CTR HMAC SHA1 กับการจัดการคีย์ GCM

Soteri

9/6/23 09:32

โปรโตคอล รฟท ใช้โดยค่าเริ่มต้น AES ในโหมด CTR ด้วย HMAC-SHA1 สำหรับวิทยานิพนธ์ของฉัน ฉันต้องการค้นคว้าว่า GCM จะเป็นตัวเลือกที่ดีกว่าหรือไม่ ดังนั้นฉันจึงอ่านต่อไปนี้ อภิปรายผล.

คำตอบก็คือโหมด GCM ดีกว่าเหนือสิ่งอื่นใด เนื่องจาก GCM ต้องการเพียงคีย์เดียวสำหรับการเข้ารหัสและการตรวจสอบข้อความ และ CTR+SHA1 ต้องการสองคีย์สำหรับสิ่งเหล่านี้

แต่ฉันใช้คีย์เดียวสำหรับ CTR+SHA1 ไม่ได้หรือ ฉันไม่สามารถใช้คีย์เดิมซ้ำสำหรับการเข้ารหัสด้วยโหมด CTR จากนั้นอาจตัดหรือขยายคีย์เดียวกันเพื่อใช้กับ SHA1 เพื่อรับรองความถูกต้องของข้อความ

มีข้อบกพร่องด้านความปลอดภัยหรือสิ่งอื่น ๆ ที่ฉันลืมพิจารณาหรือไม่?

0 + 0

เอ๋

เอชแมค

ctr

gcm

kelalaka

9/6/23 17:19

คุณสามารถค้นหาขอบเขตการปลอมแปลง GCM ได้ [ที่นี่](https://crypto.stackexchange.com/a/67367/18298) และการใช้คีย์เดียวกันใน CTR และ HMAC ก็ไม่ใช่ปัญหา และอย่าลืมว่า AES-GCM ใช้คีย์เดียว อย่างไรก็ตาม คีย์สำหรับ CTR และ GHash ไม่เหมือนกัน...

ตอบกลับ

Score:2

Crypto

poncho

9/6/23 14:51

มีข้อบกพร่องด้านความปลอดภัยหรือสิ่งอื่น ๆ ที่ฉันลืมพิจารณาหรือไม่?

ใช่ GCM มีปัญหาด้านความปลอดภัยเกี่ยวกับวิธีที่ SRTP ต้องการใช้งาน

SRTP ได้รับการออกแบบมาให้มีแบนด์วิธ-โอเวอร์เฮด (นั่นคือ ขนาดแพ็กเก็ต) ต่ำที่สุดเท่าที่จะเป็นไปได้ บางครั้งใช้ SRTP ผ่านระบบไร้สาย และที่นั่น ขนาดแพ็กเก็ตค่อนข้างแพง IIRC แบนด์วิดท์เดียวที่ SRTP เพิ่มคือแท็กความสมบูรณ์ (IV หากโหมดต้องการโหมดที่ไม่ซ้ำ อาจเป็นฟังก์ชันของตำแหน่งในสตรีม ซึ่งรวมอยู่ในส่วนที่ไม่ได้เข้ารหัสของแพ็กเก็ตอยู่แล้ว) เราต้องการลดแท็กให้สั้นที่สุดเท่าที่จะเป็นไปได้ (ทั้งเพื่อลดค่าใช้จ่าย และสำหรับ SRTP การที่มีคนแนะนำแพ็กเก็ตปลอมเพียงชุดเดียวก็ไม่ได้แย่ขนาดนั้น - สำหรับการใช้งานด้านเสียง พวกเขาอาจแก้ไขได้ 20 มิลลิวินาทีของ การเชื่อมต่อเสียงที่ไม่สูงเกินไป ($<10^{-6}$) ความน่าจะเป็น และถือว่ายอมรับได้สำหรับกรณีการใช้งานนี้)

เมื่อเราไปถึง GCM เรามีปัญหากับแท็กแบบสั้น GCM มีคุณสมบัตินี้: ถ้าเรามีข้อความ GCM ที่เข้ารหัสด้วย IV, ciphertext/tag $(IV, C, T)$ และมีคนพบข้อความหลอกลวง $(IV, C', T')$ ที่ได้รับการยอมรับ (หมายเหตุ: ใช้ IV เดียวกัน ข้อความเข้ารหัสและแท็กถูกแก้ไขโดยพลการ) จากนั้นสำหรับข้อความที่เข้ารหัสในอนาคต $(IV", C", T")$จากนั้นข้อความ $(IV", C" \oplus C \oplus C', T" \oplus T \oบวก T')$ จะได้รับการยอมรับด้วย นั่นคือ เมื่อพบการปลอมแปลงเพียงครั้งเดียว ผู้โจมตีสามารถแนะนำการปลอมแปลงจากที่นี่ออกไป

และหากคุณมีแท็กสั้นๆ ผู้โจมตีก็มีโอกาสสูงที่จะพบข้อความหลอกลวงที่ยอมรับได้ $(IV, C', T')$ โดยเพียงแค่ทายไปต่างๆ $T'$ ค่า

การปลอมแปลงเพียงครั้งเดียวถือว่าพอทนได้ การปล่อยให้ผู้โจมตีสร้างกระแสการปลอมแปลงอย่างต่อเนื่องนั้นน้อยลง เมื่อใช้ GCM เราสามารถหลีกเลี่ยงปัญหานี้ได้โดยใช้แท็กแบบยาว (ซึ่งความน่าจะเป็นของการคาดเดาแบบสุ่มต่ำพอสมควร) อย่างไรก็ตาม กรณีการใช้งานสำหรับ SRTP ไม่ชอบแท็กแบบยาว

HMAC ไม่มีคุณสมบัตินี้ หากผู้โจมตีพบการปลอมแปลง $(ค', ท')$ (HMAC ไม่มี IV) ซึ่งไม่ได้ช่วยให้เขาสร้างการปลอมในอนาคตได้

0 + 0

kelalaka

9/6/23 17:12

OP ชี้แจงหลังจากคำตอบของฉัน พวกเขาพิจารณา SRTP ฉันได้ลบคำตอบแล้ว (จะไม่ยกเลิกการลบ) และคุณสามารถใช้แนวคิดใดก็ได้ที่เหมาะสม

ตอบกลับ

Kulap

คำถามนี้เป็นภาษาอื่นๆ:

EN: CTR HMAC SHA1 vs GCM Key management

TH: CTR HMAC SHA1 กับการจัดการคีย์ GCM

RO: CTR HMAC SHA1 vs GCM Gestionarea cheilor

RU: CTR HMAC SHA1 и управление ключами GCM

VI: CTR HMAC SHA1 so với GCM Quản lý khóa

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา