¿Cuál es la diferencia entre el modo CBC y GCM?

Los modos GCM y CBC funcionan internamente de manera bastante diferente; ambos involucran un cifrado de bloque y un exclusivo-or, pero los usan de diferentes maneras.

En el modo CBC, usted cifra un bloque de datos tomando el bloque de texto plano actual y el exclusivo-or que con el bloque de texto cifrado anterior (o IV), y luego enviar el resultado a través del cifrado de bloque; la salida del cifrado de bloque es el bloque de texto cifrado.

El modo GCM proporciona privacidad (cifrado) e integridad. Para proporcionar cifrado, GCM mantiene un contador; para cada bloque de datos, envía el valor actual del contador a través del cifrado de bloque. Luego, toma la salida del cifrado de bloque y los exclusivos o «s» con el texto plano para formar el texto cifrado.

Note dos diferencias clave:

• Lo que «es exclusivo-o» ed; en el modo CBC, el texto plano es exclusivo-o «ed» con datos que el atacante conoce (el IV o un bloque de texto cifrado anterior); por lo tanto, eso en sí mismo no proporciona ninguna seguridad inherente (en cambio, lo hacemos para minimizar la posibilidad de que enviemos el mismo bloque dos veces a través del cifrado de bloque). En el modo GCM, el texto sin formato es exclusivo o «editado con la salida del cifrado de bloque; es inherente al modelo de seguridad que el atacante no puede adivinar esa salida (a menos que ya conozca el texto sin formato y el texto cifrado)».

• Qué se envía a través del cifrado de bloque; en el modo CBC, el texto sin formato se envía a través del cifrado de bloque (después de «haber sido» aleatorizado «con un exclusivo-o); en el modo GCM, lo que se envía a través del cifrado de bloque no depende realmente de los datos cifrado, pero solo en el estado interno.

En cuanto a cómo GCM usa un IV (personalmente considero «nonce» un término mejor para lo que GCM usa, porque enfatiza el idea de que con GCM, no se puede usar el mismo nonce para la misma clave dos veces), bueno, se usa para inicializar el contador.

Comentarios

• Muy interesante … Si he entendido correctamente, estás diciendo que en el modo GCM el texto cifrado de un bloque es exclusivo o ' ed contra el texto plano que se acaba de pasar por el cifrado y ese bloque se envía. Si esto es cierto, ¿cómo se descifra ese bloque? ¿No es ' t el texto cifrado del cifrado AES (por ejemplo) necesario para descifrar los datos? se obtiene? Además, si el o se obtiene texto cifrado riginal, luego podría usarse para exclusivo o el texto cifrado enviado que devolvería el texto sin formato y no necesitaría más descifrado … Me ' me falta algo … .
• No, en GCM, tomamos un contador, lo enviamos a través del cifrado de bloque y luego exclusivo, o eso con el texto plano para formar el texto cifrado. En el lado del descifrado, mantenemos el mismo contador, lo enviamos a través del cifrado de bloque y luego exclusivo, o eso con el texto cifrado para formar el texto sin formato.
• @poncho Entonces en GCM no necesitamos el ¿»Descifrado» parte del cifrado de bloque? Porque usamos «cifrado» en ambos lados.
• Si usa el mismo nonce dos veces con la misma clave, se abre a … ¿qué ataque?
• @RobertSiemer: dos ataques: a) el atacante obtiene una cantidad significativa de información de los dos mensajes encriptados con el mismo nonce (posiblemente suficiente para deducir ambos contenidos), yb) el ataque obtiene información que le permitiría alterar los mensajes sin ser detectado