ฉันได้อ่านแล้วว่า AES CTR จะปลอดภัยหากใช้อย่างเหมาะสมเท่านั้น ดังนั้นฉันต้องการให้แน่ใจว่าฉันใช้อย่างถูกต้อง
ที่นี่เราสร้างความแตกต่าง $nonce \mathbin\|คู่หู$ ถือเป็น $IV$
- เป็นปัญหาที่ IV ถัดไปสามารถคาดเดาได้หรือไม่?
ไม่ ไม่ใช่ปัญหาในโหมด CTR อ่านเพิ่มเติมใน [1]. เดอะ $IV= (ไม่ใช่\mathbin\|คู่)$ ถูกเข้ารหัสและข้อความเข้ารหัสถูก x-ored ด้วยข้อความธรรมดา
$$C_i = \operatorname{AES-CTR}(nonce\mathbin\|เข้ารหัส(i)) \oplus P_i$$
ตราบเท่าที่ $(IV,คีย์)$ คู่ไม่เคยซ้ำไม่มีปัญหาสำหรับ 16- ของคุณไบต์สมมติว่าคุณเริ่มต้นจาก 0 ในตัวนับเสมอสำหรับการเข้ารหัสทุกครั้งด้วย nonce ใหม่หรือคีย์ใหม่
หากมีการทำซ้ำความลับจะสูญหาย
ฉันเข้าใจว่า IV ไม่สามารถทำซ้ำได้ แต่ในกรณีที่เงื่อนไขนี้จำเป็นต้องทำซ้ำกี่ครั้งจึงจะถอดรหัสระบบได้ ฉันหมายถึงตัวนับเดียวกันซ้ำสองครั้งหรือ 100?
สองคู่ก็เพียงพอแล้วที่จะทำลายความลับด้วยเทคนิคการลากเปล ขณะนี้เป็นระบบอัตโนมัติ [2]. หากคุณรู้จักหนึ่งในนั้น การหาอีกอันด้วย x-or ก็ไม่ใช่เรื่องเล็กน้อย
สุดท้าย แต่ไม่ท้ายสุด จะเพิ่มความปลอดภัยในการใช้ AES256 บน AES128 เพื่อเข้ารหัสข้อความขนาด 16 ไบต์หรือไม่
โหมด CTR เป็น CPA ที่ปลอดภัยตราบเท่าที่ใช้อย่างเหมาะสม AES-128 ปลอดภัย (ส่วนใหญ่)[3] อย่างไรก็ตาม การใช้ AES-256 จะปลอดภัยแม้กระทั่งศัตรูควอนตัมที่มาพร้อมกับ Grover's Machine
โปรดทราบว่าในโหมด CTR คุณจะได้รับความปลอดภัย CPA เท่านั้น นั่นคือไม่มีความสมบูรณ์และการรับรองความถูกต้อง เพื่อให้บรรลุความสมบูรณ์และการรับรองความถูกต้อง เราสามารถใช้ AES-GCM (พร้อม SIV) โหมด SIV ใช้ข้อความเพื่อหลีกเลี่ยงปัญหา IVเมื่อ IV ทำซ้ำ มันจะรั่วไหลเฉพาะความเท่าเทียมกันของข้อความ ไม่ใช่เนื้อหา
การใช้ AES CTR อย่างเหมาะสม
ภาระหน้าที่ของคุณ: เป็นสัญญารักษาความปลอดภัย
เลือกคีย์สุ่มแบบเดียวกัน $k$ ขนาด 256 และเก็บเป็นความลับตลอดเวลา
เลือก IV และตรวจสอบให้แน่ใจว่า $(k,IV)$ ไม่เคยทำซ้ำแม้แต่ตัวนับที่เพิ่มขึ้น
ใช้ ตัวนับที่กำหนดหรือ LFSR เพื่อให้ติดตามของ $ไม่นอน$ตรวจสอบให้แน่ใจว่ามีการแลกเปลี่ยนรหัสใหม่หากมีข้อผิดพลาด/ระบบหยุดทำงาน พวกเขาอาจไม่สามารถเขียนรหัสที่ใช้ล่าสุดได้ $ไม่นอน$.
หรือใช้การสุ่ม $ไม่นอน$ตรวจสอบให้แน่ใจว่าคุณอยู่ในระดับต่ำในการชนกันของ $ไม่นอน$ ภายใต้คีย์เดียวกัน
เริ่มต้นเคาน์เตอร์เสมอจาก $0$. หากตัวนับไม่เริ่มต้นจาก $0$ มีเส้นทางอันตรายที่อาจทำให้ IV ทำซ้ำได้หาก nonce เหมือนกัน
เข้ารหัสข้อความและตรวจสอบให้แน่ใจว่าไม่เกิน $2^{32}$.
เก็บไว้.
สิ่งที่คุณได้รับ
แทนที่จะใช้ XChaCha20-Poly1305 กับ nonces 192 บิตที่ $(IV,คีย์)$ เกิดขึ้นเล็กน้อย คุณจะได้รับการรับรองความถูกต้องและความสมบูรณ์ด้วย และเนื่องจากโหมด CTR ได้รับการออกแบบมาสำหรับ PRF XChaCha20 จึงเหมาะที่จะใช้กับโหมด CTR ( XChaCha20 ใช้ CTR ภายใน)
สำหรับ CTR ข้อกำหนดคือว่า ค่าเคาน์เตอร์ ไม่ทำซ้ำ (สำหรับคีย์ที่กำหนด) gotcha ที่ใหญ่ที่สุดด้วยโหมดเคาน์เตอร์คือมันไม่เพียงพอสำหรับ IV (ที่ อักษรย่อ ค่าของตัวนับ) ไม่ให้ทำซ้ำ
ไม่สำคัญว่าค่าตัวนับจะสามารถคาดเดาได้หรือไม่ หากคุณสามารถกำหนดให้ตัวนับเริ่มต้นที่ 0 และเพิ่มทีละ 1 สำหรับบล็อกข้อความแต่ละบล็อก นั่นเป็นวิธีที่ดีมากในการใช้ CTR โปรดทราบว่าข้อความหลายข้อความหมายความว่าข้อความแรกใช้ค่าตัวนับ $0, 1, 2, \ldots, a$จากนั้นข้อความที่สองจะใช้ค่าตัวนับ $a+1, a+2, \ldots, b$, ข้อความที่สามใช้ $b+1, b+2, \ldots, c$และอื่น ๆ
ให้ฉันอธิบายสิ่งที่ผิดพลาดกับค่าตัวนับซ้ำ อนุญาต $E$ เป็นฟังก์ชั่นการเข้ารหัสบล็อกและเขียน $\langle n\range$ สำหรับการเข้ารหัสค่าตัวนับ $n$ เป็นบล็อก หากคุณส่งข้อความสองบล็อกสองข้อความ $P_0||P_1$ และ $P'_0||พี่_1$ (ที่ละ $P^{(ญ)}_i$ แทนหนึ่งบล็อก) หนึ่งอันที่มี IV $n$ และอันต่อไปกับ IV $n+1$จากนั้นไซเฟอร์เท็กซ์ที่เกี่ยวข้องคือ $C_0||C_1 = (E(\langle n\rangle) \oplus P_0) || (E(\langle n+1\range) \oplus P_1)$ และ $C'_0||C'_1 = (E(\langle n+1\range) \oplus P'_0) || (E(\langle n+2\range) \oplus P_1)$. สังเกตว่าข้อความไซเฟอร์ทั้งสองนี้ใช้อย่างไร $E(\langle n+1\range)$. ฝ่ายตรงข้ามสามารถ xor บล็อกข้อความเข้ารหัสสองบล็อกที่ใช้ค่าตัวนับเดียวกัน และมาสก์การเข้ารหัสจะยกเลิก: $C_1 \oบวก C'_0 = P_1 \oบวก P'_0$. ซึ่งมักจะเพียงพอที่จะเดาบล็อกข้อความธรรมดาบางส่วนหรือทั้งหมด ตัวอย่างเช่น ข้อความจำนวนมากมีส่วนหัวที่รู้จักหรือส่วนใหญ่รู้จัก และในตัวอย่างนี้ของการทำซ้ำค่าตัวนับ จะกลายเป็นการเปิดเผยเนื้อหาของสิ่งที่อยู่หลังส่วนหัว 16 ไบต์ในข้อความแรก
หากคุณไม่สามารถติดตามได้ว่ามีการใช้ค่าตัวนับใดบ้าง เทคนิคทั่วไปเพื่อหลีกเลี่ยงการทำซ้ำคือใช้การสุ่ม 16 ไบต์สำหรับ IV สิ่งนี้ทำให้โอกาสในการนำค่าตัวนับกลับมาใช้ใหม่มีน้อยพอที่จะไม่เกิดขึ้นในทางปฏิบัติ
ในกรณีส่วนใหญ่ คุณควรใช้มาตรฐาน การเข้ารหัสรับรองความถูกต้อง (AEAD) โหมดแทน เช่น SIV หรือ หรือ GCM-SIV หรือ GCM หรือ CCM สิ่งนี้มีประโยชน์สองประการ หนึ่งคือข้อความเข้ารหัสได้รับการพิสูจน์ตัวตน: เมื่อถอดรหัส คุณสามารถตรวจสอบได้ว่าข้อความเข้ารหัสไม่มีการเปลี่ยนแปลง (เป็นไปไม่ได้ที่จะตรวจสอบความถูกต้องของข้อความไซเฟอร์โดยไม่มีรหัสลับ ฝ่ายตรงข้ามยังสามารถสลับข้อความของแท้สองข้อความได้ ดังนั้น ความถูกต้องจึงไม่ได้บ่งบอกถึงความสมบูรณ์) ข้อดีอื่นๆ ของการใช้โหมด AEAD มาตรฐานคือ ค่าตัวนับก็เพียงพอสำหรับการรักษาความปลอดภัย ไม่ทำซ้ำ: ไม่มีเงื่อนไขที่ละเอียดอ่อนอื่น ๆ โหมด SIV มีข้อได้เปรียบที่แม้ว่า IV จะทำซ้ำโดยบังเอิญ แต่สิ่งนี้สามารถเปิดเผยได้ว่าข้อความนั้นเหมือนกันเท่านั้น แต่จะไม่เปิดเผยอะไรเกี่ยวกับเนื้อหา
การใช้ AES-256 แทนที่จะเป็น AES-128 ช่วยเพิ่มความปลอดภัยให้กับคอมพิวเตอร์ควอนตัมในกรณีที่ใช้งานได้จริงเท่านั้น
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
