AES-GCM-SIV

AES-GCM-SIV — это режим работы расширенного стандарта шифрования , который обеспечивает аналогичные (но немного худшие) ^{[ 1 ]}) производительность в режиме Галуа/Счетчика , а также устойчивость к неправильному использованию в случае повторного использования криптографического одноразового номера . Конструкция определена в RFC 8452. ^{[ 2 ]}

О

AES-GCM-SIV предназначен для сохранения конфиденциальности и целостности, даже если одноразовые номера повторяются. Для этого шифрование является функцией nonce, открытого текстового сообщения и необязательных дополнительных связанных данных (AAD). В случае неправильного использования одноразового номера (т.е. использования более одного раза) ничего не раскрывается, за исключением случая, когда одно и то же сообщение зашифровано несколько раз с одним и тем же одноразовым номером. Когда это происходит, злоумышленник может наблюдать повторные шифрования, поскольку шифрование является детерминированной функцией nonce и сообщения. Однако помимо этого злоумышленнику не раскрывается никакая дополнительная информация. По этой причине AES-GCM-SIV является идеальным выбором в случаях, когда невозможно гарантировать уникальность одноразовых номеров, например, когда несколько серверов или сетевых устройств шифруют сообщения под одним и тем же ключом без координации.

Операция

Как и режим Галуа/счетчика, AES-GCM-SIV сочетает в себе хорошо известный режим шифрования со счетчиком и режим аутентификации Галуа. Ключевой особенностью является использование синтетического вектора инициализации , который вычисляется с помощью умножения поля Галуа с использованием конструкции под названием POLYVAL ( вариант с прямым порядком байтов GHASH в режиме Галуа/Счетчика). POLYVAL обрабатывает комбинацию nonce, открытого текста и дополнительных данных, так что IV для каждой комбинации разный.

POLYVAL определяется над GF(2 ¹²⁸) полиномом:

x^{128}+x^{127}+x^{126}+x^{121}+1

Обратите внимание, что GHASH определяется на основе «обратного» полинома:

x^{128}+x^{7}+x^{2}+x+1

Это изменение обеспечивает повышение эффективности в архитектурах с прямым порядком байтов. ^{[ 3 ]}

См. также

Ссылки

^ https://yehudalindell.com/webpage-for-the-aes-gcm-siv-mode-of-operation/
^ Герон, С. (апрель 2019 г.). AES-GCM-SIV: одноразовое шифрование с аутентификацией, устойчивое к неправильному использованию . IETF . дои : 10.17487/RFC8452 . RFC 8452 . Проверено 14 августа 2019 г.
^ https://web.archive.org/web/20231118183816/https://engineering.linecorp.com/en/blog/AES-GCM-SIV-optimization

Внешние ссылки

RFC 8452 : AES-GCM-SIV: одноразовое шифрование с аутентификацией, устойчивое к неправильному использованию.
BIU: веб-страница режима работы AES-GCM-SIV.

Реализации

Реализации AES-GCM-SIV доступны, среди прочего, на следующих языках:

[1] ttps://yehudalindell.com/webpage-for-the-aes-gcm-siv-mode-of-operation/

[2] Герон, С. (апрель 2019 г.). AES-GCM-SIV: одноразовое шифрование с аутентификацией, устойчивое к неправильному использованию . IETF . дои : 10.17487/RFC8452 . RFC 8452 . Проверено 14 августа 2019 г.

[3] ttps://web.archive.org/web/20231118183816/https://engineering.linecorp.com/en/blog/AES-GCM-SIV-optimization

[ 1 ]

[ 2 ]

[ 3 ]