Encriptación autenticada con datos asociados (AEAD)

La primitiva de encriptación autenticada con datos asociados (AEAD) es la más común para la encriptación de datos y es adecuada para la mayoría de las necesidades.

El AEAD tiene las siguientes propiedades:

  • Secrecy: No se conoce nada sobre el texto sin formato, excepto su longitud.
  • Autenticidad: Es imposible cambiar el texto simple encriptado subyacente al texto cifrado sin que se detecte.
  • Simétrica: La encriptación del texto sin formato y la desencriptación del texto cifrado se realizan con la misma clave.
  • Aleatorización: La encriptación se aleatoriza. Dos mensajes con el mismo texto sin formato generan textos cifrados diferentes. Los atacantes no pueden saber qué texto cifrado corresponde a un texto simple determinado. Si quieres evitar esto, usa AEAD determinístico en su lugar.

Datos asociados

Se puede usar AEAD para vincular el texto cifrado a datos asociados específicos. Supongamos que tienes una base de datos con los campos user-id y encrypted-medical-history. En este caso, user-id se puede usar como datos asociados cuando se encripta encrypted-medical-history. Esto evita que un atacante mueva el historial médico de un usuario a otro.

Los datos asociados son opcionales. Si se especifica, la desencriptación solo se realizará correctamente si se pasan los mismos datos asociados a las llamadas de encriptación y desencriptación.

Elige un tipo de llave

Si bien recomendamos AES128_GCM para la mayoría de los usos, existen varios tipos de claves para diferentes necesidades. AES128 ofrece seguridad de 128 bits y AES256 ofrece seguridad de 256 bits.

Las dos restricciones de seguridad notables a la hora de elegir un modo son las siguientes:

  1. QPS: ¿Cuántos mensajes se encriptan con la misma clave?
  2. Tamaño del mensaje: ¿Qué tan grandes son los mensajes?

En general, haz lo siguiente:

  • AES-CTR-HMAC (AES128_CTR_HMAC_SHA256, AES256_CTR_HMAC_SHA256) con un vector de inicialización (IV) de 16 bytes es el modo más conservador con buenos límites.
  • AES-EAX (AES128_EAX, AES256_EAX) es un poco menos conservador y un poco más rápido que AES128_CTR_HMAC_SHA256.
  • Por lo general, AES-GCM (AES128_GCM, AES256_GCM) es el modo más rápido con los límites más estrictos en la cantidad y el tamaño de los mensajes. Cuando se superan estos límites en las longitudes de texto sin formato y datos asociados (a continuación), AES-GCM falla de forma catastrófica y filtra material de clave.
  • AES-GCM-SIV (AES128_GCM_SIV, AES256_GCM_SIV) es casi tan rápido como AES-GCM. Tiene los mismos límites que AES-GCM en la cantidad de mensajes y el tamaño de los mensajes, pero, cuando se superan estos límites, falla de una manera menos catastrófica: solo puede filtrar el hecho de que dos mensajes son iguales. Esto hace que sea más seguro de usar que AES-GCM, pero se usa menos en la práctica. Para usarlo en Java, debes instalar Conscrypt.
  • XChaCha20-Poly1305 (XCHACHA20_POLY1305) tiene un límite mucho mayor en la cantidad de mensajes y el tamaño de los mensajes que AES-GCM, pero cuando falla (algo muy poco probable), también filtra material de la clave. No tiene aceleración de hardware, por lo que puede ser más lento que los modos AES en situaciones en las que la aceleración de hardware está disponible.

Garantías de seguridad

Las implementaciones de AEAD ofrecen lo siguiente:

  • Seguridad de CCA2.
  • Seguridad de autenticación de al menos 80 bits
  • La capacidad de encriptar al menos 232 mensajes con un total de 250 bytes Ningún ataque con hasta 232 textos sin formato o textos cifrados elegidos tiene una probabilidad de éxito mayor que 2-32.

Ejemplos de casos de uso

Consulta Quiero encriptar datos y Quiero vincular el texto cifrado a su contexto.