이 페이지에서는 키 및 기본 출력의 Tink 와이어 형식을 설명합니다. 이 문서는 유선 호환 모드를 원하는 기타 상위 수준 암호화 라이브러리의 Tink 및 유지보수 담당자에 언어를 추가하려는 암호화 전문가를 대상으로 합니다. 모든 연령대를 대상으로 하지 않습니다.
키 세트 직렬화
Tink는 Google protobuf를 사용하여 키 세트를 직렬화합니다.
- 바이너리 직렬화 키 세트는 tink.proto에 정의된 직렬화된 키 세트 proto입니다. 키의 KeyData 값 속성은 해당 키 유형의 직렬화된 proto입니다.
- JSON 직렬화된 키 세트는 JSON 형식으로 직렬화된 키 세트 프로토입니다. KeyData 값은 여전히 바이너리 직렬화된 프로토콜입니다.
- 암호화된 키 세트는 tink.proto에 정의된 직렬화된 EncryptedKeyst proto입니다. 암호화된 바이너리 직렬화 키 세트 및 선택적으로 일부 암호화되지 않은 KeysetInfo 메타데이터를 포함합니다.
Tink 출력 프리픽스
대부분의 Tink 프리미티브는 다음으로 구성된 5바이트 출력 접두사를 지원합니다.
- 1바이트 버전:
0x01
- 4바이트 키 힌트: 사용된 키의 키 ID입니다.
일부 기존 키는 버전 바이트 0x00
도 지원할 수 있습니다.
이 프리픽스는 인증되지 않았으며 보안 목적으로 사용할 수 없습니다. Tink는 이를 복호화 또는 인증 속도를 높이기 위한 힌트로 사용합니다.
아랍에미리트
일반적으로 Tink는 AEAD 암호문의 형식을 다음과 같이 지정합니다.
prefix || IV || ciphertext || tag
해당 RFC에 달리 지정되지 않는 한 prefix
는 비어 있거나 5바이트 Tink 출력 프리픽스입니다.
AES-CTR-HMAC
AES-CTR-HMAC의 경우 Tink는 다음과 같이 연결된 데이터 (AD)를 사용하여 MAC을 계산합니다.
AD || IV || ciphertext || bitlen(AD)
여기서 bitlen(AD)
는 64비트 big-endian 부호 없는 정수로 표시된 AD의 비트 길이입니다. 이 HMAC 스키마는 Mcgrew의 AES-CBC-HMAC 초안을 따릅니다.
확정적 AEAD
Tink는 AES-SIV에 RFC 5297을 구현하여 합성 초기화 벡터 (SIV)를 암호문 시작 부분에 배치합니다. 프리미티브는 5바이트 Tink 출력 접두사를 추가할 수 있습니다.
RFC 5297은 연결된 데이터 목록을 지원하지만 Tink는 정확히 하나의 연결된 데이터만 지원하며 이는 RFC 5297에서 요소가 한 개 있는 목록에 해당합니다. 빈 관련 데이터는 빈 목록이 아닌 빈 요소가 하나인 목록입니다.
스트리밍 AEAD
AES-CTR HMAC 및 AES-GCM-HKDF를 참조하세요.
봉투 암호화
봉투 암호화는 Tink의 AEAD 프리미티브를 사용하여 데이터 암호화 키 DEK
로 데이터를 암호화합니다. 암호화는 다음과 같이 작동합니다.
- 지정된 키 템플릿 (또는 키 매개변수)을 사용하여 새
DEK
가 생성됩니다. DEK
는 바이트 문자열로 직렬화됩니다. 직렬화 형식은 키 유형 proto의 프로토콜 버퍼 직렬화 형식입니다. 예를 들어 다음은 키 유형 AES GCM의 DEK를 위해 aes_gcm.proto에 정의된 직렬화된AesGcmKey
프로토콜 버퍼 메시지입니다. 프로토콜 버퍼를 직렬화하는 방법은 프로토콜 버퍼 직렬화를 참고하세요.- 직렬화된
DEK
는 외부 공급자 (예: GCP)에 의해encrypted DEK
로 암호화됩니다. DEK
는 연결된 데이터가 있는 일반 텍스트를ciphertext
로 암호화하는 데 사용됩니다. 따라서ciphertext
의 형식은DEK
에 해당하는 AEAD 프리미티브와 정확히 동일합니다.
봉투 암호화의 출력 형식은 다음과 같습니다.
encrypted DEK length || encrypted DEK || ciphertext
encrypted DEK length
는 4바이트이며 encrypted DEK
의 길이를 32비트 big-endian 정수로 저장합니다.
MAC
Tink는 해당 RFC를 따릅니다. 기본형은 5바이트 Tink 출력 접두사를 태그에 추가할 수 있습니다.
PRF 세트
Tink는 해당 RFC를 따릅니다. PRF 세트의 키 유형은 출력 길이를 포함하지 않는다는 점에서 동일한 알고리즘의 MAC 키 유형과 다릅니다. PRF 설정 키는 Tink 출력 프리픽스를 추가하지 않습니다. 이렇게 하면 출력이 실제로 PRF가 되도록 할 수 있습니다.
하이브리드 암호화
Tink 하이브리드 암호화의 일반적인 전송 형식은 다음과 같습니다.
prefix || encapsulated_key || encrypted_data
prefix
는 비어 있거나 5바이트 Tink 출력 프리픽스입니다. 각 키 유형에는 파싱할 바이트 수와 encapsulated_key
에서 이러한 바이트를 파싱하는 방법에 관한 정보가 포함됩니다.
HPKE (하이브리드 공개 키 암호화)
Tink는 RFC 9180에 정의된 HPKE 표준을 따릅니다. HPKE 암호화 제품군에는 다음 세 가지 프리미티브가 포함됩니다.
- 키 캡슐화 메커니즘 (KEM)
- 키 파생 함수 (KDF)
- 연결된 데이터로 암호화 인증 (AEAD)
HPKE 표준은 RFC 9180, 섹션 10에 일반 유선 형식을 정의하지 않습니다. Tink의 HPKE 구현은 다음 encapsulated_key
및 encrypted_data
값을 사용합니다.
encapsulated_key
- 발신자의 직렬화된 공개 키
- RFC 9180, 섹션 4.1에서
enc
로 정의됩니다. - 사용된 특정 HPKE KEM에 따라 결정되는 형식
encrypted_data
- 암호문 및 태그 (예: IV가 없는
ciphertext || tag
) - RFC 9180, 섹션 4에서
ct
로 정의됩니다. - 사용된 특정 HPKE AEAD에 따라 결정되는 형식
- 암호문 및 태그 (예: IV가 없는
X25519 Diffie-Hellman 기반 KEM
X25519 DHKEM의 경우 enc
값은 발신자의 32바이트 Diffie-Hellman 공개 키입니다.
ECIES-AEAD-HKDF
Tink의 ECIES-AEAD-HKDF 구현에서 encapsulated_key
는 키 캡슐화 메커니즘 (KEM)의 출력이고 encrypted_data
는 데이터 캡슐화 메커니즘 (DEM)의 출력입니다.
키워드 관리
Tink는 키 유형에 따라 RFC 8422/ANSI.X9-62.2005
인코딩 표준에 따라 압축된 타원 곡선 포인트와 압축되지 않은 타원 곡선 포인트를 사용합니다. 비압축 포인트의 경우 0x04
바이트 뒤에 x
및 y
좌표가 고정 크기 정수로 나옵니다. 압축된 좌표의 경우 바이트 0x02
또는 0x03
와 고정 크기 정수인 x
좌표를 사용합니다. X25519
의 경우 RFC 7748 정의가 사용됩니다 (고정 크기 정수인 x
좌표).
디지털 마케팅
encrypted_data
의 경우 Tink는 AEAD와 동일한 형식을 사용합니다. 여기에는 IV를 지정하는 것도 포함됩니다.
키 파생
먼저 공유된 지점의 x 좌표 x_ss
를 계산합니다. 그러면 AEAD의 키가 다음과 같이 설정됩니다.
HKDF(ikm = encapsulated_key || x_ss, salt = salt_of_key, info = context_info, length = dem_key_size)
여기서 encapsulated_key
는 바이트인 전체 KEM 출력입니다.
디지털 서명
Tink는 해당 RFC를 따릅니다. 기본형은 생성된 태그에 5바이트 Tink 출력 접두사를 추가할 수 있습니다.
ECDSA
키의 EcdsaSignatureEncoding 필드에 따라 ECDSA 서명의 형식은 IEEE P1363
또는 ASN.1 DER
입니다.
IEEE P1363
서명의 형식은 r || s
이며, 여기서 r
및 s
는 0 패딩이 적용되어 있고 곡선 순서와 바이트 단위 크기가 동일합니다. 예를 들어 NIST P-256
곡선의 경우 r
와 s
는 32바이트로 0으로 패딩됩니다.
DER 서명은 ASN.1
를 사용하여 인코딩됩니다.
ECDSA-Sig-Value :: = SEQUENCE { r INTEGER, s INTEGER }
특히 인코딩은 다음과 같습니다.
0x30 || totalLength || 0x02 || r's length || r || 0x02 || s's length || s
Tink는 DER로 인코딩된 ECDSA 서명 (대체 BER 인코딩 서명은 유효하지 않음)만 수락함으로써 서명 검증에 대한 권장사항을 따릅니다.
이는 종종 암호화폐 시스템에 영향을 주는 서명 변동성 공격을 방지하는 데 도움이 됩니다.