使用 AES-256-GCM,僅依靠 MAC 時,您的安全性是否只有 128 位?
由於 AES-256-GCM 的最大身份驗證標籤 (MAC) 大小為 16 字節,
並且鑑於在一種實現中,破壞 MAC 會破壞安全性(例如,當使用布爾“解密”來拒絕或允許訪問時),
在 cipherText 中使用額外的 MAC 會是一個好主意,還是過度設計?
兩者有本質的區別 $ k $ -bit 位安全 a $ k $ -bit 鍵給出,並且 $ t $ -位安全性 $ t $ -bit 身份驗證標籤給出。
在密鑰的情況下,攻擊者可以通過蠻力嘗試密鑰,並且在嘗試之後 $ 2^n $ 密鑰的安全性降低 $ k $ 至 $ k-n $ -bit,就是有機率 $ 1/2^{\approx\max(k-n,0)} $ 密鑰搜尋成功。 $ n $ 僅受對手計算能力的限制。 $ n=96 $ 如果賭注很高,可能是現實的(見這個)。
在標籤的情況下,攻擊者可以嘗試標籤,然後嘗試 $ 2^n $ 他們有機率 $ 1/2^{\approx\max(t-n,0)} $ 到達了正確的標籤。但他們只能通過與實體(設備、服務)互動來驗證它。這嚴重限制了 $ n $ . 例如,使用 1 Gbit/s 鏈路和每次嘗試 128 位,我們在 $ n<48 $ 一年後。
還有一些其他區別:
由於這些原因,除了比蠻力攻擊更好的攻擊(例如,平台妥協、側通道、IV 重用、密碼分析、分區 Oracle 攻擊,如果適用的話[見這個]…),一個 128 位標籤在每個應用程序中似乎都很好,當一個當長期保密很重要時,128 位對稱密鑰可能更接近高風險安全性問題。
在 cipherText 中使用額外的 MAC 會是一個好主意,還是過度設計?
如果唯一關心的是標籤的大小,那將是過度工程。另一方面,如果它為 MAC 使用了不同的密鑰,或者/或者它在那裡減輕了一些真正的威脅,而不是猜測標籤,它可能會增加利用的障礙。