Encryption

AES GCM 加密如何工作

  • July 22, 2022

以前,我使用 256 位密鑰和 128 位 IV 的 AES CBC 256。

但是它似乎很慢,所以我決定切換到 AES GCM 256 位密鑰,96 位 IV,其中有一些我不明白的部分,例如:

  1. Auth標籤:加密和解密時AES GCM的輸出需要它我可以將它添加到加密的密文中,以便在解密時立即可用嗎?還是需要對攻擊者隱藏?
  2. 重複使用的 IV 是否會導致 2 條消息的 2 條加密密文出現重複模式(2 條消息不同但某些字母可以相同)?
  3. 在 CBC 中重複使用 IV 是不好的,但在 GCM 中是災難性的。假設它只用於數據,1 個人的消息,而其他人有其唯一的 IV,而不是 nonce,它只用於一個人。是否適用?
  4. 什麼是 AuthenticatedData?https://developer.apple.com/documentation/cryptokit/aes/gcm/3243034-seal

(AES-256 CBC)似乎很慢

對於給定數量的加密數據,AES-256 GCM 加密使用與 AES-256 CBC 大約相同數量的 AES 操作(通常多 1 個)。AES-256 GCM 可能更快的原因僅限於:

  • 如果實現使用並行化,或者以其他方式得到更好的優化
  • 明文的相當大一部分被視為經過驗證的數據(如下所述)
  • AES-256 GCM 與 AES-256 CBC + 一些身份驗證器進行比較(例如,帶有派生密鑰的 CBC-MAC)

身份驗證標籤:它是密文的一部分,明文。它通常在最後,並且必須用於所謂的“線上算法”,因為只有在處理完整個明文之後,發送方才知道該標籤。

重用IV:在AES-GCM中這是一場災難,因為不同明文中給定位置的字節/字母的異或匹配密文中該位置的字節異或。是的,這意味著(並且比問題中的“重複模式”更糟糕)。如果這是一個問題,請使用AES-GCM-SIV

在 AES-CBC 中重用 IV 是不好的,但如果密文的前 16 個字節不同,則不太可能成為實際災難。

Authenticated Data:這是明文的可選部分,未加密,但仍由 AES-GCM 的 GCM 部分進行身份驗證。這很有用,因為

  • 數據(例如路由資訊)仍然可以理解
  • 不加密數據可以節省處理時間和電力。

引用自:https://crypto.stackexchange.com/questions/101106