Dokumen ini secara resmi menentukan fungsi matematika yang diwakili oleh kunci Streaming AES-GCM-HKDF (dienkode dalam format proto sebagai type.googleapis.com/google.crypto.tink.AesGcmHkdfStreamingKey
).
Enkripsi ini secara longgar didasarkan pada [HRRV15]1. Untuk analisis keamanan, kami merujuk ke [HS20]2.
Kunci dan parameter
Kunci dijelaskan menurut bagian-bagian berikut (semua ukuran dalam dokumen ini dalam byte):
- \(\mathrm{KeyValue}\), string byte.
- \(\mathrm{CiphertextSegmentSize} \in \{1, 2, \ldots, 2^{31}-1\}\).
- \(\mathrm{DerivedKeySize} \in \{16, 32\}\).
- \(\mathrm{HkdfHashType} \in \{\mathrm{SHA1}, \mathrm{SHA256}, \mathrm{SHA512}\}\).
Kunci yang valid juga memenuhi properti berikut:
- \(\mathrm{len}(\mathrm{KeyValue}) \geq \mathrm{DerivedKeySize}\).
- \(\mathrm{CiphertextSegmentSize} > \mathrm{DerivedKeySize} + 24\) (Ini sama dengan \(\mathrm{len}(\mathrm{Header}) + 16\) seperti yang akan dijelaskan nanti).
Kunci yang tidak memenuhi salah satu properti ini akan ditolak oleh Tink (baik saat kunci diurai maupun saat primitif yang sesuai dibuat).
Fungsi enkripsi
Untuk mengenkripsi pesan \(\mathrm{Msg}\) dengan data terkait \(\mathrm{AssociatedData}\), kami membuat header, membagi pesan menjadi beberapa segmen, mengenkripsi setiap segmen, dan menyambungkan segmen. Kami akan menjelaskan langkah-langkah ini sebagai berikut.
Membuat header
Untuk membuat header, pertama-tama pilih string acak yang seragam \(\mathrm{Salt}\) dengan panjang \(\mathrm{DerivedKeySize}\). Selanjutnya, kita memilih string acak yang seragam \(\mathrm{NoncePrefix}\) dengan panjang 7.
Kemudian, kami menetapkan \(\mathrm{Header} := \mathrm{len}(\mathrm{Header}) \| \mathrm{Salt} \| \mathrm{NoncePrefix}\), dengan panjang header dienkode sebagai satu byte. Kami mendapati bahwa \(\mathrm{len}(\mathrm{Header}) \in \{24, 40\}\).
Selanjutnya, kita menggunakan HKDF3 dengan fungsi hash yang diberikan oleh \(\mathrm{HkdfHashType}\) dan input \(\mathrm{ikm} := \mathrm{KeyValue}\), \(\mathrm{salt} := \mathrm{Salt}\), dan \(\mathrm{info} := \mathrm{AssociatedData}\), dengan panjang output \(\mathrm{DerivedKeySize}\). Kita menyebut hasilnya \(k\).
Memisahkan pesan
Berikutnya, pesan \(\mathrm{Msg}\) akan dibagi menjadi beberapa bagian: \(\mathrm{Msg} = M_0 \| M_1 \| \cdots \| M_{n-1}\).
Panjangnya dipilih agar memenuhi:
- \(\mathrm{len}(M_0) \in \{0,\ldots, \mathrm{CiphertextSegmentSize} - \mathrm{len}(\mathrm{Header}) - \mathrm{16}\}\).
- Jika \(n>1\), maka \(\mathrm{len}(M_1), \ldots, \mathrm{len}(M_{n-1}) \in \{1,\ldots, \mathrm{CiphertextSegmentSize} - \mathrm{16}\}\).
- Jika \(n>1\), maka \(\mathrm{len}(M_{0}), \ldots, \mathrm{len}(M_{n-2})\) harus memiliki panjang maksimal sesuai dengan batasan di atas.
Dalam pembagian ini, \(n\) maksimal mungkin \(2^{32}\). Jika tidak, enkripsi akan gagal.
Mengenkripsi blok
Untuk mengenkripsi segmen \(M_i\), pertama-tama kami menghitung
\(\mathrm{IV}_i := \mathrm{NoncePrefix} \| \mathrm{i} \| b\), tempat kami mengenkode
\(\mathrm{i}\) dalam 4 byte menggunakan encoding big-endian, dan menetapkan byte $b$ menjadi
0x00
jika $i < n-1$ dan 0x01
sebaliknya.
Kemudian, kami mengenkripsi \(M_i\) menggunakan AES GCM4, dengan kuncinya adalah\(\mathrm{DerivedKey}\), vektor inisialisasinya adalah \(\mathrm{IV}_i\), dan data terkait \(A\) berupa string kosong. Kita menetapkan \(C_i\) menjadi hasil dari enkripsi ini (yaitu penggabungan \(C\) dan \(T\) dalam referensi di atas).
Menggabungkan segmen
Terakhir, semua segmen digabungkan sebagai \(\mathrm{Header} \| C_0 \| \cdots \| C_{n-1}\), yang merupakan ciphertext akhir.
Dekripsi
Dekripsi hanya membalikkan enkripsi. Kita menggunakan header untuk mendapatkan nonce, dan mendekripsi setiap segmen teks tersandi satu per satu.
API mungkin (dan biasanya memang) mengizinkan akses acak, atau akses ke awal file tanpa memeriksa akhir file. Hal ini dimaksud karena Anda dapat mendekripsi \(M_i\) dari \(C_i\), tanpa mendekripsi semua blok ciphertext sebelumnya dan yang tersisa.
Namun, API harus berhati-hati agar tidak memungkinkan pengguna untuk salah memahami error akhir file dan dekripsi: dalam kedua kasus, API mungkin harus menampilkan error, dan mengabaikan perbedaannya dapat menyebabkan lawan dapat memotong file secara efektif.
Serialisasi dan penguraian kunci
Untuk melakukan serialisasi kunci dalam format "Tink Proto", pertama-tama kami memetakan parameter
dengan cara yang sudah jelas ke dalam proto yang diberikan di
aes_gcm_hkdf_streaming.proto.
Kolom version
harus ditetapkan ke 0.
Kemudian, kami melakukan serialisasi ini menggunakan serialisasi proto normal, dan menyematkan string yang dihasilkan ke nilai kolom proto KeyData.
Kita menetapkan kolom
type_url
ke type.googleapis.com/google.crypto.tink.AesGcmHkdfStreamingKey
.
Kemudian, kita menetapkan key_material_type
ke SYMMETRIC
, dan menyematkannya ke dalam keyset. Kita biasanya menetapkan output_prefix_type
ke RAW
. Namun, jika kunci tersebut diuraikan dengan nilai yang berbeda yang ditetapkan untuk output_prefix_type
, Tink dapat menulis RAW
atau nilai sebelumnya.
Untuk mengurai kunci, kita membalikkan proses di atas (dengan cara biasa saat mengurai proto). Kolom key_material_type
diabaikan. Nilai
output_prefix_type
dapat diabaikan, atau kunci yang
memiliki output_prefix_type
yang berbeda dengan RAW
dapat ditolak.
Kunci yang memiliki version
yang berbeda dari 0 harus ditolak.
Masalah umum
Implementasi fungsi enkripsi di atas tidak diharapkan secara aman. Lihat Keamanan Fork.
Referensi
-
[HRRV15] Hoang, Reyhanitabar, Rogaway, Vizar. Enkripsi yang diautentikasi secara online dan penanggulangan penyalahgunaannya dari penggunaan ulang nonce. CRYPTO 2015. https://eprint.iacr.org/2015/189 ↩
-
[HS20] Keamanan Enkripsi Streaming di Tink Library Google. Hoang, Shen, 2020. https://eprint.iacr.org/2020/1019 ↩
-
[HKDF] Extract-and-Expand Key Derivation Function (HKDF) berbasis HMAC, RFC 5869. https://www.rfc-editor.org/rfc/rfc5869 ↩
-
NIST SP 800-38D, Rekomendasi untuk Mode Operasi Block Cipher: Galois/Counter Mode (GCM) dan GMAC. ↩