דף זה תורגם על ידי Cloud Translation API.

הצפנה מאומתת עם נתונים משויכים (AESD)

Primitive של הצפנה מאומתת עם נתונים משויכים (AEAD) הוא ה-primitive הנפוץ ביותר להצפנת נתונים, והוא מתאים לרוב הצרכים.

ל-AEAD יש את המאפיינים הבאים:

Secrecy: לא ידוע דבר על הטקסט ללא הצפנה, מלבד האורך שלו.
אותנטיות: אי אפשר לשנות את הטקסט ללא הצפנה שמהווה את הבסיס לטקסט המוצפן בלי שיזוהו.
סימטרית: הצפנת הטקסט ללא הצפנה ופענוח הטקסט המוצפן מתבצעים באמצעות אותו מפתח.
רנדומיזציה: ההצפנה היא אקראית. שתי הודעות עם אותו טקסט ללא הצפנה יוצרות טקסטים מוצפנים שונים. תוקפים לא יכולים לדעת איזה מידע מוצפן תואם לטקסט ללא הצפנה נתון. כדי למנוע זאת, צריך להשתמש במקום זאת ב-AEAD determinist.

נתונים משויכים

אפשר להשתמש ב-AEAD כדי לקשר טקסט מוצפן לנתונים ספציפיים שמשויכים אליו. נניח שיש לכם מסד נתונים עם השדות user-id ו-encrypted-medical-history. בתרחיש הזה, אפשר להשתמש ב-user-id כנתונים משויכים כשמצפינים את encrypted-medical-history. כך תהיה אפשרות למנוע מתוקף להעביר היסטוריה רפואית ממשתמש אחד למשתמש אחר.

בחירת סוג מפתח

אנחנו ממליצים על AES128_GCM לרוב השימושים, אבל יש סוגים שונים של מפתחות לצרכים שונים (לביטחון של 256 ביט, מחליפים את AES128 ב-AES256 בהמשך). באופן כללי:

AES128_CTR_HMAC_SHA256 עם וקטור אתחול (IV) של 16 בייטים הוא המצב השמרני ביותר עם גבולות טובים.
השיטה AES128_EAX היא פחות שמרנית ומעט מהירה יותר מ-AES128_CTR_HMAC_SHA256.
AES128_GCM הוא בדרך כלל המצב המהיר ביותר, עם המגבלות המחמירות ביותר על מספר ההודעות ועל גודל ההודעה. אם חורגים מהמגבלות האלה על אורך הטקסט ללא הצפנה ועל אורך הנתונים המשויכים (בהמשך), ה-AES128_GCM נכשל ונגרמת דליפת חומר מפתח.
AES128_GCM_SIV מהיר כמעט כמו AES128_GCM. יש לו את אותן מגבלות כמו של AES128_GCM על מספר ההודעות ועל גודל ההודעה, אבל כשחורגים מהמגבלות האלה, הוא נכשל בצורה פחות חמורה: יכול להיות שידלוף רק העובדה ששתי הודעות זהות. לכן השימוש בה בטוח יותר מאשר ב-AES128_GCM, אבל היא פחות נפוצה בפועל. כדי להשתמש ב-Java, צריך להתקין את Conscrypt.
ל-XChaCha20Poly1305 יש מגבלה גדולה בהרבה על מספר ההודעות ועל גודל ההודעה בהשוואה ל-AES128_GCM, אבל אם הוא נכשל (סביר מאוד שלא יקרה), הוא גם מדליק חומר מפתח. הוא לא מואץ בחומרה, ולכן הוא יכול להיות איטי יותר ממצבים של AES במצבים שבהם יש האצת חומרה.

התחייבויות אבטחה

הטמעות של AEAD מציעות:

אבטחה מסוג CCA2.
חוזק אימות של 80 ביט לפחות.
היכולת להצפין לפחות 2³² הודעות בסך 2⁵⁰ בייטים. לאף התקפה עם עד 2³² טקסטים רגילים שנבחרו או טקסטים מוצפנים שנבחרו אין סיכוי הצלחה גבוה מ-2^-32.

תרחישים לדוגמה

מידע נוסף זמין במאמרים הצפנת נתונים וקישור טקסט מוצפן להקשר שלו.