引用自:https://crypto.stackexchange.com/questions/48000