La primitive AEAD (Authenticated Encryption with Associated Data) est la plus courante pour le chiffrement des données et convient à la plupart des besoins.
Le chiffrement AEAD possède les propriétés suivantes :
- Secrecy : rien n'est connu du texte en clair, à l'exception de sa longueur.
- Authenticité : il est impossible de modifier le texte brut chiffré sous-jacent au texte chiffré sans que la modification ne soit détectable.
- Symétrie : le chiffrement du texte en clair et le déchiffrement du texte chiffré s'effectuent avec la même clé.
- Randomisation : le chiffrement est aléatoire. Deux messages comportant le même texte brut renverront des textes chiffrés différents. Les pirates informatiques ne peuvent pas identifier le texte chiffré correspondant à un texte brut donné. Si vous souhaitez éviter cela, utilisez plutôt AEAD déterministe.
Données associées
AEAD peut être utilisé pour lier le texte chiffré à des données associées spécifiques. Supposons que vous disposiez d'une base de données avec les champs user-id et encrypted-medical-history. Dans ce scénario, user-id peut être utilisé comme données associées lors du chiffrement de encrypted-medical-history. Cela empêche un pirate informatique de transférer l'historique médical d'un utilisateur à un autre.
Les données associées sont facultatives. Si des données associées sont spécifiées, le déchiffrement ne réussit que si les mêmes données associées sont transmises aux appels de chiffrement et de déchiffrement.
Choisir un type de clé
Bien que nous recommandions AES128_GCM pour la plupart des utilisations, il existe différents types de clés pour différents besoins. AES128 offre une sécurité de 128 bits, tandis qu'AES256 offre une sécurité de 256 bits.
Voici les deux principales contraintes de sécurité à prendre en compte lorsque vous choisissez un mode :
- QPS : combien de messages sont chiffrés avec la même clé ?
- Taille des messages : quelle est la taille des messages ?
En général :
- AES-CTR-HMAC (AES128_CTR_HMAC_SHA256, AES256_CTR_HMAC_SHA256) avec un vecteur d'initialisation (VI) de 16 octets est le mode le plus conservateur avec de bonnes limites.
- AES-EAX (AES128_EAX, AES256_EAX) est légèrement moins conservateur et légèrement plus rapide qu'AES128_CTR_HMAC_SHA256.
- AES-GCM (AES128_GCM, AES256_GCM) est généralement le mode le plus rapide, avec les limites les plus strictes sur le nombre de messages et leur taille. Lorsque ces limites de longueur de texte brut et de données associées (ci-dessous) sont dépassées, AES-GCM échoue de manière catastrophique et divulgue le matériel de clé.
- AES-GCM-SIV (AES128_GCM_SIV, AES256_GCM_SIV) est presque aussi rapide qu'AES-GCM. Il présente les mêmes limites que AES-GCM en termes de nombre de messages et de taille des messages, mais lorsque ces limites sont dépassées, il échoue de manière moins catastrophique : il ne peut que révéler que deux messages sont égaux. Il est donc plus sûr à utiliser qu'AES-GCM, mais il est moins utilisé en pratique. Pour l'utiliser en Java, vous devez installer Conscrypt.
- XChaCha20-Poly1305 (XCHACHA20_POLY1305) a une limite beaucoup plus élevée sur le nombre de messages et la taille des messages que AES-GCM, mais lorsqu'il échoue (très peu probable), il divulgue également des éléments clés. Il n'est pas accéléré par le matériel. Il peut donc être plus lent que les modes AES dans les situations où l'accélération matérielle est disponible.
Garanties de sécurité
Les implémentations AEAD offrent les avantages suivants :
- Sécurité CCA2.
- Niveau d'authentification d'au moins 80 bits.
- La possibilité de chiffrer au moins 232 messages totalisant 250 octets. Aucune attaque avec jusqu'à 232 textes en clair ou textes chiffrés choisis n'a une probabilité de succès supérieure à 2-32.
Exemples de cas d'utilisation
Consultez les sections Chiffrer des données et Lier un texte chiffré à son contexte.