Ik probeer meer te weten te komen over de GCM-modus en hoe deze verschilt tussen CBC. Ik weet al dat GCM een MAC biedt die wordt gebruikt voor berichtverificatie. Van wat ik heb gelezen en van de codefragmenten die ik heb gezien, doet GCM een exclusieve of veel op CBC lijkende, maar ik weet niet zeker wat de exclusieve of tegen is. In CBC-modus is de exclusieve-of leesbare tekst ten opzichte van het vorige gecodeerde tekstblok, behalve voor het eerste blok dat een willekeurige IV gebruikt. Doet GCM hetzelfde, of doet het het exclusieve – of tegen iets anders? Zo ja, kan iemand dan in het kort uitleggen hoe GCM de IV gebruikt en hoe de exclusieve-of wordt gedaan.

Opmerkingen

  • Als u authenticatie negeert, GCM gedraagt zich als de CTR-modus, niet als de CBC-modus. Zoek die op wikipedia.
  • Gewoon omdat het niet ' t is gedefinieerd op deze pagina … GCM = Galois / Counter Mode, en CBC = Cipher Block Chaining … andere definities zijn onder andere MAC (Message Authentication Code), IV (Initialisation Vector) en CTR (CounTeR Mode).

Answer

De modi GCM en CBC werken intern heel anders; ze hebben allebei een blokcijfer en een exclusief-of, maar ze gebruiken ze op verschillende manieren.

In de CBC-modus versleutelt u een gegevensblok door het huidige leesbare tekstblok te nemen en een exclusieve oring met de vorig cijfertekstblok (of IV), en dan het resultaat daarvan verzenden via het blokcijfer; de output van het blokcijfer is het cijfertekstblok.

GCM-modus biedt zowel privacy (codering) als integriteit. Om versleuteling te bieden, houdt GCM een teller bij; voor elk gegevensblok verzendt het de huidige waarde van de teller door het blokcijfer. Vervolgens is de uitvoer van het blokcijfer nodig, en exclusief of s dat met de platte tekst om de cijfertekst te vormen.

Let op twee belangrijke verschillen:

  • Wat is exclusief – of “ed”: in CBC-modus wordt de leesbare tekst exclusief of “bewerkt met gegevens die de aanvaller kent (de IV of een eerder gecodeerd tekstblok); vandaar dat dat op zichzelf geen enkele inherente beveiliging biedt (in plaats daarvan doen we het om de kans te verkleinen dat we hetzelfde blok twee keer door het blokcijfer sturen). In de GCM-modus is de leesbare tekst exclusief – of “ed met uitvoer van het blokcijfer; het is inherent aan het beveiligingsmodel dat de aanvaller die uitvoer niet kan raden (tenzij hij de leesbare tekst en de versleutelde tekst al kent).

  • Wat wordt er via het blokcijfer verzonden; in CBC-modus wordt de leesbare tekst door het blokcijfer gestuurd (nadat het “willekeurig” is “gerandomiseerd” met een exclusieve of); in de GCM-modus is wat er door het blokcijfer wordt verzonden niet echt afhankelijk van de gegevens die versleuteld, maar in plaats daarvan alleen op interne status.

Wat betreft hoe GCM een IV gebruikt (ik beschouw nonce persoonlijk als een betere term voor wat GCM gebruikt, omdat dat de nadruk legt op de idee dat je met GCM dezelfde nonce niet twee keer voor dezelfde sleutel kunt gebruiken), wel, het wordt gebruikt om de teller te initialiseren.

Reacties

  • Zeer interessant … Als ik het goed begrijp, zeg je dat in de GCM-modus de cijfertekst van een blok exclusief is – of ' ed tegen de leesbare tekst die zojuist door de codering is gehaald en dat blok wordt vervolgens verzonden. Als dit waar is, hoe wordt dat blok dan gedecodeerd? Is niet ' t de cijfertekst van de AES-codering (bijvoorbeeld) die nodig is om de gegevens te decoderen? is dat verkregen? Ook als de o riginal versleutelde tekst wordt verkregen, dan kan deze worden gebruikt voor exclusiviteit of de verzonden versleutelde tekst die de leesbare tekst retourneert en geen verdere ontsleuteling nodig heeft … I ' m mist iets .. .
  • Nee, in GCM nemen we een teller, sturen die door het blokcijfer en dan exclusief – of dat met de leesbare tekst om de cijfertekst te vormen. Aan de decoderingszijde behouden we dezelfde teller, sturen die door de blokcijfer en dan exclusief – of die met de cijfertekst om de leesbare tekst te vormen.
  • @poncho Dus in GCM hebben we de “Decodering” deel van het blokcijfer? Omdat we aan beide kanten “encryptie” gebruiken.
  • Als je dezelfde nonce twee keer gebruikt met dezelfde sleutel, stel je jezelf open voor … welke aanval?
  • @RobertSiemer: twee aanvallen: a) de aanvaller verkrijgt een aanzienlijke hoeveelheid informatie van de twee berichten versleuteld met dezelfde nonce (mogelijk genoeg om beide inhoud af te leiden), en b) de aanval verkrijgt informatie waarmee hij berichten kan wijzigen zonder te worden gedetecteerd

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *