สำหรับฟังก์ชันถอดรหัส AES GCM เอาต์พุต (PT) ขึ้นอยู่กับค่าแท็ก (T) หรือไม่

Chinmay Mahato

25/12/22 04:22

ตามข้อมูลจำเพาะ สำหรับอินพุตฟังก์ชันถอดรหัส GCM คือ IV, A, C และ T ดังที่กล่าวไว้ด้านล่าง:

5.2.2 ฟังก์ชันการถอดรหัสที่รับรองความถูกต้อง เมื่อพิจารณาจากการเลือกรหัสลับ คีย์ และความยาวแท็กที่เกี่ยวข้อง อินพุต สำหรับฟังก์ชันการถอดรหัสที่รับรองความถูกต้องคือค่าสำหรับ IV, A, C และ T ตามที่อธิบายไว้ในวินาทีที่ 5.2.1 ข้างต้น เอาต์พุตเป็นหนึ่งใน กำลังติดตาม:

ข้อความธรรมดา P ที่สอดคล้องกับข้อความรหัส C หรือ

รหัสข้อผิดพลาดพิเศษ ระบุว่า FAIL ในเอกสารนี้

ฉันกำลังอ้างอิงโมเดลอ้างอิง AES GCM ที่มีอยู่ทางออนไลน์ และฉันเห็นการถอดรหัสเพื่อคำนวณผลลัพธ์ PT ซึ่งไม่พิจารณาค่าแท็ก

ผลลัพธ์ (PT) ขึ้นอยู่กับค่าแท็ก (T) หรือไม่

ลิงค์รุ่นอ้างอิง: https://github.com/mko-x/SharedAES-GCM/blob/master/Sources/gcmtest.c

304

2 + 0

เอ๋

aes-gcm

Score:4

Crypto

Mikero

25/12/22 06:36

ใน GCM ข้อความธรรมดาจะถูกคำนวณโดยไม่มีแท็ก แต่การตัดสินใจว่าปลอดภัยหรือไม่ที่จะเผยแพร่ข้อความธรรมดานั้นขึ้นอยู่กับแท็ก! หากแท็กไม่ถูกต้อง คุณต้องส่งคืนข้อผิดพลาด หากไม่มีแท็ก "ป้องกัน" การเปิดตัวของข้อความธรรมดา ผู้โจมตีจะแก้ไขเนื้อหาของข้อความไซเฟอร์ได้เล็กน้อย

0 + 0

Score:3

Crypto

Maarten Bodewes

25/12/22 09:08

ผลลัพธ์ (PT) ขึ้นอยู่กับค่าแท็ก (T) หรือไม่

ไม่ เว้นแต่คุณจะถือว่าการส่งคืนข้อผิดพลาดนั้นถือเป็นเอาต์พุตด้วย ผลลัพธ์นี้มักจะแสดงเป็น $\บอท$ ในคำอธิบาย แม้ว่าข้อมูลอ้างอิงของคุณจะระบุว่า "ล้มเหลว" ก็ตาม

ในท้ายที่สุด การเข้ารหัสที่ใช้ภายใน GCM เป็นเพียงการเข้ารหัสโหมดเคาน์เตอร์ (CTR หรือ SIC) เคล็ดลับเดียวคือคุณอาจต้องคำนวณ IV สำหรับโหมดตัวนับหากขนาด nonce ใหญ่กว่า 12 ไบต์ ฉันได้สร้างตัวอย่างการถอดรหัส โดยไม่ต้องตรวจสอบแท็ก บน StackOverflow - แต่โปรดทราบว่าจะถือว่าไม่มี 12 ไบต์

หากคุณต้องการให้มีโหมด GCM ซึ่งการถอดรหัส เป็น ขึ้นอยู่กับแท็ก คุณควรดูที่โหมด AES-GCM-SIV ที่นี่ใช้ IV สังเคราะห์ (SIV) ซึ่งเป็นแท็กการตรวจสอบความถูกต้องสองเท่า

หากคุณใช้ไซเฟอร์เท็กซ์ก่อนการยืนยัน คุณจะมีความเสี่ยงต่อการเปลี่ยนแปลงเฉพาะบิตในข้อความธรรมดาที่เป็นผลลัพธ์ (ผู้โจมตีสามารถพลิกบิตเดียวกันในไซเฟอร์เท็กซ์ได้) สิ่งนี้อาจนำไปสู่ oracles ข้อความธรรมดา ซึ่งอาจส่งผลต่อการรักษาความลับด้วย

การถอดรหัสโดยไม่มีการยืนยันโดยตรงยังคงมีข้อจำกัดบางประการ คุณอาจต้องการถอดรหัสกลุ่มของข้อความเข้ารหัสและใส่ผลลัพธ์ของข้อความธรรมดาลงในไฟล์ชั่วคราว จากนั้นคัดลอกหรือย้ายไฟล์ชั่วคราวไปยังตำแหน่งสุดท้ายเมื่อแท็กการรับรองความถูกต้องได้รับการยืนยันแล้ว หากการตรวจสอบส่งคืนข้อผิดพลาด ไฟล์ชั่วคราวควรถูกทำลาย

0 + 1

Ilmari Karonen

25/12/22 17:33

หมายเหตุเล็กน้อยสำหรับผู้อ่าน: การถอดรหัส GCM-SIV ที่ขึ้นอยู่กับแท็กการตรวจสอบสิทธิ์ไม่ได้ *ไม่* หมายความว่าข้อความที่มีแท็กการตรวจสอบสิทธิ์ที่ไม่ถูกต้องจะให้ข้อความธรรมดาที่ไร้สาระเสมอเมื่อถอดรหัส หากแท็กไม่ได้รับการตรวจสอบอย่างถูกต้องโดยตัวถอดรหัส GCM-SIV ก็เหมือนกับ [malleable](https://en.wikipedia.org/wiki/Malleability_(cryptography)) เหมือนกับโหมด CTR แบบเก่าทั่วไป

ตอบกลับ

Kulap

คำถามนี้เป็นภาษาอื่นๆ:

EN: FOR AES GCM decrypt function, Does the output(PT) depend on Tag value(T)?

TH: สำหรับฟังก์ชันถอดรหัส AES GCM เอาต์พุต (PT) ขึ้นอยู่กับค่าแท็ก (T) หรือไม่

RO: PENTRU funcția de decriptare AES GCM, ieșirea (PT) depinde de valoarea etichetei (T)?

RU: ДЛЯ функции дешифрования AES GCM. Зависит ли выход (PT) от значения тега (T)?

VI: ĐỐI VỚI chức năng giải mã AES GCM, đầu ra (PT) có phụ thuộc vào giá trị Thẻ (T) không?

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา