Halaman ini diterjemahkan oleh Cloud Translation API.

Streaming AES-GCM-HKDF

Dokumen ini secara resmi menentukan fungsi matematika yang diwakili oleh kunci Streaming AES-GCM-HKDF (dienkode dalam format proto sebagai type.googleapis.com/google.crypto.tink.AesGcmHkdfStreamingKey).

Enkripsi ini secara longgar didasarkan pada [HRRV15]¹. Untuk analisis keamanan, kami merujuk ke [HS20]².

Kunci dan parameter

Kunci dijelaskan menurut bagian-bagian berikut (semua ukuran dalam dokumen ini dalam byte):

$\mathrm{KeyValue}$, string byte.
$\mathrm{CiphertextSegmentSize} \in \{1, 2, \ldots, 2^{31}-1\}$.
$\mathrm{DerivedKeySize} \in \{16, 32\}$.
$\mathrm{HkdfHashType} \in \{\mathrm{SHA1}, \mathrm{SHA256}, \mathrm{SHA512}\}$.

Kunci yang valid juga memenuhi properti berikut:

$\mathrm{len}(\mathrm{KeyValue}) \geq \mathrm{DerivedKeySize}$.
$\mathrm{CiphertextSegmentSize} > \mathrm{DerivedKeySize} + 24$ (Ini sama dengan $\mathrm{len}(\mathrm{Header}) + 16$ seperti yang akan dijelaskan nanti).

Kunci yang tidak memenuhi salah satu properti ini akan ditolak oleh Tink (baik saat kunci diurai maupun saat primitif yang sesuai dibuat).

Fungsi enkripsi

Untuk mengenkripsi pesan $\mathrm{Msg}$ dengan data terkait $\mathrm{AssociatedData}$, kami membuat header, membagi pesan menjadi beberapa segmen, mengenkripsi setiap segmen, dan menyambungkan segmen. Kami akan menjelaskan langkah-langkah ini sebagai berikut.

Membuat header

Untuk membuat header, pertama-tama pilih string acak yang seragam $\mathrm{Salt}$ dengan panjang $\mathrm{DerivedKeySize}$. Selanjutnya, kita memilih string acak yang seragam $\mathrm{NoncePrefix}$ dengan panjang 7.

Kemudian, kami menetapkan $\mathrm{Header} := \mathrm{len}(\mathrm{Header}) \| \mathrm{Salt} \| \mathrm{NoncePrefix}$, dengan panjang header dienkode sebagai satu byte. Kami mendapati bahwa $\mathrm{len}(\mathrm{Header}) \in \{24, 40\}$.

Selanjutnya, kita menggunakan HKDF³ dengan fungsi hash yang diberikan oleh $\mathrm{HkdfHashType}$ dan input $\mathrm{ikm} := \mathrm{KeyValue}$, $\mathrm{salt} := \mathrm{Salt}$, dan $\mathrm{info} := \mathrm{AssociatedData}$, dengan panjang output $\mathrm{DerivedKeySize}$. Kita menyebut hasilnya $k$.

Memisahkan pesan

Berikutnya, pesan $\mathrm{Msg}$ akan dibagi menjadi beberapa bagian: $\mathrm{Msg} = M_0 \| M_1 \| \cdots \| M_{n-1}$.

Panjangnya dipilih agar memenuhi:

$\mathrm{len}(M_0) \in \{0,\ldots, \mathrm{CiphertextSegmentSize} - \mathrm{len}(\mathrm{Header}) - \mathrm{16}\}$.
Jika $n>1$, maka $\mathrm{len}(M_1), \ldots, \mathrm{len}(M_{n-1}) \in \{1,\ldots, \mathrm{CiphertextSegmentSize} - \mathrm{16}\}$.
Jika $n>1$, maka $\mathrm{len}(M_{0}), \ldots, \mathrm{len}(M_{n-2})$ harus memiliki panjang maksimal sesuai dengan batasan di atas.

Dalam pembagian ini, $n$ maksimal mungkin $2^{32}$. Jika tidak, enkripsi akan gagal.

Mengenkripsi blok

Untuk mengenkripsi segmen $M_i$, pertama-tama kami menghitung $\mathrm{IV}_i := \mathrm{NoncePrefix} \| \mathrm{i} \| b$, tempat kami mengenkode $\mathrm{i}$ dalam 4 byte menggunakan encoding big-endian, dan menetapkan byte $b$ menjadi 0x00 jika $i < n-1$ dan 0x01 sebaliknya.

Kemudian, kami mengenkripsi $M_i$ menggunakan AES GCM⁴, dengan kuncinya adalah$\mathrm{DerivedKey}$, vektor inisialisasinya adalah $\mathrm{IV}_i$, dan data terkait $A$ berupa string kosong. Kita menetapkan $C_i$ menjadi hasil dari enkripsi ini (yaitu penggabungan $C$ dan $T$ dalam referensi di atas).

Menggabungkan segmen

Terakhir, semua segmen digabungkan sebagai $\mathrm{Header} \| C_0 \| \cdots \| C_{n-1}$, yang merupakan ciphertext akhir.

Dekripsi

Dekripsi hanya membalikkan enkripsi. Kita menggunakan header untuk mendapatkan nonce, dan mendekripsi setiap segmen teks tersandi satu per satu.

API mungkin (dan biasanya memang) mengizinkan akses acak, atau akses ke awal file tanpa memeriksa akhir file. Hal ini dimaksud karena Anda dapat mendekripsi $M_i$ dari $C_i$, tanpa mendekripsi semua blok ciphertext sebelumnya dan yang tersisa.

Namun, API harus berhati-hati agar tidak memungkinkan pengguna untuk salah memahami error akhir file dan dekripsi: dalam kedua kasus, API mungkin harus menampilkan error, dan mengabaikan perbedaannya dapat menyebabkan lawan dapat memotong file secara efektif.

Serialisasi dan penguraian kunci

Untuk melakukan serialisasi kunci dalam format "Tink Proto", pertama-tama kami memetakan parameter dengan cara yang sudah jelas ke dalam proto yang diberikan di aes_gcm_hkdf_streaming.proto. Kolom version harus ditetapkan ke 0. Kemudian, kami melakukan serialisasi ini menggunakan serialisasi proto normal, dan menyematkan string yang dihasilkan ke nilai kolom proto KeyData. Kita menetapkan kolom type_url ke type.googleapis.com/google.crypto.tink.AesGcmHkdfStreamingKey. Kemudian, kita menetapkan key_material_type ke SYMMETRIC, dan menyematkannya ke dalam keyset. Kita biasanya menetapkan output_prefix_type ke RAW. Namun, jika kunci tersebut diuraikan dengan nilai yang berbeda yang ditetapkan untuk output_prefix_type, Tink dapat menulis RAW atau nilai sebelumnya.

Untuk mengurai kunci, kita membalikkan proses di atas (dengan cara biasa saat mengurai proto). Kolom key_material_type diabaikan. Nilai output_prefix_type dapat diabaikan, atau kunci yang memiliki output_prefix_type yang berbeda dengan RAW dapat ditolak. Kunci yang memiliki version yang berbeda dari 0 harus ditolak.

Masalah umum

Implementasi fungsi enkripsi di atas tidak diharapkan secara aman. Lihat Keamanan Fork.

Referensi

[HRRV15] Hoang, Reyhanitabar, Rogaway, Vizar. Enkripsi yang diautentikasi secara online dan penanggulangan penyalahgunaannya dari penggunaan ulang nonce. CRYPTO 2015. https://eprint.iacr.org/2015/189 ↩
[HS20] Keamanan Enkripsi Streaming di Tink Library Google. Hoang, Shen, 2020. https://eprint.iacr.org/2020/1019 ↩
[HKDF] Extract-and-Expand Key Derivation Function (HKDF) berbasis HMAC, RFC 5869. https://www.rfc-editor.org/rfc/rfc5869 ↩
NIST SP 800-38D, Rekomendasi untuk Mode Operasi Block Cipher: Galois/Counter Mode (GCM) dan GMAC. ↩