Có an toàn không khi chỉ sử dụng AES-CCM để xác thực - tức là để gửi AAD mà không có dữ liệu được mã hóa?

moktor

13:04, 21/02/2023

Chúng tôi đang sử dụng mã hóa luồng AES-CCM 128 bit với 7-Byte Nonces và 12-Byte Thẻ xác thực trong một giao thức truyền thông. Cho đến thời điểm này, không cần sử dụng Dữ liệu xác thực bổ sung (AAD) trong giao thức này, vì tất cả dữ liệu được truyền - ngoại trừ Nonce - đều được mã hóa.

Trong khi chờ đợi, một số yêu cầu mới liên quan đến mạng đã xuất hiện có thể yêu cầu một trường thông báo được truyền dưới dạng AAD thay vì trong bản mã. Sau đó, một số thông báo được truyền sẽ thực sự chỉ bao gồm một trường văn bản gốc nhưng đã được xác thực này. Sẽ không có bản mã bổ sung trong các tin nhắn này. Người nhận tin nhắn dự định sẽ luôn phải xác thực tin nhắn trước khi thực sự diễn giải nó.

Điều này có khả thi/an toàn để thực hiện hay điều này có ảnh hưởng đến tính bảo mật của hệ thống theo bất kỳ cách nào không?

116

0 + 0

aes

Điểm:3

Crypto

Maarten Bodewes

23:05, 08/03/2023

Các Đặc điểm kỹ thuật NIST của CCM (đầy đủ: "Khuyến nghị cho các Chế độ Hoạt động của Mật mã Khối: Chế độ CCM cho Xác thực và Bảo mật"): có một nhận xét rõ ràng về điều này trong phần 5.3:

Tải trọng cũng có thể trống, trong trường hợp đó, thông số kỹ thuật thoái hóa thành chế độ xác thực trên dữ liệu được liên kết.

Vì vậy, nó an toàn và không ảnh hưởng đến bảo mật. Nhân tiện, điều này thường đúng với bất kỳ mật mã được xác thực nào.

Như một phụ chú, cũng như với hầu hết mọi mật mã, tất nhiên, bất kỳ đối thủ nào cũng có thể xem rằng không có bản mã - và vì CTR được sử dụng nên nó thường biết kích thước chính xác của từng thông báo văn bản gốc.

0 + 0

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: Is it safe to use AES-CCM only for authentication - i.e. for sending AAD without encrypted data?

TH: ปลอดภัยหรือไม่ที่จะใช้ AES-CCM สำหรับการรับรองความถูกต้องเท่านั้น เช่น การส่ง AAD โดยไม่มีข้อมูลที่เข้ารหัส

RO: Este sigur să utilizați AES-CCM numai pentru autentificare - adică pentru a trimite AAD fără date criptate?

RU: Безопасно ли использовать AES-CCM только для аутентификации, т. е. для отправки AAD без зашифрованных данных?

VI: Có an toàn không khi chỉ sử dụng AES-CCM để xác thực - tức là để gửi AAD mà không có dữ liệu được mã hóa?

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.