Cette page a été traduite par l'API Cloud Translation.

Chiffrement authentifié avec des données associées (AEAD)

La primitive de chiffrement authentifié avec données associées (AEAD, Authenticated Encryption with Associated Data) est la plus courante pour chiffrer des données. Elle convient à la plupart des besoins.

Le chiffrement AEAD possède les propriétés suivantes:

Secrecy: rien sur le texte brut n'est connu, à l'exception de sa longueur.
Authenticité: il est impossible de modifier le texte brut chiffré sous-jacent au texte chiffré sans que la modification ne soit détectable.
Symétrique: le chiffrement du texte brut et le déchiffrement du texte chiffré s'effectuent avec la même clé.
Randomisation: le chiffrement est aléatoire. Deux messages comportant le même texte brut génèrent des textes chiffrés différents. Les pirates informatiques ne peuvent pas savoir quel texte chiffré correspond à un texte brut donné. Pour éviter cela, utilisez plutôt AEAD déterministe.

Données associées

Le chiffrement authentifié avec données associées peut être utilisé pour lier le texte chiffré à des données associées spécifiques. Supposons que vous disposiez d'une base de données avec les champs user-id et encrypted-medical-history. Dans ce scénario, user-id peut être utilisé en tant que données associées lors du chiffrement de encrypted-medical-history. Cela empêche un pirate informatique de transférer l'historique médical d'un utilisateur à un autre.

Choisir un type de clé

Bien que nous recommandions AES128_GCM pour la plupart des utilisations, il existe différents types de clés pour différents besoins (pour une sécurité de 256 bits, remplacez AES128 par AES256 ci-dessous). En général:

AES128_CTR_HMAC_SHA256 avec un vecteur d'initialisation (IV) de 16 octets est le mode le plus conservateur avec de bonnes limites.
AES128_EAX est légèrement moins conservateur et légèrement plus rapide qu'AES128_CTR_HMAC_SHA256.
AES128_GCM est généralement le mode le plus rapide, avec les limites les plus strictes sur le nombre de messages et la taille des messages. Lorsque ces limites sur le texte brut et les longueurs de données associées (ci-dessous) sont dépassées, AES128_GCM échoue et fuit du matériel de clé.
AES128_GCM_SIV est presque aussi rapide qu'AES128_GCM. Il a les mêmes limites qu'AES128_GCM sur le nombre de messages et la taille des messages, mais lorsque ces limites sont dépassées, il échoue de manière moins catastrophique: il ne peut divulguer que le fait que deux messages sont égaux. Il est donc plus sûr à utiliser que AES128_GCM, mais il est moins utilisé dans la pratique. Pour utiliser cette fonctionnalité en Java, vous devez installer Conscrypt.
XChaCha20Poly1305 limite beaucoup plus le nombre de messages et la taille des messages qu'AES128_GCM, mais en cas d'échec (très peu probable), il fuit également du matériel de clé. Il n'est pas accéléré par le matériel. Il peut donc être plus lent que les modes AES lorsque l'accélération matérielle est disponible.

Garanties de sécurité

Les implémentations AEAD offrent les avantages suivants:

Sécurité CCA2
Niveau d'authentification d'au moins 80 bits
Possibilité de chiffrer au moins 2³² messages pour un total de 2⁵⁰ octets. Aucune attaque avec jusqu'à 2³² textes bruts ou chiffrés choisis n'a une probabilité de succès supérieure à 2^-32.

Exemples de cas d'utilisation

Je souhaite chiffrer des données et lier le texte chiffré à son contexte.