Jeg prøver å lære mer om GCM-modus og hvordan den er forskjellig mellom CBC. Jeg vet allerede at GCM gir en MAC som brukes til meldingsautentisering. Ut fra det jeg har lest, og fra kodebiten jeg har sett, gjør GCM et eksklusivt eller mye som CBC, men jeg er ikke sikker på hva det eksklusive eller er imot. I CBC-modus er eksklusiv-eller klartekst mot forrige krypteringstekstblokk, bortsett fra den første blokken som bruker en tilfeldig IV. Gjør GCM det samme, eller gjør det eksklusivt – eller mot noe annet? I så fall kan noen fortelle kort hvordan GCM bruker IV og hvordan eksklusiv-eller gjøres.

Kommentarer

  • Hvis du ser bort fra autentisering, GCM oppfører seg som CTR-modus, ikke som CBC-modus. Slå dem opp på wikipedia.
  • Bare fordi det ikke er ' t definert på denne siden … GCM = Galois / Counter Mode, og CBC = Cipher Block Chaining … andre definisjoner inkluderer MAC (Message Authentication Code), IV (Initialisation Vector) og CTR (CounTeR Mode).

Svar

GCM- og CBC-modus fungerer internt ganske annerledes; de involverer begge en blokkryptering og en eksklusiv-eller, men de bruker dem på forskjellige måter.

I CBC-modus krypterer du en datablokk ved å ta den nåværende klartekstblokken og eksklusiv-oring som med forrige krypteringstekstblokk (eller IV), og deretter sender resultatet av det gjennom blokkrypteringen; utdataene fra blokkrypteringen er krypteringstekstblokken.

GCM-modus gir både personvern (kryptering) og integritet. For å gi kryptering vedlikeholder GCM en teller; for hver datablokk sender den gjeldende verdi av telleren gjennom blokkrypteringen. Deretter tar det utdataene fra blokkrypteringen, og eksklusiv eller er det med ren tekst for å danne krypteringsteksten.

Legg merke til to viktige forskjeller:

  • Hva er eksklusiv eller redigert i CBC-modus, er ren tekst eksklusiv eller redigert med data som angriperen kjenner til (IV eller en tidligere krypteringstekstblokk); dermed gir det ikke i seg selv noen iboende sikkerhet (i stedet gjør vi det for å minimere sjansen for at vi sender den samme blokken to ganger gjennom blokkrypteringen). I GCM-modus er ren tekst eksklusiv eller «redigert med utdata fra blokkrypteringen. Det er iboende i sikkerhetsmodellen at angriperen ikke kan gjette utdataene (med mindre han allerede kjenner klartekst og krypteringstekst).

  • Hva sendes gjennom blokkrypteringen; i CBC-modus sendes klartekst gjennom blokkrypteringen (etter at den er «randomisert» med en eksklusiv-eller); i GCM-modus avhenger ikke hva som sendes gjennom blokkrypteringen av dataene som kryptert, men i stedet bare for intern tilstand.

Når det gjelder hvordan GCM bruker en IV (jeg anser personlig «nonce» som et bedre begrep for hva GCM bruker, fordi det understreker forestill deg at med GCM kan du ikke bruke den samme nonce for den samme nøkkelen to ganger), vel, den brukes til å initialisere telleren.

Kommentarer

  • Veldig interessant … Hvis jeg forstår riktig, sier du at i GCM-modus er krypteringsteksten til en blokk eksklusiv – eller ' ed mot klarteksten som nettopp ble satt gjennom krypteringen og den blokken blir deretter sendt. Hvis dette er sant, hvordan dekrypteres blokken? Er ikke ' t krypteringsteksten fra AES (for eksempel) kryptering nødvendig for å dekryptere dataene? Hvordan er det oppnådd, også hvis o riginal kryptert tekst er oppnådd, så kan den brukes til eksklusiv – eller den sendte krypteringsteksten som vil returnere ren tekst og ikke trenger videre dekryptering … Jeg ' mangler noe .. .
  • Nei, i GCM tar vi en teller, sender den gjennom blokkrypteringen, og deretter eksklusiv – eller den med klartekst for å danne krypteringsteksten. På dekrypteringssiden opprettholder vi den samme telleren, sender den gjennom blokkrypteringen, og deretter eksklusiv – eller den med krypteringsteksten for å danne ren tekst.
  • @poncho Så i GCM trenger vi ikke “Dekryptering” del av blokkrypteringen? Fordi vi bruker «kryptering» på begge sider.
  • Hvis du bruker samme nonce to ganger med samme nøkkel, åpner du deg opp for … hvilket angrep?
  • @RobertSiemer: to angrep: a) angriperen får en betydelig mengde informasjon om de to meldingene kryptert med samme nonce (muligens nok til å utlede begge innholdet), og b) angrepet får informasjon som gjør at han kan endre meldinger uten å bli oppdaget

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *