Authenticated-Encryption
沒有顯式身份驗證標籤的 AEAD
我試圖了解標籤在 AEAD 中的用途。據我所知,由於身份驗證標籤,生成的密文將比明文略長。如果將身份驗證標籤嵌入到密文中(例如,通過對密文的最後一個塊執行異或/模加法),它會降低 AEAD 的安全性嗎?
正如RFC 5116中所討論的,AEAD 是加密和解密函式的元組:
- 一種加密函式,它採用密鑰、隨機數、明文和標頭(相關數據),並生成密文和標籤。
- 一個解密函式,它採用密鑰、隨機數、密文和標頭,並產生 1) 明文或 2) 解密失敗指示。
您關心的標籤部分用於驗證解密後的明文(粗略地說)。
但是,在現實世界中有時可能會遇到一個陷阱:nonce 必須是唯一的,大多數 AEAD 算法才能安全。所以聰明的人發明了“確定性認證加密”(簡稱 DAE,在某些情況下也稱為密鑰包裝)。這些加密算法宣傳“防誤用”的特性。AES-SIV就是這樣一個例子。