Điểm:0

CTR HMAC SHA1 so với GCM Quản lý khóa

lá cờ cn

giao thức SRTP sử dụng AES theo mặc định trong chế độ CTR với HMAC-SHA1. Đối với luận án của mình, tôi muốn nghiên cứu xem liệu GCM có phải là một lựa chọn tốt hơn hay không. Vì vậy, tôi đọc sau thảo luận.

Có câu trả lời là chế độ GCM tốt hơn trong số những thứ khác vì GCM chỉ cần một khóa để mã hóa và xác thực thông báo và CTR+SHA1 cần hai khóa cho những thứ này.

Nhưng tôi không thể chỉ sử dụng một phím cho CTR+SHA1 phải không? Tôi không thể sử dụng lại cùng một khóa để mã hóa bằng chế độ CTR và sau đó có thể cắt hoặc mở rộng cùng một khóa để sử dụng nó với SHA1 để xác thực thư.

Có bất kỳ nhược điểm bảo mật nào hoặc những thứ khác mà tôi quên xem xét không?

kelalaka avatar
lá cờ in
Bạn có thể tìm thấy các giới hạn giả mạo của GCM [tại đây](https://crypto.stackexchange.com/a/67367/18298) và việc sử dụng cùng một khóa trong CTR và HMAC không phải là vấn đề và hãy nhớ rằng AES-GCM sử dụng một khóa tuy nhiên khóa cho CTR và GHash không giống nhau...
Điểm:2
lá cờ my

Có bất kỳ nhược điểm bảo mật nào hoặc những thứ khác mà tôi quên xem xét không?

Có, GCM có vấn đề về bảo mật với cách SRTP muốn sử dụng nó.

SRTP được thiết kế để có chi phí băng thông (nghĩa là kích thước gói) càng thấp càng tốt; SRTP đôi khi được sử dụng qua mạng không dây và ở đó, kích thước gói khá đắt. IIRC, băng thông duy nhất mà SRTP bổ sung là thẻ toàn vẹn (IV, nếu chế độ cần một thẻ không bao giờ lặp lại, có thể là một chức năng của vị trí trong luồng, vốn đã được bao gồm trong phần không được mã hóa của gói); chúng tôi muốn giảm thẻ càng ngắn càng tốt (cả hai đều để giảm chi phí và đối với SRTP, việc nhờ ai đó giới thiệu một gói không có thật không phải là điều tồi tệ - để sử dụng âm thanh, họ có thể sửa đổi 20 mili giây của kết nối thoại ở mức không quá cao ($<10^{-6}$) xác suất và điều đó được coi là có thể chấp nhận được đối với trường hợp sử dụng này).

Khi chúng tôi đến GCM, chúng tôi gặp sự cố với các thẻ ngắn. GCM có thuộc tính này: nếu chúng tôi có một tin nhắn GCM được mã hóa bằng IV, bản mã/thẻ $(IV, C, T)$ và ai đó tìm thấy một tin nhắn không có thật $(IV, C', T')$ được chấp nhận (lưu ý: cùng một IV đã được sử dụng, bản mã và thẻ được sửa đổi tùy ý), sau đó cho bất kỳ thư được mã hóa nào trong tương lai $(IV", C", T")$, sau đó là tin nhắn $(IV", C" \oplus C \oplus C', T" \oplus T \oplus T')$ cũng sẽ được chấp nhận. Nghĩa là, bằng cách tìm ra một lần giả mạo duy nhất, kẻ tấn công có thể tạo ra các lần giả mạo từ đây trở đi.

Và, nếu bạn có một thẻ ngắn, thì kẻ tấn công có nhiều khả năng tìm thấy một tin nhắn không có thật được chấp nhận $(IV, C', T')$ bằng cách đơn giản đoán khác nhau $T'$ các giá trị.

Một lần giả mạo được coi là có thể chấp nhận được; ít cho phép kẻ tấn công tạo ra một luồng giả mạo liên tục. Với GCM, chúng tôi có thể tránh vấn đề này bằng cách sử dụng thẻ dài (trong đó xác suất đoán ngẫu nhiên thẻ đủ thấp), tuy nhiên, các trường hợp sử dụng cho SRTP không thích thẻ dài.

HMAC không có thuộc tính này; nếu kẻ tấn công tìm thấy một sự giả mạo $(C', T')$ (HMAC không có IV), điều đó không giúp anh ta tạo ra bất kỳ sự giả mạo nào trong tương lai.

kelalaka avatar
lá cờ in
OP đã làm rõ sau câu trả lời của tôi, họ xem xét SRTP. Tôi đã xóa câu trả lời của mình (sẽ không phục hồi) và bạn có thể sử dụng bất kỳ ý tưởng nào phù hợp.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.