密码学学习笔记(四):Authenticated Encryption - 认证加密

于 2023-07-01 11:04:23 发布
阅读量884 收藏 3
点赞数
分类专栏: 密码学与计算机安全 文章标签: 密码学 学习 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54634208/article/details/131487224
版权

加密数据的最新方法是使用一种称为一体式结构的认证加密算法,该算法也称为有附加数据的认证加密。从之前的博客中,我们看到在特定的操作模式中使用的分组密码,如CBC、OFB、CFB、CTR,提供了IND-CPA安全性。

但是IND-CCA安全性呢?

不可篡改性/不可延展性 - Non-Malleability

可篡改性:给定密文C,可以为相关消息生成C'(不知道消息)

  • 例如,给定M的C,生成M+1的C'
  • IND-CCA意味着不可延展性

事实上IND-CCA ≡ NM-CCA,NM就是Non-Malleability。

那么OFB是IND-CCA吗?

对于未知 𝑀1来说𝐶 = (𝐶0, 𝐶1)

  • 对于𝑀1′= 𝑀1 ⊕ Δ来说,𝐶′= (𝐶0, 𝐶1 ⊕ Δ)是一个有效的密文

事实上,CBC, OFB, CFB, CTR都不属于IND-CCA安全。

那么该如何实现IND-CCA安全呢?

  • 为了避免Malleability,我们需要确保如果任何密文被更改,它们都会无效
  • 即我们需要保护密文的完整性/真实性
  • 针对早期版本IPSec的实际攻击表明了这一点

加密-and-MAC

输入:

消息𝑀, 钥匙(𝐾1.𝐾2)

输出:

密文𝐶, 𝑇

这样不安全,因为MAC标签𝑇 可以泄露有关的信息𝑀。

  • MAC不提供任何保密保证
  • 适用于SSH
  • 通过修改,SSH版本可以变得安全

先MAC再加密

MAC消息,然后加密消息标签对

输入:

消息𝑀, 钥匙(𝐾1.𝐾2)

输出:

密文C

总体上不安全

  • 在TLS中使用,TLS版本显示为安全的
  • WEP使用了类似的想法(CRC,然后是流密码加密),但被打破了

先加密再MAC

对消息进行加密,然后对生成的密文进行MAC处理。

输入:

消息𝑀, 钥匙(𝐾1.𝐾2)

输出:

密文(C,T)

如果底层加密是IND-CPA安全的,而MAC是UF-CMA安全的,则生成的加密是IND-CCA安全的。

  • 用于IPSec

认证加密

在实践中,我们可以直接设计认证加密方案
经过身份验证的加密方案保证:

  • 保密性:密文与随机密文无法区分
  • 不可伪造性:密文不可伪造 

这被称为AE安全

AE安全性比IND-CCA安全性更强,因为:

  • 如果Enc_{K}𝑀1) 与随机无法区分,并且Enc_{K}(𝑀2) 也无法与随机区分,那么Enc_{K}(𝑀1) 将无法与区分Enc_{K}(𝑀2)
  • 密文的不可扩展性意味着对手将无法使用解密查询,因为它甚至无法生成新的密文。

Galois Counter Mode(GCM) - 伽罗瓦计数器模式

在实践中,使用先加密然后MAC比直接构造(如GCM)慢。

  • 上半部分类似于CTR,下半部分正在动态生成MAC标签
  • GCM提供AE安全
  • 另一种方案是偏移代码簿模式 - Offset Codebook Mode(OCB)

总结:

  • CCA下的不可延展性等同于CCA中的不可区分性,它们要求保护密文的完整性。
  • CBC, OFB, CFB, CTR只能实现IND-CPA安全不能实现IND-CCA安全。
  • 当组合对称加密和MAC以实现IND-CCA时,先加密然后MAC是首选解决方案。
  • 身份验证加密可以通过某些操作模式实现,如GCM和OCB。
kingofyb
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
认证加密模式
新手村
10-11 1万+
认证加密Authenticated Encryption): 从前几篇密码学文章中,加密有其局限性,就是不能保证密文的完整性,而保证完整性的MAC也不能加密明文。而现实生活中大部分需要的是既能保证文件的安全性,又能保证其完整性。因此,在初期还没有认证加密Authenticated Encryption,以下简称AE)这个概念的时候,绝大部分方式是将加密以及MAC结合在一起,便有着如下几种结合
【蓝牙配对安全】Authorization 和 Authentication 的区别以及 Encryption
sinat_40857949的博客
03-05 1458
【找到的资料正在上传,审核通过后我会把连接贴在这里。】 我的理解,总结一下就是: 蓝牙 2.0 之前的配对被称为 Lengacy (传统)配对方式,2.1 以后增加了 Secure Simple Pair 来简化传统配对方式。 这方面的介绍请参考BLUETOOTH SSP. 1. Authentication 可能需要输入passkey(6位数),是否输入 passkey 由设备的 I...
AEAD(Authenticated Encryption with Associated Data) 认证加密之 AES-GCM
西京刀客
06-09 5095
结论:AEAD模式是一个密码学的规范和标准。它定义了一种同时提供认证加密的算法模式,已经被广泛采用于各种主流的安全通讯协议和标准中。
认证加密(AE, Authenticated Encryption)
溺水三千只取一瓢饮
07-29 9306
目录 关联数据的认证加密(AEAD, Authenticated encryption with associated data) 认证加密的三种实现方式 一、Encrypt-then-MAC (EtM) 二、Encrypt-and-MAC (E&M) 三、MAC-then-Encrypt (MtE) 本文翻译自:https://en.wikipedia.org/wiki...
斯坦福 密码学 I 学习笔记5:Lecture 4 Authenticated Encryption
NLOS的博客
06-03 993
本系列为斯坦福 Dan Boneh教授的"密码学 I"的学习笔记 课程网址: http://www.coursera.org/lecture/crypto/course-overview-lboqg内容在CSDN、知乎和微信公众号同步更新课程完整目录如下本文包括了其中Chapter 4 Authenticated Encryption 的内容:......
密码学中的AEAD(authenticated encryption with associated data)
mutourend的博客
09-06 9692
AEAD(authenticated encryption with associated data):关联数据的认证加密,顾名思义,除可提供对密文数据的隐私、完整性和真实性保证外,还可提供对未加密的关联数据的完整性保证。常用的关联数据通常包括消息的长度和消息的编码方式。 AEAD为AE的变种,可让receiver验证所收到消息中已加密和未加密信息的完整性。任何企图将有效加密信息与不同上下文结合的...
区块链论文阅读(二)GEM2 -Tree: A Gas-Efficient Structure for Authenticated Range Queries in Blockchain
01-07
GEM^2-Tree: A Gas-Efficient Structure for Authenticated Range Queries in Blockchain Ce Zhang, Cheng Xu, Jianliang Xu, Yuzhe Tang,et al.GEM^2-Tree: A Gas-Efficient Structure for Authenticated Range ...
authenticated-react-router:用于在react-router中处理已认证路由的扩展组件
05-27
$ yarn add authenticated-react-router 用法 认证路线 仅允许经过身份验证(登录)的用户通过路由,特别是用于私有路由,例如需要用户登录的个人资料部分。 道具 Struts 描述 isAuthenticated 显示用户是否登录的...
小猫爪:RT1050学习笔记配套资料2
11-27
小猫爪的RT1050学习笔记系列主要聚焦于NXP i.MX RT1050跨界处理器的应用与开发,其中第19篇重点讲解了安全启动(Secure Boot)的第三部分——如何实现硬件认证架构(Hardware Authenticated Boot, HAB)签名。...
SpringBoot-登录认证-黑马程序员学习笔记
最新发布
05-21
总的来说,"SpringBoot-登录认证-黑马程序员学习笔记"涵盖了Spring Security的基本用法,包括如何启用、自定义登录页面、认证逻辑以及权限控制。通过阅读源码和实践,开发者可以更深入地理解Spring Security的工作...
CANOCO-CCA分析简明教程
12-14
CCA分析简明教程,详细介绍了如何用CANOCO进行CCA分析
django-cookie-consent-authenticateduser:django-cookie-consent应用程序插件,可为经过身份验证的用户保存cookie首选项
03-31
然后,安装django-cookie-consent-authenticateduser插件: pip install -e git://github.com/briefmnews/django-cookie-consent-authenticateduser@main#egg=django-cookie-consent-authenticateduser 设置 为了使...
密码学学习笔记(二):对称加密(二) IND-CPA、IND-CCA安全以及分组密码操作模式
weixin_54634208的博客
06-28 2130
书接上篇笔记,假设声称对手可以在给定我们方案的密文的情况下找出明文的第一位。我们如何检验这一说法?不可区分性:如果我们想模拟任何泄漏怎么办?为了模拟任何泄漏,我们可以让对手选择消息。
Fujisaki - Okamoto Conversion(FO转换)
weixin_44885334的博客
03-23 2251
令s←RSs \leftarrow_R Ss←R​S定义为:从有限集合SSS中均匀随机选择一个元素sss 令a←A(⋅)a \leftarrow A(\cdot)a←A(⋅)定义为:将算法AAA的结果赋值给aaa Hybrid Encryption 非对称加密 非对称加密方案,定义为一个算法组: Πasym=(Kasym,Easym,Dasym,COINSasym,MSPCasym) \Pi^{asym} = (K^{asym},E^{asym},D^{asym},COINS^{asym},MSPC^{as
信息安全与密码学博士:应该掌握的52个知识--(6)T28-- 非对称加密算法的IND-CCA性质?
u010665790的博客
03-01 6273
目录 1. IND-CCA是什么? 2. 如何通俗理解CPA和CCA? 3. 对称加密算法的IND-CCA的含义? 1. IND-CCA是什么? IND-CCA 是 Indistinguishability under chosen-ciphertext attack (IND-CCA)的缩写,直译为 选择密文攻击下的不可区分性。 2. 如何通俗理解CPA和CCA? CPA含义是ch...
密码学安全性证明(二)Identity-Based Encryption from the Weil Pairing
qq_45169358的博客
05-21 306
密码学安全性证明(二)Identity-Based Encryption from the Weil Pairing
IND-CPA、IND-CCA1和IND-CCA2详解
m0_47659650的博客
06-12 3870
为了保证更强的安全性,GoldWasser和Micali在1984年提出了概率加密,引入更强的安全目标:语义安全。理论上已证明,语义安全(Semantic Security,SS)等价于密文不可区分性。密文不可区分性敌手和挑战者商定目标密码体制,选定加密密钥pk,然后进行以下各阶段: 寻找阶段: 敌手选择两个等长的明文m0m_0m0​,m1m_1m1​ 猜测阶段: 敌手被挑战者告知其中一个明文mbm_bmb​和随机数r的加密结果CbC_bCb​,判断CbC_bCb​是C0C_0C0​还是C1C_1C1​,其
加密算法中常见的IND安全模型
weixin_44170239的博客
09-21 659
11
Cramer-Shoup 密码系统 安全证明 内容小结
密码小仙女
08-12 2024
Cramer-Shoup 密码系统 密码学可证明安全推荐书目(系列博客内容为这两本书学习笔记与内容小结): 《密码学中的可证明安全性》杨波 清华大学出版社 《Introduction to Security Reduction》Fuchun Guo;Willy Susilo;Yi Mu Springer Cramer-Shoup 方案描述 Setup: 存在大素数群G,模素数为q,g1,g2 为群的生成元,明文消息为群G的元素,使用哈希函数将任意长度的字符映射到群中的元素。需要注...
Authenticated Encryption
10-18
Authenticated Encryption认证加密)是一种加密方式,它不仅可以保护数据的机密性,还可以保证数据的完整性和真实性。在加密过程中,除了对明文进行加密外,还会对明文进行认证,以确保数据在传输过程中没有被篡改或伪造。 常见的Authenticated Encryption算法包括GCM(Galois/Counter Mode)、CCM(Counter with CBC-MAC)、EAX(Encrypt-then-Authenticate-then-Xor)等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值