این صفحه به‌وسیله ‏Cloud Translation API‏ ترجمه شده است.

AES-GCM-HKDF جریان AEAD

این سند به طور رسمی تابع ریاضی نشان‌داده‌شده توسط کلیدهای جریانی AES-GCM-HKDF را تعریف می‌کند (که در قالب پروتو به‌عنوان type.googleapis.com/google.crypto.tink.AesGcmHkdfStreamingKey کدگذاری شده‌اند).

این رمزگذاری بر اساس [HRRV15] ¹ استوار است. برای تجزیه و تحلیل امنیت به [HS20] ² مراجعه می کنیم.

کلید و پارامترها

کلیدها با قسمت های زیر توصیف می شوند (همه اندازه های این سند بر حسب بایت هستند):

$\mathrm{KeyValue}$، یک رشته بایت.
$\mathrm{CiphertextSegmentSize} \in \{1, 2, \ldots, 2^{31}-1\}$.
$\mathrm{DerivedKeySize} \in \{16, 32\}$.
$\mathrm{HkdfHashType} \in \{\mathrm{SHA1}, \mathrm{SHA256}, \mathrm{SHA512}\}$.

کلیدهای معتبر علاوه بر این ویژگی های زیر را برآورده می کنند:

$\mathrm{len}(\mathrm{KeyValue}) \geq \mathrm{DerivedKeySize}$.
$\mathrm{CiphertextSegmentSize} > \mathrm{DerivedKeySize} + 24$ (این برابر است با$\mathrm{len}(\mathrm{Header}) + 16$ همانطور که بعدا توضیح داده شد).

کلیدهایی که هیچ یک از این ویژگی‌ها را برآورده نمی‌کنند توسط Tink رد می‌شوند (چه زمانی که کلید تجزیه می‌شود یا زمانی که کلید اولیه مربوطه ایجاد می‌شود).

عملکرد رمزگذاری

برای رمزگذاری یک پیام $\mathrm{Msg}$ با داده های مرتبط$\mathrm{AssociatedData}$، یک سرصفحه ایجاد می کنیم، پیام را به بخش هایی تقسیم می کنیم، هر بخش را رمزگذاری می کنیم و بخش ها را به هم متصل می کنیم. در ادامه این مراحل را توضیح می دهیم.

ایجاد هدر

برای ایجاد هدر، ابتدا یک رشته تصادفی یکنواخت $\mathrm{Salt}$به طول $\mathrm{DerivedKeySize}$انتخاب می کنیم. سپس یک رشته تصادفی یکنواخت$\mathrm{NoncePrefix}$ به طول 7 را انتخاب می کنیم.

سپس$\mathrm{Header} := \mathrm{len}(\mathrm{Header}) \| \mathrm{Salt} \| \mathrm{NoncePrefix}$را تنظیم می کنیم، جایی که طول هدر به صورت یک بایت کدگذاری می شود. توجه می کنیم که$\mathrm{len}(\mathrm{Header}) \in \{24, 40\}$.

در مرحله بعد، از HKDF ³ با تابع هش ارائه شده توسط $\mathrm{HkdfHashType}$و ورودی های $\mathrm{ikm} := \mathrm{KeyValue}$،$\mathrm{salt} := \mathrm{Salt}$و$\mathrm{info} := \mathrm{AssociatedData}$، با طول خروجی $\mathrm{DerivedKeySize}$استفاده می کنیم. ما نتیجه را $k$می نامیم.

تقسیم پیام

پیام $\mathrm{Msg}$ در مرحله بعدی به بخش هایی تقسیم می شود:$\mathrm{Msg} = M_0 \| M_1 \| \cdots \| M_{n-1}$.

طول آنها به گونه ای انتخاب می شوند که برآورده شوند:

$\mathrm{len}(M_0) \in \{0,\ldots, \mathrm{CiphertextSegmentSize} - \mathrm{len}(\mathrm{Header}) - \mathrm{16}\}$.
اگر $n>1$، پس $\mathrm{len}(M_1), \ldots, \mathrm{len}(M_{n-1}) \in \{1,\ldots, \mathrm{CiphertextSegmentSize} - \mathrm{16}\}$.
اگر $n>1$، پس $\mathrm{len}(M_{0}), \ldots, \mathrm{len}(M_{n-2})$ باید حداکثر طول را مطابق با محدودیت های بالا داشته باشد.

در این تقسیم، $n$ حداکثر ممکن است $2^{32}$باشد. در غیر این صورت، رمزگذاری با شکست مواجه می شود.

رمزگذاری بلوک ها

برای رمزگذاری بخش $M_i$، ابتدا$\mathrm{IV}_i := \mathrm{NoncePrefix} \| \mathrm{i} \| b$محاسبه می کنیم، جایی که$\mathrm{i}$ در 4 بایت با استفاده از رمزگذاری big-endian رمزگذاری می کنیم، و اگر $i < n-1$ و در غیر این صورت 0x00 باشد، بایت $b$ را 0x01 تنظیم می کنیم. .

سپس $M_i$ با استفاده از AES GCM ⁴ رمزگذاری می کنیم، که در آن کلید$\mathrm{DerivedKey}$است، بردار اولیه $\mathrm{IV}_i$است، و داده های مرتبط $A$ رشته خالی است. ما $C_i$ را به عنوان نتیجه این رمزگذاری تنظیم کردیم (یعنی الحاق $C$ و $T$ در مرجع بالا).

بخش ها را به هم متصل کنید

در نهایت، تمام بخش‌ها به‌عنوان$\mathrm{Header} \| C_0 \| \cdots \| C_{n-1}$به هم متصل می‌شوند که متن رمز نهایی است.

رمزگشایی

رمزگشایی به سادگی رمزگذاری را معکوس می کند. ما از هدر برای به دست آوردن nonce استفاده می کنیم و هر بخش از متن رمز شده را جداگانه رمزگشایی می کنیم.

APIها ممکن است (و معمولاً اجازه می دهند) دسترسی تصادفی یا دسترسی به ابتدای یک فایل را بدون بازرسی انتهای فایل مجاز کنند. این عمدی است، زیرا امکان رمزگشایی $M_i$ از $C_i$، بدون رمزگشایی همه بلوک های متن رمز شده قبلی و باقی مانده وجود دارد.

با این حال، APIها باید مراقب باشند که به کاربران اجازه ندهند خطاهای انتهای فایل و رمزگشایی را با هم اشتباه بگیرند: در هر دو مورد، API احتمالاً باید یک خطا را برگرداند، و نادیده گرفتن تفاوت می‌تواند منجر به این شود که حریف بتواند به طور مؤثر فایل‌ها را کوتاه کند.

سریال سازی و تجزیه کلیدها

برای سریال سازی یک کلید در قالب "Tink Proto"، ابتدا پارامترها را به روشی واضح در پروتوی ارائه شده در aes_gcm_hkdf_streaming.proto نگاشت می کنیم. version فیلد باید روی 0 تنظیم شود. سپس این را با استفاده از سریال‌سازی پروتو معمولی سریال می‌کنیم و رشته حاصل را در مقدار فیلد یک پروتوی KeyData قرار می‌دهیم. فیلد type_url را روی type.googleapis.com/google.crypto.tink.AesGcmHkdfStreamingKey تنظیم کردیم. سپس key_material_type روی SYMMETRIC قرار می دهیم و آن را در یک مجموعه کلید قرار می دهیم. ما معمولا output_prefix_type را روی RAW قرار می دهیم. استثنا این است که اگر کلید با مقدار متفاوتی برای output_prefix_type تجزیه شود، Tink ممکن است RAW یا مقدار قبلی را بنویسد.

برای تجزیه یک کلید، فرآیند فوق را معکوس می کنیم (به روش معمول هنگام تجزیه پروتوها). فیلد key_material_type نادیده گرفته می شود. مقدار output_prefix_type را می توان نادیده گرفت یا کلیدهایی را که output_prefix_type متفاوت از RAW دارند رد کرد. کلیدهایی که دارای version متفاوت از 0 هستند باید رد شوند.

مشکلات شناخته شده

انتظار نمی رود که پیاده سازی های تابع رمزگذاری فوق امن باشد. به ایمنی چنگال مراجعه کنید.

منابع

[HRRV15] Hoang، Reyhanitabar، Rogaway، Vizar. رمزگذاری آنلاین تأیید شده و عدم استفاده مجدد از آن، مقاومت در برابر استفاده نادرست. CRYPTO 2015. https://eprint.iacr.org/2015/189 ↩
[HS20] امنیت رمزگذاری جریان در کتابخانه تینک گوگل. Hoang، Shen، 2020. https://eprint.iacr.org/2020/1019 ↩
[HKDF] تابع مشتق کلید استخراج و بسط مبتنی بر HMAC (HKDF)، RFC 5869. https://www.rfc-editor.org/rfc/rfc5869 ↩
NIST SP 800-38D، توصیه‌ای برای حالت‌های عملیات رمز بلوکی: حالت Galois/Counter Mode (GCM) و GMAC. ↩