AES256-GCM ปลอดภัยหรือไม่ที่จะเพิ่ม IV ลงใน AAD และใช้ในการเข้ารหัส

โดยทั่วไป IV จะถูกเติมไว้ล่วงหน้าเป็นไซเฟอร์เท็กซ์ พวกเขาละเว้นสิ่งนี้หรือไม่? IV อยู่ใน AAD เท่านั้นหรือมี IV สองตัวอยู่แล้ว มีลิงค์ไปยังกระดาษ / แหล่งที่มาหรือไม่? กรุณาอย่ากระดาษจากเอกสารระดับปริญญาตรีอาวุโส

บางทีพวกเขาอาจนึกถึงการเข้ารหัสป้องกันความเสี่ยงแบบตรวจสอบความถูกต้องด้วยข้อมูลที่เกี่ยวข้อง (AHEAD): การใช้ AEAD เช่น AES-GCM ใช้ MAC ของข้อความเป็น IV (โดยมีคีย์การเข้ารหัสเป็นคีย์ MAC) จากนั้นใส่ nonce แบบสุ่มใน ศอ.บต. ซึ่งทำให้มีการเข้ารหัสแบบกำหนดคีย์ รับรองความถูกต้อง และไม่สามารถกำหนดได้ ใช้เวลา 2 รอบ และมีโครงสร้างที่ดีกว่าสำหรับ AHEAD มากกว่าการใช้ AES-GCM แต่ก็ปลอดภัยเพียงพอ (หากคุณต้องการ AES คุณสามารถใช้ AES-GCM-SIV กับ nonce 256 บิตแบบสุ่มใน AAD ตามด้วยค่าตรวจสอบคีย์ แต่ต้องใช้การออกแบบมากกว่านี้)

คำถามนี้ต้องการความชัดเจนในการตอบอย่างถูกต้อง ทำไมคุณถึงคิดว่า IV เป็นส่วนหนึ่งของข้อความ บริบทของโปรโตคอลคืออะไร? เป็นไปได้ที่จะมี IV ใน AAD และทุกอย่างจะเรียบร้อย IV ไม่ใช่ข้อมูลที่เป็นความลับ ดังนั้นการเพิ่ม IV ลงใน AAD จึงไม่เป็นอันตรายในตัวเอง แต่ AES256-GCM ไม่ได้ระบุวิธีเลือก IV และการใส่ลงใน AAD นั้นเป็นเรื่องแปลก ดังนั้นจึงเป็นไปได้ทุกที่ที่คุณเห็นว่าสิ่งนี้กำลังทำสิ่งที่ไม่ปลอดภัยอย่างมาก! หากไม่มีลิงก์ไปยังแหล่งที่มา เราไม่สามารถตอบได้ว่ากรณีนี้เป็นอันตรายหรือไม่

คำถามนี้เป็นภาษาอื่นๆ: