Megpróbálok többet megtudni a GCM módról és arról, hogy ez hogyan különbözik a CBC között. Már tudom, hogy a GCM biztosít egy MAC-ot, amelyet az üzenet hitelesítéséhez használnak. Az általam olvasottak és a látott kódrészletek alapján a GCM exkluzív, vagy hasonlóan tesz a CBC-hez, de nem vagyok biztos benne, mi az exkluzív, vagy ellene van. CBC módban az exkluzív-vagy sima szöveg az előző titkosítási mondattal szemben, kivéve az első blokkot, amely véletlenszerű IV-t használ. Vajon a GCM is így cselekszik, vagy kizárólagosan, vagy valami más ellen cselekszik? Ha igen, kérem, írja le valaki röviden, hogy a GCM hogyan használja az IV-t, és hogyan végzi el az exkluzív-t.
Megjegyzések
- Ha figyelmen kívül hagyja a hitelesítést, A GCM CTR módként viselkedik, nem pedig a CBC módban. Nézze meg ezeket a wikipédián.
- Csak azért, mert nincs meghatározva ' ezen az oldalon … GCM = Galois / Counter Mode és CBC = Cipher Block Chains … egyéb meghatározások a MAC (Message Authentication Code), IV (Initialisation Vector) és CTR (CounTeR Mode).
Válasz
A GCM és a CBC módok belsőleg egészen másképp működnek; mindkettő tartalmaz egy blokkos titkosítást és egy kizárólagos vagy, de különböző módon használják őket.
CBC módban az aktuális sima szövegblokk bevételével és az előző titkosított szövegblokk (vagy IV), majd ennek eredményét elküldi a blokkos titkosítón keresztül; a blokkos titkosítás kimenete a rejtjeles szövegblokk.
A GCM mód adatvédelmet (titkosítást) és integritást egyaránt biztosít. A titkosítás biztosításához a GCM számlálót tart fenn; minden adatblokkhoz elküldi a számláló aktuális értékét a blokkos titkosításon keresztül. Ezután a blokkos titkosítás kimenetére van szükség, és a sima szöveg létrehozásához az egyszerű szöveggel együtt a
-
Mi a kizárólagos vagy szerkesztett; CBC módban a sima szöveg kizáró vagy olyan adatokkal van szerkesztve, amelyeket a támadó ismer (az IV vagy egy korábbi rejtjeles szövegblokk); ennélfogva ez önmagában nem nyújt benne rejlő biztonságot (ehelyett azért tesszük, hogy minimalizáljuk annak esélyét, hogy ugyanazt a blokkot kétszer küldjük el a blokkosírón keresztül). GCM módban a sima szöveg kizárólagos vagy “a blokkos titkosítás kimenetével van szerkesztve; a biztonsági modell velejárója, hogy a támadó nem tudja kitalálni ezt a kimenetet (hacsak nem ismeri már a sima szöveget és a titkosított szöveget).
-
Mit küldenek a blokkos kódolással; CBC módban a sima szöveget a blokkos titkosítón keresztül küldi el (miután “véletlenszerűen” véletlenszerűvé tették egy exkluzív vagy -al); GCM módban a blokkos titkosítón keresztül küldöttek nem függenek attól, hogy milyen adatok vannak titkosítva, de csak belső állapoton.
Ami azt illeti, hogy a GCM hogyan használja az IV-t (én személy szerint a “nonce” -t jobb kifejezésnek tekintem arra, amit a GCM használ, mert ez hangsúlyozza a az az elképzelés, hogy a GCM használatával nem használhatja ugyanazt a nonce-t ugyanazon kulcshoz kétszer), nos, a számláló inicializálására szolgál.
Megjegyzések
- Nagyon érdekes … Ha jól értem, azt állítja, hogy GCM módban a blokk rejtjelszövege exkluzív – vagy ' van szerkesztve azzal a sima szöveggel szemben, amelyet éppen a titkosításon tettek át és ezt a blokkot elküldi. Ha ez igaz, akkor hogyan dekódolják azt a blokkot? Nem ' t az AES (például) titkosításból származó titkosított szöveg az adatok visszafejtéséhez szükséges? akkor is megkapta? Ha az o eredeti titkosított szöveget kap, akkor felhasználható az exkluzív vagy az elküldött rejtjelszöveghez, amely visszaadná a sima szöveget, és nem kellene további visszafejteni … I ' m hiányzik valami .. .
- Nem, a GCM-ben veszünk egy számlálót, ezt elküldjük a blokkos titkosítón keresztül, majd ezt kizáróan vagy a sima szöveggel együtt a titkosított szöveg kialakításához. A visszafejtési oldalon ugyanazt a számlálót tartjuk fenn, küldjük el a blokkos titkosítón keresztül, majd kizárólagos vagy a titkosított szöveggel a sima szöveget.
- @poncho Tehát a GCM-ben nincs szükségünk a A titkosítás „visszafejtése” része? Mivel mindkét oldalon „titkosítást” használunk.
- Ha ugyanazt a nonce-t kétszer használja ugyanazzal a kulccsal, megnyílik … milyen támadásnak indulhat?
- @RobertSiemer: két támadás: a) a támadó jelentős mennyiségű információt szerez a két, ugyanazzal a nonce-vel titkosított üzenetből (esetleg elegendő mindkét tartalom levezetéséhez), és b) a támadás olyan információkat nyer, amelyek lehetővé teszik az üzenetek megváltoztatását anélkül, hogy észlelnék