이 페이지는 Cloud Translation API를 통해 번역되었습니다.

Tink 와이어 형식

이 페이지에서는 키 및 기본 출력의 Tink 와이어 형식을 설명합니다. 이 문서는 유선 호환 모드를 원하는 기타 상위 수준 암호화 라이브러리의 Tink 및 유지보수 담당자에 언어를 추가하려는 암호화 전문가를 대상으로 합니다. 모든 연령대를 대상으로 하지 않습니다.

키 세트 직렬화

Tink는 Google protobuf를 사용하여 키 세트를 직렬화합니다.

바이너리 직렬화 키 세트는 tink.proto에 정의된 직렬화된 키 세트 proto입니다. 키의 KeyData 값 속성은 해당 키 유형의 직렬화된 proto입니다.
JSON 직렬화된 키 세트는 JSON 형식으로 직렬화된 키 세트 프로토입니다. KeyData 값은 여전히 바이너리 직렬화된 프로토콜입니다.
암호화된 키 세트는 tink.proto에 정의된 직렬화된 EncryptedKeyst proto입니다. 암호화된 바이너리 직렬화 키 세트 및 선택적으로 일부 암호화되지 않은 KeysetInfo 메타데이터를 포함합니다.

Tink 출력 프리픽스

대부분의 Tink 프리미티브는 다음으로 구성된 5바이트 출력 접두사를 지원합니다.

1바이트 버전: 0x01
4바이트 키 힌트: 사용된 키의 키 ID입니다.

일부 기존 키는 버전 바이트 0x00도 지원할 수 있습니다.

이 프리픽스는 인증되지 않았으며 보안 목적으로 사용할 수 없습니다. Tink는 이를 복호화 또는 인증 속도를 높이기 위한 힌트로 사용합니다.

아랍에미리트

일반적으로 Tink는 AEAD 암호문의 형식을 다음과 같이 지정합니다.

prefix || IV || ciphertext || tag

해당 RFC에 달리 지정되지 않는 한 prefix는 비어 있거나 5바이트 Tink 출력 프리픽스입니다.

AES-CTR-HMAC

AES-CTR-HMAC의 경우 Tink는 다음과 같이 연결된 데이터 (AD)를 사용하여 MAC을 계산합니다.

AD || IV || ciphertext || bitlen(AD)

여기서 bitlen(AD)는 64비트 big-endian 부호 없는 정수로 표시된 AD의 비트 길이입니다. 이 HMAC 스키마는 Mcgrew의 AES-CBC-HMAC 초안을 따릅니다.

확정적 AEAD

Tink는 AES-SIV에 RFC 5297을 구현하여 합성 초기화 벡터 (SIV)를 암호문 시작 부분에 배치합니다. 프리미티브는 5바이트 Tink 출력 접두사를 추가할 수 있습니다.

RFC 5297은 연결된 데이터 목록을 지원하지만 Tink는 정확히 하나의 연결된 데이터만 지원하며 이는 RFC 5297에서 요소가 한 개 있는 목록에 해당합니다. 빈 관련 데이터는 빈 목록이 아닌 빈 요소가 하나인 목록입니다.

스트리밍 AEAD

AES-CTR HMAC 및 AES-GCM-HKDF를 참조하세요.

봉투 암호화

봉투 암호화는 Tink의 AEAD 프리미티브를 사용하여 데이터 암호화 키 DEK로 데이터를 암호화합니다. 암호화는 다음과 같이 작동합니다.

지정된 키 템플릿 (또는 키 매개변수)을 사용하여 새 DEK가 생성됩니다.
DEK는 바이트 문자열로 직렬화됩니다. 직렬화 형식은 키 유형 proto의 프로토콜 버퍼 직렬화 형식입니다. 예를 들어 다음은 키 유형 AES GCM의 DEK를 위해 aes_gcm.proto에 정의된 직렬화된 AesGcmKey 프로토콜 버퍼 메시지입니다. 프로토콜 버퍼를 직렬화하는 방법은 프로토콜 버퍼 직렬화를 참고하세요.
직렬화된 DEK는 외부 공급자 (예: GCP)에 의해 encrypted DEK로 암호화됩니다.
DEK는 연결된 데이터가 있는 일반 텍스트를 ciphertext로 암호화하는 데 사용됩니다. 따라서 ciphertext의 형식은 DEK에 해당하는 AEAD 프리미티브와 정확히 동일합니다.

봉투 암호화의 출력 형식은 다음과 같습니다.

encrypted DEK length || encrypted DEK || ciphertext

encrypted DEK length는 4바이트이며 encrypted DEK의 길이를 32비트 big-endian 정수로 저장합니다.

MAC

Tink는 해당 RFC를 따릅니다. 기본형은 5바이트 Tink 출력 접두사를 태그에 추가할 수 있습니다.

PRF 세트

Tink는 해당 RFC를 따릅니다. PRF 세트의 키 유형은 출력 길이를 포함하지 않는다는 점에서 동일한 알고리즘의 MAC 키 유형과 다릅니다. PRF 설정 키는 Tink 출력 프리픽스를 추가하지 않습니다. 이렇게 하면 출력이 실제로 PRF가 되도록 할 수 있습니다.

하이브리드 암호화

Tink 하이브리드 암호화의 일반적인 전송 형식은 다음과 같습니다.

prefix || encapsulated_key || encrypted_data

prefix는 비어 있거나 5바이트 Tink 출력 프리픽스입니다. 각 키 유형에는 파싱할 바이트 수와 encapsulated_key에서 이러한 바이트를 파싱하는 방법에 관한 정보가 포함됩니다.

HPKE (하이브리드 공개 키 암호화)

Tink는 RFC 9180에 정의된 HPKE 표준을 따릅니다. HPKE 암호화 제품군에는 다음 세 가지 프리미티브가 포함됩니다.

키 캡슐화 메커니즘 (KEM)
키 파생 함수 (KDF)
연결된 데이터로 암호화 인증 (AEAD)

HPKE 표준은 RFC 9180, 섹션 10에 일반 유선 형식을 정의하지 않습니다. Tink의 HPKE 구현은 다음 encapsulated_key 및 encrypted_data 값을 사용합니다.

encapsulated_key
- 발신자의 직렬화된 공개 키
- RFC 9180, 섹션 4.1에서 enc로 정의됩니다.
- 사용된 특정 HPKE KEM에 따라 결정되는 형식
encrypted_data
- 암호문 및 태그 (예: IV가 없는 ciphertext || tag)
- RFC 9180, 섹션 4에서 ct로 정의됩니다.
- 사용된 특정 HPKE AEAD에 따라 결정되는 형식

X25519 Diffie-Hellman 기반 KEM

X25519 DHKEM의 경우 enc 값은 발신자의 32바이트 Diffie-Hellman 공개 키입니다.

ECIES-AEAD-HKDF

Tink의 ECIES-AEAD-HKDF 구현에서 encapsulated_key는 키 캡슐화 메커니즘 (KEM)의 출력이고 encrypted_data는 데이터 캡슐화 메커니즘 (DEM)의 출력입니다.

키워드 관리

Tink는 키 유형에 따라 RFC 8422/ANSI.X9-62.2005 인코딩 표준에 따라 압축된 타원 곡선 포인트와 압축되지 않은 타원 곡선 포인트를 사용합니다. 비압축 포인트의 경우 0x04 바이트 뒤에 x 및 y 좌표가 고정 크기 정수로 나옵니다. 압축된 좌표의 경우 바이트 0x02 또는 0x03와 고정 크기 정수인 x 좌표를 사용합니다. X25519의 경우 RFC 7748 정의가 사용됩니다 (고정 크기 정수인 x 좌표).

디지털 마케팅

encrypted_data의 경우 Tink는 AEAD와 동일한 형식을 사용합니다. 여기에는 IV를 지정하는 것도 포함됩니다.

키 파생

먼저 공유된 지점의 x 좌표 x_ss를 계산합니다. 그러면 AEAD의 키가 다음과 같이 설정됩니다.

HKDF(ikm = encapsulated_key || x_ss, salt = salt_of_key, info = context_info, length = dem_key_size)

여기서 encapsulated_key는 바이트인 전체 KEM 출력입니다.

디지털 서명

Tink는 해당 RFC를 따릅니다. 기본형은 생성된 태그에 5바이트 Tink 출력 접두사를 추가할 수 있습니다.

ECDSA

키의 EcdsaSignatureEncoding 필드에 따라 ECDSA 서명의 형식은 IEEE P1363 또는 ASN.1 DER입니다.

IEEE P1363 서명의 형식은 r || s이며, 여기서 r 및 s는 0 패딩이 적용되어 있고 곡선 순서와 바이트 단위 크기가 동일합니다. 예를 들어 NIST P-256 곡선의 경우 r와 s는 32바이트로 0으로 패딩됩니다.

DER 서명은 ASN.1를 사용하여 인코딩됩니다.

ECDSA-Sig-Value :: = SEQUENCE { r INTEGER, s INTEGER }

특히 인코딩은 다음과 같습니다.

0x30 || totalLength || 0x02 || r's length || r || 0x02 || s's length || s

Tink는 DER로 인코딩된 ECDSA 서명 (대체 BER 인코딩 서명은 유효하지 않음)만 수락함으로써 서명 검증에 대한 권장사항을 따릅니다.

이는 종종 암호화폐 시스템에 영향을 주는 서명 변동성 공격을 방지하는 데 도움이 됩니다.