AES-128-GCM аутентифицирует IV на узле V6?

Question

AES-128-GCM аутентифицирует IV на узле V6?

1

Учитывая этот код:

const bufIV = Buffer.alloc(16);
const cipher = crypto.createCipheriv(CIPHER, mykey, crypto.randomFillSync(bufIV));
let encrypted = cipher.update(doc, 'utf8', ENCODING);
encrypted += cipher.final(ENCODING);

Будет ли ИВ также аутентифицироваться? Конец этой статьи, кажется, указывает, что это должно быть, но я действительно не понимаю, как это работает.

Использование хорошего IV автоматически не означает, что ваш криптозащитник безопасен. Вы также должны аутентифицировать свои зашифрованные тексты. Когда вы это сделаете, не забудьте подтвердить подлинность IV.

Arlen Beiler 01 авг. 2017, в 20:53

Источник

0

Статья, на которую вы ссылаетесь, не относится к режиму GCM, поэтому она применяется не полностью. IV нужно только уникальным для каждого шифрования с тем же ключом. Аутентификация, на которую они ссылаются, является MAC в дополнение к режиму CTR / CBC.
Artjom B. 01 авг. 2017, в 18:49
0

Так что мне не нужно беспокоиться об этом один раз?
Arlen Beiler 01 авг. 2017, в 18:50
0

Обратите внимание, что IV должен быть 12 байтов; не 16. Разные размеры IV поддерживаются алгоритмом GCM, но они могут быть менее безопасными и не рекомендуется NIST (поэтому они могут поддерживаться не на всех платформах).
Maarten Bodewes 02 авг. 2017, в 07:38
0

@ Маартен, 128/8 = 16? Разве это не должен быть размер блока?
Arlen Beiler 02 авг. 2017, в 11:09
0

В большинстве случаев да. Но требования для IV зависят от режима работы , а для GCM это, безусловно, одноразовый номер в 12 байтов (по умолчанию в любом случае). Прочтите GCM-спецификацию NIST, если вы не уверены! CBC требует одноразового номера в 16 байтов, который не может быть предсказан противником.
Maarten Bodewes 02 авг. 2017, в 11:55
0

Просто наткнулся на спецификации для этого. Одноразовый номер 12 байтов требуется для TLS, но рекомендуется только в спецификации AES-GCM как наиболее эффективный. tools.ietf.org/html/rfc5084 и tools.ietf.org/html/rfc5288
Arlen Beiler 30 авг. 2017, в 12:13

Показать ещё 4 комментария

Теги:

javascript

node.js

encryption

security

cryptography

1 ответ

Ещё вопросы

Статья, на которую вы ссылаетесь, не относится к режиму GCM, поэтому она применяется не полностью. IV нужно только уникальным для каждого шифрования с тем же ключом. Аутентификация, на которую они ссылаются, является MAC в дополнение к режиму CTR / CBC.
Так что мне не нужно беспокоиться об этом один раз?
Обратите внимание, что IV должен быть 12 байтов; не 16. Разные размеры IV поддерживаются алгоритмом GCM, но они могут быть менее безопасными и не рекомендуется NIST (поэтому они могут поддерживаться не на всех платформах).
@ Маартен, 128/8 = 16? Разве это не должен быть размер блока?
В большинстве случаев да. Но требования для IV зависят от режима работы , а для GCM это, безусловно, одноразовый номер в 12 байтов (по умолчанию в любом случае). Прочтите GCM-спецификацию NIST, если вы не уверены! CBC требует одноразового номера в 16 байтов, который не может быть предсказан противником.
Просто наткнулся на спецификации для этого. Одноразовый номер 12 байтов требуется для TLS, но рекомендуется только в спецификации AES-GCM как наиболее эффективный. tools.ietf.org/html/rfc5084 и tools.ietf.org/html/rfc5288

Maarten Bodewes · Accepted Answer · 2017-08-01T20-47-00.000Z

Да, AES-GCM автоматически проверит IV, проверка IV включена в расчет тега аутентификации.

Теперь для плохих новостей: поскольку вам нужно явно установить полученный тег аутентификации в NodeJS с помощью setAuthTag ничего не будет проверено в коде, который вы нам показали.

Хороший улов про setAuthTag. Я быстро столкнулся с этой проблемой в следующем :)