Аутентифицированное шифрование

Аутентифицированное шифрование (AE) — это схема шифрования , которая одновременно обеспечивает конфиденциальность данных (также известную как конфиденциальность: зашифрованное сообщение невозможно понять без знания секретного ключа). ^{[ 1 ]}) и подлинность (другими словами, ее невозможно подделать: ^{[ 2 ]} зашифрованное сообщение включает в себя тег аутентификации , который отправитель может вычислить только при наличии секретного ключа. ^{[ 1 ]}). Примерами режимов шифрования , обеспечивающих AE, являются GCM , CCM . ^{[ 1 ]}

Многие (но не все) схемы AE позволяют сообщению содержать «связанные данные» (AD), которые не являются конфиденциальными, но их целостность защищена (т. е. они доступны для чтения, но будет обнаружено несанкционированное вмешательство в них). Типичным примером является заголовок сетевого пакета , содержащий адрес назначения. Чтобы правильно маршрутизировать пакет, все промежуточные узлы на пути сообщения должны знать пункт назначения, но по соображениям безопасности они не могут обладать секретным ключом. ^{[ 3 ]} Схемы, которые позволяют ассоциировать данные, обеспечивают аутентифицированное шифрование связанных данных , или AEAD . ^{[ 3 ]}

Интерфейс программирования

Типичный программный интерфейс для реализации AE предоставляет следующие функции:

Шифрование
- Входные данные: открытый текст , ключ и, при необходимости, заголовок (также известный как дополнительные аутентифицированные данные , AAD или связанные данные , AD ) в виде открытого текста, который не будет зашифрован, но будет защищен защитой подлинности.
- Вывод: зашифрованный текст и тег аутентификации ( код аутентификации сообщения или MAC).
Расшифровка
- Входные данные: зашифрованный текст , ключ , тег аутентификации и, возможно, заголовок (если он используется во время шифрования).
- Вывод: открытый текст или ошибка, если тег аутентификации не соответствует предоставленному зашифрованному тексту или заголовку .

Часть заголовка предназначена для обеспечения аутентичности и защиты целостности метаданных сети или хранилища, для которых конфиденциальность не является необходимой, но подлинность желательна.

История

Потребность в аутентифицированном шифровании возникла из наблюдения, что безопасное сочетание отдельных режимов работы блочного шифра конфиденциальности и аутентификации может быть подвержено ошибкам и затруднено. ^{[ 4 ]}^{[ 5 ]} Это было подтверждено рядом практических атак, внедренных в производственные протоколы и приложения из-за неправильной реализации или отсутствия аутентификации. ^{[ 6 ]}

Примерно в 2000 году ряд усилий был предпринят вокруг идеи стандартизации режимов, гарантирующих правильную реализацию. В частности, большой интерес к возможно безопасным режимам был вызван публикацией Чаранджита Джутлы . Чаранджита Джутлы CBC и параллельных режимов с учетом целостности (IAPM) ^{[ 7 ]} в 2000 году (см. ОКБ и хронологию ^{[ 8 ]}). Шесть различных режимов шифрования с проверкой подлинности (а именно: режим кодовой книги смещения 2.0 , OCB 2.0; перенос ключа ; счетчик с CBC-MAC , CCM; шифрование, затем аутентификация, затем трансляция , EAX; шифрование-затем-MAC , EtM; и режим Галуа/счетчика , GCM) были стандартизированы в ISO/IEC 19772:2009. ^{[ 9 ]} В ответ на запрос NIST были разработаны более аутентифицированные методы шифрования . ^{[ 10 ]} Функции Sponge можно использовать в дуплексном режиме для обеспечения шифрования с аутентификацией. ^{[ 11 ]}

Белларе и Нампремпре (2000) проанализировали три композиции шифрования и примитивов MAC и продемонстрировали, что шифрование сообщения и последующее применение MAC к зашифрованному тексту ( подход «Зашифровать, затем MAC» ) подразумевает защиту от атак с адаптивным выбранным зашифрованным текстом при условии, что оба функции соответствуют минимально необходимым свойствам. Кац и Юнг исследовали понятие «неподдельное шифрование» и доказали, что оно предполагает защиту от атак с выбранным зашифрованным текстом. ^{[ 12 ]}

В 2013 году был объявлен конкурс CAESAR , призванный поощрять разработку режимов шифрования с аутентификацией. ^{[ 13 ]}

В 2015 году ChaCha20-Poly1305 добавлен в качестве альтернативной конструкции AE для GCM в протоколах IETF .

Варианты

Аутентифицированное шифрование со связанными данными

Шифрование с проверкой подлинности со связанными данными (AEAD) — это вариант AE, который позволяет сообщению включать «связанные данные» (AD, дополнительная неконфиденциальная информация, также известная как «дополнительные аутентифицированные данные», AAD). Получатель может проверить целостность как связанных данных, так и конфиденциальной информации в сообщении. AD полезен, например, в сетевых пакетах , где заголовок должен быть виден для маршрутизации , но полезная нагрузка должна быть конфиденциальной, и оба требуют целостности и подлинности . Понятие AEAD было формализовано Рогауэем (2002). ^{[ 3 ]}

Ключевые обязательства AEAD

Первоначально AE был разработан в первую очередь для обеспечения целостности зашифрованного текста: успешная проверка тега аутентификации Алисой с использованием ее симметричного ключа KA _{указывает} на то, что сообщение не было подделано противником Мэллори , который не обладает _KA . Схемы AE обычно не обеспечивают фиксации ключа , гарантии того, что расшифровка не удастся для любого другого ключа. ^{[ 14 ]} По состоянию на 2021 год большинство существующих схем AE (включая очень популярную GCM) позволяют декодировать некоторые сообщения без ошибок, используя не только (правильный) _KA ; хотя их открытый текст, декодированный с использованием второго (неправильного) ключа K _M, будет неверным, тег аутентификации все равно будет совпадать. ^{[ нужна ссылка ]} Поскольку для создания сообщения с таким свойством Мэллори уже должен обладать как KA, так _и KM _, этот вопрос может представлять собой чисто академический интерес. ^{[ 15 ]} Однако в особых обстоятельствах практические атаки могут быть осуществлены против уязвимых реализаций. Например, если протокол аутентификации личности основан на успешной расшифровке сообщения, использующего ключ на основе пароля, способность Мэллори создать одно сообщение, которое будет успешно расшифровано с использованием 1000 различных ключей, связанных со слабым ключом и, следовательно, известных ей, потенциальных паролей, может ускорить поиск паролей почти в 1000 раз. Чтобы эта атака по словарю увенчалась успехом, Мэллори также необходима способность отличать успешную расшифровку Алисой от неудачной, например, из-за плохой конструкции протокола. или реализация, превращающая сторону Алисы в оракула . Естественно, эту атаку вообще нельзя смонтировать, когда ключи генерируются случайным образом. ^{[ 16 ]}

Ключевые обязательства были первоначально изучены в 2010-х годах Абдаллой и др. ^{[ 17 ]} и Фаршим и др. ^{[ 18 ]} под названием «надежное шифрование». ^{[ 15 ]}^{[ 19 ]}

Чтобы смягчить описанную выше атаку без удаления «оракула», можно использовать AEAD с фиксацией ключа , который не позволяет существовать этому типу созданных сообщений. AEGIS — это пример быстрого (при наличии набора инструкций AES ) AEAD с ключевой фиксацией. ^{[ 20 ]} К существующей схеме AEAD можно добавить обязательство по ключу. ^{[ 21 ]}^{[ 22 ]}

Подходы к аутентифицированному шифрованию

Шифрование, затем MAC (EtM)

Открытый текст сначала шифруется, затем на основе полученного зашифрованного текста создается MAC. Зашифрованный текст и его MAC отправляются вместе. ETM — это стандартный метод согласно ISO/IEC 19772:2009. ^{[ 9 ]} Это единственный метод, который может обеспечить высочайший уровень безопасности в AE, но этого можно достичь только в том случае, если используемый MAC «строго не поддается подделке». ^{[ 23 ]}

IPSec принял EtM в 2005 году. ^{[ 24 ]} В ноябре 2014 года TLS и DTLS получили расширения для EtM с RFC 7366 . Для SSHv2 также существуют различные наборы шифров EtM (например, [электронная почта защищена] ).

Шифрование и MAC (E&M)

MAC создается на основе открытого текста, а открытый текст шифруется без MAC. MAC открытого текста и зашифрованный текст отправляются вместе. Используется, например, в SSH . ^{[ 25 ]} Несмотря на то, что подход E&M сам по себе не является абсолютно не поддающимся подделке, ^{[ 23 ]} можно внести некоторые незначительные изменения в SSH , чтобы сделать его практически невозможно подделать, несмотря на такой подход. ^{[ 26 ]}

MAC-затем-шифрование (MtE)

MAC создается на основе открытого текста, затем открытый текст и MAC вместе шифруются для создания зашифрованного текста на основе обоих. Зашифрованный текст (содержащий зашифрованный MAC) отправляется. До версии TLS 1.2 все доступные наборы шифров SSL/TLS были MtE. ^{[ 27 ]}

Не доказано, что MtE сам по себе не поддается подделке. ^{[ 23 ]} Реализация SSL/TLS оказалась совершенно неподдельной Кравчиком, который показал, что SSL/TLS на самом деле безопасен благодаря кодированию, используемому вместе с механизмом MtE. ^{[ 28 ]} Однако доказательство Кравчика содержит ошибочные предположения о случайности вектора инициализации (IV). Атака BEAST 2011 года использовала неслучайный цепной IV и сломала все алгоритмы CBC в TLS 1.0 и ниже. ^{[ 29 ]}

Кроме того, более глубокий анализ SSL/TLS смоделировал защиту как MAC-then-pad-then-encrypt, то есть открытый текст сначала дополняется до размера блока функции шифрования. Ошибки заполнения часто приводят к обнаруживаемым ошибкам на стороне получателя, что, в свою очередь, приводит к атакам оракула заполнения , таким как Lucky Thirteen .

См. также

Ссылки

^ Jump up to: ^а ^б ^с Черный 2005 , с. 1.
^ Кац и Линделл 2020 , с. 116.
^ Jump up to: ^а ^б ^с Черный 2005 , с. 2.
^ М. Белларе; П. Рогауэй; Д. Вагнер. «Обычный режим шифрования с аутентификацией» (PDF) . НИСТ . Проверено 12 марта 2013 г. у людей дела шли довольно плохо, когда они пытались соединить традиционную (только конфиденциальную) схему шифрования и код аутентификации сообщения (MAC).
^ Т. Коно; Дж. Вьега и Д. Уайтинг. «Режим шифрования с проверкой подлинности CWC (связанные данные)» (PDF) . НИСТ . Проверено 12 марта 2013 г. очень легко случайно объединить схемы безопасного шифрования с безопасными MAC-адресами и при этом получить небезопасные схемы шифрования с проверкой подлинности.
^ «Ошибки криптографии с секретным ключом» (PDF) . Дэниел Дж. Бернштейн. Архивировано из оригинала (PDF) 18 апреля 2013 года . Проверено 12 марта 2013 г.
^ Ютл, Чаранджит С. (1 августа 2000 г.). «Режимы шифрования с почти свободной целостностью сообщений» . Архив криптологии ePrint: отчет 2000/039 . Труды IACR EUROCRYPT 2001. IACR . Проверено 16 марта 2013 г.
^ Т. Кровец; П. Рогауэй (01 марта 2011 г.). «Производительность программного обеспечения в режимах шифрования с аутентификацией» (PDF) . Быстрое программное шифрование 2011 (FSE 2011) . МАКР .
^ Jump up to: ^а ^б «Информационные технологии. Методы обеспечения безопасности. Аутентифицированное шифрование» . 19772:2009 . ИСО/МЭК . Проверено 12 марта 2013 г.
^ «Разработка режимов шифрования» . НИСТ . Проверено 17 апреля 2013 г.
^ Команда Кечак. «Дуплексирование губки» (PDF) .
^ Кац, Дж.; Юнг, М. (2001). «Неподдельное шифрование и выбранные безопасные режимы работы зашифрованного текста». В Б. Шнайере (ред.). Быстрое программное шифрование (FSE): Труды 2000 года . Конспекты лекций по информатике. Том. 1978. стр. 284–299. дои : 10.1007/3-540-44706-7_20 . ISBN 978-3-540-41728-6 .
^ «CAESAR: Конкуренция за шифрование с аутентификацией: безопасность, применимость и надежность» . Проверено 12 марта 2013 г.
^ Альбертини и др. 2020 , стр. 1–2.
^ Jump up to: ^а ^б Альбертини и др. 2020 , с. 2.
^ Лен, Джулия; Граббс, Пол; Ристенпарт, Томас (2021). Разделение атак Oracle . USENET '21. стр. 195–212.
^ Абдалла, Белларе и Невен 2010 , стр. 480–497.
^ Фаршим и др. 2013 , стр. 352–368.
^ Белларе и Хоанг, 2022 , с. 5.
^ Денис, Фрэнк. «Семейство аутентифицированных алгоритмов шифрования AEGIS» . cfrg.github.io .
^ Герон, Шей (2020). «Ключевые обязательства AEAD» (PDF) .
^ пончо. «Ключевое выполнение AEAD» . Обмен стеками криптографии . Проверено 21 февраля 2024 г. (См. также раздел комментариев, в котором обсуждается пересмотренная рекомендация libsodium по добавлению обязательств по ключам.)
^ Jump up to: ^а ^б ^с «Аутентифицированное шифрование: отношения между понятиями и анализ парадигмы общей композиции» . М. Белларе и К. Нампремпре. Архивировано из оригинала 23 января 2018 года . Проверено 13 апреля 2013 г.
^ «Раздельные алгоритмы конфиденциальности и целостности» . RFC 4303 — Полезная нагрузка безопасности, инкапсулирующая IP (ESP) . Целевая группа инженеров Интернета (IETF) . Проверено 12 сентября 2018 г.
^ «Целостность данных» . РФК 4253 . Целевая группа инженеров Интернета (IETF) . Проверено 12 сентября 2018 г.
^ Белларе, Михир; Коно, Тадаёси; Нампремпре, Чанатип. «Взлом и доказуемое восстановление схемы шифрования с аутентификацией SSH: пример парадигмы кодирования, затем шифрования и MAC» (PDF) . Транзакции ACM по информационной и системной безопасности . Проверено 30 августа 2021 г.
^ Рескорла, Эрик; Диркс, Тим (август 2008 г.). «Защита полезной нагрузки записи» . РФК 5246 . Целевая группа инженеров Интернета (IETF) . Проверено 12 сентября 2018 г.
^ «Порядок шифрования и аутентификации для защиты коммуникаций (или: насколько безопасен SSL?)» (PDF) . Х. Кравчик . Проверено 13 апреля 2013 г.
^ Дуонг, Тайский; Риццо, Джулиано (13 мая 2011 г.). «А вот и ⊕ ниндзя» (PDF) . – Технический документ по атаке BEAST

Общий

Белларе, М.; Нампремпре, К. (2000), «Аутентифицированное шифрование: отношения между понятиями и анализ парадигмы общей композиции», в Т. Окамото (редактор), « Достижения в криптологии - ASIACRYPT 2000 (PDF)» , конспекты лекций по информатике, том . 1976, Springer-Verlag, стр. 531–545, номер документа : 10.1007/3-540-44448-3_41 , ISBN. 978-3-540-41404-9

Источники

Кац, Дж.; Линделл, Ю. (2020). Введение в современную криптографию . Серия Чепмен и Холл / CRC по криптографии и сетевой безопасности. ЦРК Пресс. ISBN 978-1-351-13301-2 . Проверено 8 июня 2023 г.
Блэк, Дж. (2005). «Аутентифицированное шифрование» . Энциклопедия криптографии и безопасности . Спрингер США. стр. 11–21. дои : 10.1007/0-387-23483-7_15 . ISBN 978-0-387-23473-1 .
Альбертини, Анж; Дуонг, Тайский; Герон, Шей; Кёльбл, Стефан; Луйкс, Атул; Шмиг, Софи (2020). «Как злоупотребить и исправить шифрование с аутентификацией без обязательного использования ключа» (PDF) . УСЕНИКС.
Белларе, Михир; Хоанг, Вьет Тунг (2022). «Эффективные схемы шифрования с аутентификацией» (PDF) . ЕВРОКРИПТ 2022.
Абдалла, Мишель; Белларе, Михир; Невен, Грегори (2010). «Надежное шифрование». Теория криптографии . Том. 5978. Берлин, Гейдельберг: Springer Berlin Heidelberg. дои : 10.1007/978-3-642-11799-2_28 . ISBN 978-3-642-11798-5 .
Фаршим, Пуя; Либер, Бенуа; Патерсон, Кеннет Г.; Квалья, Элизабет А. (2013). «Надежное шифрование, еще раз». Криптография с открытым ключом – PKC 2013 . Том. 7778. Берлин, Гейдельберг: Springer Berlin Heidelberg. дои : 10.1007/978-3-642-36362-7_22 . ISBN 978-3-642-36361-0 .
Чан, Джон; Рогауэй, Филипп (2022). «О совершении аутентификационного шифрования». Компьютерная безопасность — ESORICS 2022 . Том. 13555. Чам: Springer Nature Switzerland. дои : 10.1007/978-3-031-17146-8_14 . ISBN 978-3-031-17145-1 .

[FOOTNOTEBlack20051-1] Jump up to: ^а ^б ^с Черный 2005 , с. 1.

[FOOTNOTEKatzLindell2020116-2] Кац и Линделл 2020 , с. 116.

[FOOTNOTEBlack20052-3] Jump up to: ^а ^б ^с Черный 2005 , с. 2.

[:1-4] М. Белларе; П. Рогауэй; Д. Вагнер. «Обычный режим шифрования с аутентификацией» (PDF) . НИСТ . Проверено 12 марта 2013 г. у людей дела шли довольно плохо, когда они пытались соединить традиционную (только конфиденциальную) схему шифрования и код аутентификации сообщения (MAC).

[5] Т. Коно; Дж. Вьега и Д. Уайтинг. «Режим шифрования с проверкой подлинности CWC (связанные данные)» (PDF) . НИСТ . Проверено 12 марта 2013 г. очень легко случайно объединить схемы безопасного шифрования с безопасными MAC-адресами и при этом получить небезопасные схемы шифрования с проверкой подлинности.

[6] «Ошибки криптографии с секретным ключом» (PDF) . Дэниел Дж. Бернштейн. Архивировано из оригинала (PDF) 18 апреля 2013 года . Проверено 12 марта 2013 г.

[7] Ютл, Чаранджит С. (1 августа 2000 г.). «Режимы шифрования с почти свободной целостностью сообщений» . Архив криптологии ePrint: отчет 2000/039 . Труды IACR EUROCRYPT 2001. IACR . Проверено 16 марта 2013 г.

[8] Т. Кровец; П. Рогауэй (01 марта 2011 г.). «Производительность программного обеспечения в режимах шифрования с аутентификацией» (PDF) . Быстрое программное шифрование 2011 (FSE 2011) . МАКР .

[ISO19772-9] Jump up to: ^а ^б «Информационные технологии. Методы обеспечения безопасности. Аутентифицированное шифрование» . 19772:2009 . ИСО/МЭК . Проверено 12 марта 2013 г.

[10] «Разработка режимов шифрования» . НИСТ . Проверено 17 апреля 2013 г.

[11] Команда Кечак. «Дуплексирование губки» (PDF) .

[12] Кац, Дж.; Юнг, М. (2001). «Неподдельное шифрование и выбранные безопасные режимы работы зашифрованного текста». В Б. Шнайере (ред.). Быстрое программное шифрование (FSE): Труды 2000 года . Конспекты лекций по информатике. Том. 1978. стр. 284–299. дои : 10.1007/3-540-44706-7_20 . ISBN 978-3-540-41728-6 .

[13] «CAESAR: Конкуренция за шифрование с аутентификацией: безопасность, применимость и надежность» . Проверено 12 марта 2013 г.

[FOOTNOTEAlbertiniDuongGueronKölbl20201–2-14] Альбертини и др. 2020 , стр. 1–2.

[FOOTNOTEAlbertiniDuongGueronKölbl20202-15] Jump up to: ^а ^б Альбертини и др. 2020 , с. 2.

[16] Лен, Джулия; Граббс, Пол; Ристенпарт, Томас (2021). Разделение атак Oracle . USENET '21. стр. 195–212.

[FOOTNOTEAbdallaBellareNeven2010480–497-17] Абдалла, Белларе и Невен 2010 , стр. 480–497.

[FOOTNOTEFarshimLibertPatersonQuaglia2013352–368-18] Фаршим и др. 2013 , стр. 352–368.

[FOOTNOTEBellareHoang20225-19] Белларе и Хоанг, 2022 , с. 5.

[20] Денис, Фрэнк. «Семейство аутентифицированных алгоритмов шифрования AEGIS» . cfrg.github.io .

[21] Герон, Шей (2020). «Ключевые обязательства AEAD» (PDF) .

[22] пончо. «Ключевое выполнение AEAD» . Обмен стеками криптографии . Проверено 21 февраля 2024 г. (См. также раздел комментариев, в котором обсуждается пересмотренная рекомендация libsodium по добавлению обязательств по ключам.)

[BN-23] Jump up to: ^а ^б ^с «Аутентифицированное шифрование: отношения между понятиями и анализ парадигмы общей композиции» . М. Белларе и К. Нампремпре. Архивировано из оригинала 23 января 2018 года . Проверено 13 апреля 2013 г.

[24] «Раздельные алгоритмы конфиденциальности и целостности» . RFC 4303 — Полезная нагрузка безопасности, инкапсулирующая IP (ESP) . Целевая группа инженеров Интернета (IETF) . Проверено 12 сентября 2018 г.

[25] «Целостность данных» . РФК 4253 . Целевая группа инженеров Интернета (IETF) . Проверено 12 сентября 2018 г.

[26] Белларе, Михир; Коно, Тадаёси; Нампремпре, Чанатип. «Взлом и доказуемое восстановление схемы шифрования с аутентификацией SSH: пример парадигмы кодирования, затем шифрования и MAC» (PDF) . Транзакции ACM по информационной и системной безопасности . Проверено 30 августа 2021 г.

[27] Рескорла, Эрик; Диркс, Тим (август 2008 г.). «Защита полезной нагрузки записи» . РФК 5246 . Целевая группа инженеров Интернета (IETF) . Проверено 12 сентября 2018 г.

[:0-28] «Порядок шифрования и аутентификации для защиты коммуникаций (или: насколько безопасен SSL?)» (PDF) . Х. Кравчик . Проверено 13 апреля 2013 г.

[29] Дуонг, Тайский; Риццо, Джулиано (13 мая 2011 г.). «А вот и ⊕ ниндзя» (PDF) . – Технический документ по атаке BEAST

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]

[ 11 ]

[ 12 ]

[ 13 ]

[ 14 ]

[ 15 ]

[ 16 ]

[ 17 ]

[ 18 ]

[ 19 ]

[ 20 ]

[ 21 ]

[ 22 ]

[ 23 ]

[ 24 ]

[ 25 ]

[ 26 ]

[ 27 ]

[ 28 ]

[ 29 ]