Рейтинг:2

ДЛЯ функции дешифрования AES GCM. Зависит ли выход (PT) от значения тега (T)?

флаг cn

Согласно спецификации, ввод функции расшифровки FOR GCM — IV, A, C и T. Как указано ниже:

5.2.2 Функция аутентификации дешифрования При выборе утвержденного блочного шифра, ключа и соответствующей длины тега входные данные аутентифицированной функции дешифрования являются значениями для IV, A, C и Т, как описано в гл. 5.2.1 выше. Выход - один из следующий:

  • открытый текст P, который соответствует зашифрованному тексту C, или
  • специальный код ошибки, обозначаемый в этом документе как FAIL.

Я имел в виду эталонную модель AES GCM, доступную в Интернете, и я видел, что расшифровка для расчета результата PT не учитывает значение тега.

Зависит ли выход (PT) от значения тега (T)?

Ссылка на эталонную модель: https://github.com/mko-x/SharedAES-GCM/blob/master/Sources/gcmtest.c

Рейтинг:4
флаг us

В GCM открытый текст вычисляется без тега. Но решение о том, безопасно ли выпускать открытый текст, зависит от тега! Если тег неверен, вы должны вернуть ошибку. Без тега, «охраняющего» раскрытие открытого текста, злоумышленнику несложно изменить содержимое зашифрованного текста.

Рейтинг:3
флаг in

Зависит ли выход (PT) от значения тега (T)?

Нет, если только вы не предполагаете, что возврат ошибки также считается выводом. Этот вывод часто обозначается как $\бот$ в описаниях, хотя в вашей ссылке это обозначено просто как "FAIL".

В конце концов, шифрование, используемое в GCM, представляет собой простое шифрование в режиме счетчика (CTR или SIC). Единственная хитрость заключается в том, что вам может понадобиться вычислить IV для режима счетчика, если размер одноразового номера больше 12 байт. Я создал пример расшифровки без проверки тега на StackOverflow - но обратите внимание, что он предполагает 12-байтовый одноразовый номер.

Если вы хотите иметь режим GCM, в котором расшифровка является в зависимости от тега вы должны взглянуть на режим AES-GCM-SIV. Здесь используется синтетический IV (SIV), который служит тегом аутентификации.


Если вы используете зашифрованный текст перед проверкой, вы уязвимы для бит-специфических изменений в результирующем открытом тексте (злоумышленник может просто перевернуть тот же бит в зашифрованном тексте). Это, в свою очередь, может привести к оракулы открытым текстом что также может повлиять на конфиденциальность.

Расшифровка без прямой проверки все еще имеет ограниченную применимость. вы можете захотеть расшифровать фрагменты зашифрованного текста и поместить результат открытого текста во временный файл, а затем скопировать или переместить временный файл в окончательное место после проверки тега аутентификации. Если проверка возвращает ошибку, временный файл следует уничтожить.

флаг ar
Небольшое примечание для читателей: зависимость расшифровки GCM-SIV от тега аутентификации *не* означает, что сообщение с недействительным тегом аутентификации всегда дает бессмысленный открытый текст при расшифровке. Действительно, если тег не проверен должным образом расшифровщиком, GCM-SIV так же [податлив] (https://en.wikipedia.org/wiki/Malleability_(cryptography)) как старый простой режим CTR.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.