הצפנה מאומתת עם נתונים משויכים (AESD)

הפרימיטיב 'הצפנה מאומתת עם נתונים משויכים' (AEAD) הוא הפרימיטיב הנפוץ ביותר להצפנת נתונים, והוא מתאים לרוב הצרכים.

ל-AEAD יש את המאפיינים הבאים:

Secrecy: לא ידוע דבר על הטקסט הרגיל, מלבד האורך שלו.
אותנטיות: אי אפשר לשנות את הטקסט הרגיל המוצפן שמהווה את הבסיס לטקסט המוצפן בלי שהשינוי יתגלה.
סימטרי: הצפנת הטקסט הגלוי ופענוח הטקסט המוצפן מתבצעים באמצעות אותו מפתח.
אקראיות: ההצפנה היא אקראית. שתי הודעות עם אותו טקסט רגיל יניבו טקסטים מוצפנים שונים. תוקפים לא יכולים לדעת איזה טקסט מוצפן מתאים לטקסט לא מוצפן מסוים. כדי להימנע מכך, אפשר להשתמש ב-Deterministic AEAD במקום זאת.

נתונים משויכים

אפשר להשתמש ב-AEAD כדי לקשור טקסט מוצפן לנתונים משויכים ספציפיים. נניח שיש לכם מסד נתונים עם השדות user-id ו-encrypted-medical-history. בתרחיש הזה, אפשר להשתמש ב-user-id כנתונים משויכים כשמצפינים את encrypted-medical-history. כך לא תהיה אפשרות לתוקף להעביר היסטוריה רפואית ממשתמש אחד למשתמש אחר.

הוספת נתונים משויכים היא אופציונלית. אם מציינים נתונים משויכים, הפענוח יצליח רק אם אותם נתונים משויכים יועברו גם לקריאות ההצפנה וגם לקריאות הפענוח.

בחירת סוג המפתח

מומלץ להשתמש ב-AES128_GCM ברוב המקרים, אבל יש סוגים שונים של מפתחות לצרכים שונים. ‫AES128 מציע אבטחה של 128 ביט, ו-AES256 מציע אבטחה של 256 ביט.

שני אילוצי האבטחה הבולטים כשבוחרים מצב הם:

QPS: כמה הודעות מוצפנות באמצעות אותו מפתח?
גודל ההודעה: מה גודל ההודעות?

סוגי המפתחות הנתמכים:

‫AES-CTR-HMAC (AES128_CTR_HMAC_SHA256, ‏ AES256_CTR_HMAC_SHA256) עם וקטור אתחול (IV) של 16 בייט הוא המצב השמרני ביותר עם גבולות טובים.
‫AES-EAX (AES128_EAX, ‏ AES256_EAX) הוא קצת פחות שמרני וקצת יותר מהיר מ-AES128_CTR_HMAC_SHA256.
בדרך כלל, AES-GCM ‏ (AES128_GCM,‏ AES256_GCM) הוא המצב הכי מהיר עם המגבלות הכי מחמירות על מספר ההודעות וגודל ההודעה. אם חורגים מהמגבלות האלה על אורכי הטקסטים ללא הצפנה והנתונים המשויכים (שמפורטות בהמשך), הצפנת AES-GCM נכשלת באופן קטסטרופלי, כי היא חושפת את הטקסטים ללא הצפנה ואת חלק האימות של המפתח הפנימי של AES-GCM.
- האלגוריתם AES-GCM לא חזק [ABN] וגם לא מחייב מפתח [GLR]. אפשר ליצור טקסט מוצפן שאפשר לפענח באמצעות שני מפתחות שונים. זה יכול להוביל להתקפות מעשיות [DGRW]. אם המפתח נבחר על ידי התוקף, חשוב לבדוק את מודל האיומים.
‫AES-GCM-SIV (AES128_GCM_SIV, ‏ AES256_GCM_SIV) מהיר כמעט כמו AES-GCM. יש לו את אותן מגבלות כמו AES-GCM לגבי מספר ההודעות וגודל ההודעה, אבל כשחורגים מהמגבלות האלה, הוא נכשל בצורה פחות קטסטרופלית: הוא עשוי לחשוף רק את העובדה ששתי הודעות זהות. השימוש בו בטוח יותר מאשר ב-AES-GCM, אבל בפועל הוא פחות נפוץ. כדי להשתמש בזה ב-Java, צריך להתקין את Conscrypt.
ל-XChaCha20-Poly1305 ‏ (XCHACHA20_POLY1305) יש מגבלה גדולה בהרבה על מספר ההודעות וגודל ההודעות בהשוואה ל-AES-GCM, אבל אם הוא נכשל (מאוד לא סביר), הוא גם חושף חומר מפתח. הוא לא מואץ באמצעות חומרה, ולכן הוא יכול להיות איטי יותר ממצבי AES במצבים שבהם האצת חומרה זמינה.

מידע נוסף על פורמט הנתונים של טקסט מוצפן ב-AEAD

התחייבויות אבטחה

הטמעות של AEAD מציעות:

אבטחת CCA2.
חוזק האימות צריך להיות לפחות 80 ביט.
היכולת להצפין לפחות 2³² הודעות עם נפח כולל של 2⁵⁰ בייט. לא נמצאה מתקפה עם עד 2³² טקסטים פשוטים או טקסטים מוצפנים שנבחרו, שההסתברות להצלחה שלה גדולה מ-2^-32.

תרחישים לדוגמה

אני רוצה להצפין נתונים וגם לקשור טקסט מוצפן להקשר שלו.