IPsec ESP AES-GCM

已于 2023-02-24 16:57:50 修改
阅读量902 收藏 1
点赞数 1
CC 4.0 BY-SA版权
分类专栏: net 文章标签: 网络
于 2023-02-24 16:55:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xingyeping/article/details/129203996
文章详细分析了IPsec中使用AES-GCM算法时的Padding计算规则,依据RFC4303和RFC4106,指出了Payload数据需要4字节对齐,并且讨论了明文长度、IV、ICV、PadLength和NextHeader字段如何影响Padding的大小。最小添加字节数为26字节,最大为37字节,不包括TFC。

IPsec ESP AES-GCM

概述

第一次做IPsec还是在2009年,那个时候主要研究的都是23xx系列的RFC,这么多年过去了,IPsec又推出了一系列的算法,最近要分析IPsec-AES-GCM的封装问题,主要是其Padding大小是多少,于是又研究了一下。

参考

  1. https://www.rfc-editor.org/rfc/inline-errata/rfc4303.html
  2. https://www.rfc-editor.org/rfc/inline-errata/rfc4106.html

分析

首先在RFC4303中有一段说明:

For the purposes of ensuring that the ICV is aligned on a
4-byte boundary (second bullet above), the padding
computation applies to the Payload Data inclusive of the IV,
the Pad Length, and Next Header fields. If a combined mode
algorithm is used, any replicated data and ICV-equivalent
data are included in the Payload Data covered by the padding
computation.

也就是说,原始的明文+Padding至少是要4字节对齐。
其次在RFC4106中说了这么一段:

The IV adds an additional eight octets to the packet, and the ICV
adds an additional 8, 12, or 16 octets. These are the only sources
of packet expansion, other than the 10-13 octets taken up by the ESP
SPI, Sequence Number, Padding, Pad Length, and Next Header fields (if
the minimal amount of padding is used).

这里结合上面的4字节对齐,来看10-13字节这一句。也就是除去SPI(4字节)、Sequence Number(4字节),Pad Length(1字节),Next Header(1字节),还剩下0-3字节。

  • 如果明文正好4字节对齐,那么实际需要添加2个Pad;
  • 如果明文长度对4取模后是3字节,那么需要添加3个Pad,加上Pad Len、Next Header,凑成4字节对齐
  • 如果明文长度对4取模后是2字节,那么添加0个Pad。

因此,该算法最小添加字节数为:SPI(4)+Seq(4)+IV(8)+Pad(0)+Pad Len(1)+Next Header(1)+ICV(8)=26;
最大添加字节数为:SPI(4)+Seq(4)+IV(8)+Pad(3)+Pad Len(1)+Next Header(1)+ICV(16)=37;

注:以上不考虑TFC

[ipsec][crypto] 在IPSec ESP使用AES-GCM加密时的IV
weixin_30520015的博客
03-26 1562
IV IV是指初始化向量。 在我们当前讨论的场景中:在IPSec ESP使用AES-GCM加密 IV有两个含义: 1. ESP报文封装时的IV,RFC中称为 AES-GCM IV 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5...
IPSec原理与应用
qq_70188105的博客
07-04 473
IPv6是IETF为IP协议分组通信制定的新的因特网标准,IPSec在RFC 6434以前是其中必选的内容,但在IPv4中的使用则一直只是可选的。密钥协议(IKE),提供对称密码的钥匙的生存和交换。从1986年到1991年,美国国家安全局在其安全数据网络系统(SDN)计划下赞助了互联网安全协议的开发,包括摩托罗拉在内的各种供应商聚集在一起,于1988年生产了一种网络加密设备,这项工作于1988年由NIST公开发表,其中第3层的安全协议(SP3)演变为ISO标准的网络层安全协议(NLSP)。
RFC 4303批注
07-14
RFC4303--ESP ,本人在阅读时,关键点做了标记;有的地方加了些说明
AEAD(Authenticated Encryption with Associated Data) 认证加密之 AES-GCM
西京刀客
06-09 8653
结论:AEAD模式是一个密码学的规范和标准。它定义了一种同时提供认证和加密的算法模式,已经被广泛采用于各种主流的安全通讯协议和标准中。
对称加密算法AESGCM模式简介及在OpenSSL中使用举例
热门推荐
网络资源是无限的
05-14 2万+
AES(Advanced Encryption Standard)即高级加密标准,由美国国家标准和技术协会(NIST)于2000年公布,它是一种对称加密算法。关于AES的更多介绍可以参考:https://blog.csdn.net/fengbingchun/article/details/100139524 AESGCM(Galois/Counter Mode)模式本质上是AES的CTR模式(计数器模式)加上GMAC(Galois Message Authentication Code, 伽罗华消息认证
AES-GCM架构
06-14
本部分内容中提到的研究工作就是专注于构建一个完全流水线化和并行化的硬件架构,这个架构应用于运行在FPGA多核平台上的AES-GCM,符合IPsec ESP(封装安全载荷)数据流。研究结果显示,在这个流水线化的架构中,AES-...
IPSec使用GCM模式加密的ESP数据包
03-01
IPSec使用GCM模式加密的ESP数据包
【RFC6655 用于传输层安全 (TLS) 的 AES-CCM 密码套件】(翻译)
PiPiQ_Blog的博客
06-20 1541
原文rfc6655 (ietf.org)
AES256】算法核心及操作模式
最新发布
沐怡旸的专栏
07-01 1121
我们来深入探讨 AES-256 算法本身以及所有相关的操作模式(Modes of Operation)。理解这两部分对于实际应用 AES 加密至关重要
GCM-AES-128加解密及密钥打包aes_wrap
12-07
做国外电表DLMS加解密必用的算法,费劲我几个月的整理修改,总算把这GCM-AES-128的加解密算法和密钥传输的包裹算法弄好。算是商业机密吧,呵呵!据说有厂家为数据传输加解密前前后后搞了2年。 压缩包里有三个代码文件,附有测试程序和测试数据。 同行的人,肯定认为这10分值的。
Aes加密/解密示例
冬日的编程心得
08-04 4895
直接贴出代码,如果有问题可以查看本想目的示例项目本项目的git地址。 以下是静态密钥的类。using System; using System.Collections.Generic; using System.IO; using System.Linq; using System.Security.Cryptography; using System.Text; using System.Thr
mbedtls aes加密算法C语言实现,在ESP32解密上使用MBEDTLS的AES128-GCM不工作
weixin_39582569的博客
05-25 1281
我目前正在进行一个项目,用ESP32和ESP-IDF工具链对来自智能仪表的字节流进行解密。(对于感兴趣的人员,此处提供智能仪表规范:P1PortSpecification.pdf第9页第2.6章)。我使用状态机将流拆分为文档中找到的不同部分,并在将它们打印到终端时按预期获得结果,因此我认为当前输入是正确的。到了解密有效负载的最后状态,我不确定是否正确地使用了MBEDTLS库,因为我无法使它正常工作...
AEAD:AES-GCM简介
认真搞搞汽车MCU
07-31 2754
因此,需要在对称加密算法上增加一层验证机制,常见思路为使用加密算法进行加密保证机密性,使用摘要算法计算MAC保证完整性和真实性,这就涉及到摘要计算和加密计算的前后顺序和参与计算的数据、密钥等,使用起来略微麻烦。认证加密输出包括密文(C)和认证tag(T),其中Tag长度可以为2、4、6、8、10、12、14、16。认证加密需要两个输入:密文(C)和认证Tag(T),输出为明文P或者是特定错误码,例如无效Tag不予解密。对于IV,建议将实现限制为96位长度,以提升操作性、效率和设计的简单性。
AES算法的参数
Denny_Chen_的博客
05-23 6409
一.概览 AES(Advanced Encryption Standard)是常用的对称分组密码算法之一,是美国NIST在2001年发布的,旨在代替DES称为广泛使用的标准。使用AES算法有很多种模式及填充方式。尽管不同模式的AES的核心加密算法是一致的,但不同模式下,加密的安全性和加解密速度等是有区别的,加密时使用的参数也会不同。另外AES是分组加密算法,会涉及到加密内容的分组,在最后一个组数据中,如果数据长度达不到加密的要求,就需要对最后一组进行填充,这时就涉及填充模式。 二.AES算法的参数 1.AE
IPsec
datouwawa30的博客
10-05 1939
IPsec协议组是IETF制定的一系列安全协议,它为端到端ip报文交互提供了基于密码学的、可互操作的、高质量的安全保护机制。ESP:封装安全载荷协议,能够提供数据源认证,防报文重放,数据校验完整性(不包含ip头部),还可以进行。2、IPsec SA协商隧道两端的IP,验证方式,验证算法,验证密钥,加密算法,加密密钥,共享密钥等。[FW1-ike-peer-huawei]exchange-mode【更改模式,默认为主模式】AH:报文头验证协议,主要提供有数据源认证,数据校验完整性,和防报文重放,但是AH。
GCM与CCM的的规格和加解密过程
Chahot的博客
04-27 5349
CCM(Counter with CBC-MAC)是一种基于对称加密算法的认证加密(Authenticated Encryption)模式,结合了CBC-MAC(Cipher Block Chaining Message Authentication Code)用于消息认证和CTR(Counter)模式用于加密。这种模式可以确保信息的机密性和完整性。它主要用于无线网络安全标准,如IEEE 802.11i(WPA2)和IEEE 802.16e(WiMAX)。认证加密过程分为三个阶段:初始化、加密和认证。
密码学的安全性浅析-3
蚁景网安学院
03-18 902
前言本文是本系列的第三篇,密码学的安全性浅析-1密码学的安全性浅析-2由于侧重点是对密码学中的安全性问题进行分析,所以不会对密码学基础的核心概念进行阐述,如果阅读本系列文章时不明白所涉及...
GCM模式在IPSec中的应用
funtasty的专栏
03-01 155
GCM数据包格式:此处采用ESP封装(未加密)数据包。用于介绍数据包的详细内容。
RFC 4303--ESP
weixin_34010949的博客
07-14 586
先梳理下ESP的框架: ESP内部的工作机制分为 (1) separate confidentiality and integrity algorithms (2个算法,分别负责加密和完整性保证) (2) combined confidentiality mode algorithms (1个算法,就能实现加密和完整...
GCM-AES算法中NONCE值的salt字段和key值字段有什么关系?提供对应协议
04-26
<think>好的,我现在需要帮助用户理解GCM-AES算法中Nonce的salt字段和key值字段的关系,并获取相关的协议标准。用户之前已经询问过关于AES-GCM Nonce的生成方式和规范,现在的问题更具体地涉及到Nonce中的salt和key的关系,以及相关的协议标准。 首先,我需要回忆AES-GCM的基本结构。AES-GCM是一种认证加密算法,结合了加密和认证功能。Nonce(或称为IV)在AES-GCM中非常重要,确保每次加密的唯一性。根据之前的回答,Nonce必须唯一,否则会导致严重的安全问题。 用户提到“salt字段”和“key值字段”的关系。在AES-GCM的上下文中,通常没有明确的“salt”和“key字段”作为Nonce的组成部分,但可能存在某些实现或协议中的特定用法。比如,某些协议可能会在Nonce中包含固定的部分(如salt)和变化的部分(如计数器),或者将salt用于密钥派生过程中。 需要查阅相关标准,如NIST SP 800-38D,这是AES-GCM的官方规范。根据NIST文档,Nonce的长度应为12字节,推荐使用,但其他长度也可通过GHASH处理。在密钥派生方面,可能需要将salt与密钥结合使用,特别是在需要生成多个密钥的情况下。 另外,用户提供的引用中有提到GCMP协议中的IV结构,其中包含发送方的MAC地址和48位nonce。这可能与salt有关吗?这里的MAC地址可能作为固定部分,类似于salt,而nonce作为变化部分。但需要确认这是否适用于用户的问题。 用户还提到EVP函数和JCE中的策略文件,但这些可能更多涉及实现细节,而非协议标准。需要将重点放在协议标准如NIST SP 800-38D和RFC上。 接下来,需要明确salt在密钥派生中的作用。例如,在PBKDF2中,salt用于增强密钥生成的熵值,防止彩虹表攻击。但在AES-GCM中,salt是否用于密钥派生或Nonce生成呢?根据之前的回答,Nonce的生成通常不涉及salt,除非在密钥派生阶段将salt与主密钥结合使用。 可能用户混淆了Nonce和密钥派生中的salt。需要区分这两个概念:Nonce用于确保加密的唯一性,而salt用于密钥派生过程中的随机化。但在某些协议中,可能会在Nonce中包含salt,或者将salt与密钥结合使用以增强安全性。 需要确认是否有协议标准明确将salt作为Nonce的一部分,或者与密钥结合使用。例如,TLS 1.3中的Nonce生成可能涉及隐式部分(如client_write_IV)和显式序列号,其中隐式部分可能由密钥派生而来,而密钥派生过程中可能使用salt。 另外,参考用户提供的引用[1],GCMP中的IV是发送方MAC地址和48位nonce的拼接,nonce作为计数器使用。这里MAC地址可能充当类似salt的角色,确保不同发送方的Nonce唯一。但需指出这是GCMP的具体实现,不是AES-GCM的通用标准。 总结用户的问题,需要解释: 1. AES-GCM中Nonce的结构,是否有salt字段? 2. 密钥与salt的关系,是否在密钥派生中使用salt? 3. 相关协议标准(如NIST SP 800-38D、RFC)中的规定。 需要指出,在标准AES-GCM中,Nonce本身不包含salt字段,但某些协议可能在生成Nonce或密钥时使用salt。例如,在密钥派生函数(如HKDF)中,salt用于从主密钥派生出子密钥,这时salt与密钥有关联,但不是Nonce的一部分。 可能用户将密钥派生中的salt和Nonce的生成混淆了,需要明确两者的区别和联系。同时,引用NIST和RFC的标准说明,指出Nonce的生成要求和推荐做法,以及密钥派生中salt的使用情况。 最后,需要确保回答结构清晰,分点说明,并引用相关标准,如NIST SP 800-38D、RFC 5116、TLS 1.3等,同时参考用户提供的引用内容,尤其是引用[1]中关于GCMP的IV结构,说明不同协议中的实现差异。</think>### AES-GCM算法中Nonce的Salt字段与密钥关系及协议标准解析 --- #### 一、Salt与Nonce的定义区分 1. **Salt的核心作用** **Salt(盐值)**是密码学中用于增强密钥派生安全性的随机数据,**不直接参与AES-GCM的加密流程**,而是通过密钥派生函数(如HKDF、PBKDF2)与主密钥结合,生成子密钥或增强密钥熵值。例如: ```python # 密钥派生示例(PBKDF2) from Crypto.Protocol.KDF import PBKDF2 password = b'user_password' salt = get_random_bytes(16) # 16字节随机盐值 key = PBKDF2(password, salt, dkLen=32) # 派生256位AES密钥 ``` **协议依据**: NIST SP 800-132建议在密钥派生中使用Salt以防止预计算攻击[^5]。 2. **Nonce的功能定位** **Nonce(初始化向量)**是AES-GCM加密流程中**必需参数**,直接影响计数器块的生成,要求**唯一性**和**长度规范**(通常为12字节)。其与密钥的关系为: - **独立性**:Nonce不包含密钥信息,但必须与密钥**绑定使用**(同一密钥不可重复Nonce)。 - **生成方式**:可通过随机数、计数器或协议定义的组合生成(如TLS 1.3中的隐式IV)[^1][^3]。 --- #### 二、协议中Salt与Nonce的关联场景 1. **密钥派生场景(Salt与密钥的关系)** 在需要从主密钥派生子密钥时,Salt常被用于增强派生过程的安全性: - **标准引用**: RFC 5869(HKDF)明确要求Salt在密钥派生中作为随机化因子: > "Salt is an optional random value that strengthens the randomness extraction step." [^6] - **实现示例**: 在TLS 1.3密钥派生中,Salt与握手阶段的共享秘密结合,生成会话密钥[^3]。 2. **Nonce构造中的固定字段(类似Salt的作用)** 某些协议会在Nonce中引入**固定部分**以实现特定功能,此类字段可视为“类Salt”设计: - **GCMP协议案例**(引用[1]): Nonce由**发送方MAC地址(固定)**和**48位计数器(动态)**拼接而成: ```plaintext IV = MAC地址 || 48位计数器 ``` - **MAC地址**:类似Salt,确保不同设备的Nonce空间隔离。 - **计数器**:保证同一设备下的Nonce唯一性[^1]。 - **IPSec ESP协议**: 使用**SPI(安全参数索引)**作为固定字段,与序列号组合生成Nonce[^4]。 --- #### 三、AES-GCM规范中的直接定义 1. **NIST SP 800-38D** AES-GCM标准未强制要求Nonce包含Salt字段,但明确规范了Nonce与密钥的绑定关系: - **唯一性约束**: > "For a given key, the nonce must be unique across all invocations of the encryption operation." [^1] - **Nonce长度**: 推荐12字节(96位),其他长度需通过GHASH扩展处理。 2. **RFC 5116(AEAD规范)** 强调Nonce的传输独立性: > "The nonce is a value that is assigned in such a way that it is unique per invocation of the encrypt function under a given key." [^2] --- #### 四、Salt与密钥的协同安全实践 | **场景** | **Salt的作用** | **Nonce的作用** | |------------------------|----------------------------------------|--------------------------------------| | **密钥派生** | 增强主密钥的熵值,抵抗彩虹表攻击 | 不直接参与 | | **Nonce生成** | 某些协议中作为固定字段(如MAC地址) | 确保加密流程的唯一性 | | **安全依赖** | 密钥安全性的间接保障 | 加密安全性的直接保障(防重用攻击) | --- #### 五、典型协议实现对比 1. **TLS 1.3** - **密钥派生**:使用Salt(来自握手阶段的HKDF扩展)生成会话密钥[^3]。 - **Nonce生成**:隐式IV(由密钥派生)与显式序列号组合,无显式Salt字段。 2. **GCMP(引用[1])** - **Nonce构造**:MAC地址(类Salt) + 计数器,实现设备级唯一性。 - **密钥使用**:直接使用TK(临时密钥),无显式Salt参与密钥派生。 3. **IPSec ESP** - **Nonce构造**:SPI(固定) + 序列号(动态),类似Salt隔离不同安全关联。 - **密钥管理**:Salt可能用于IKE协议中的密钥派生阶段[^4]。 --- ### 协议标准引用 - **NIST SP 800-38D**: > "The nonce must be unique for each encryption operation performed with a given key." [^1] - **RFC 5869 (HKDF)**: > "The salt can be used to increase the effective entropy of the input keying material." [^6] - **RFC 8446 (TLS 1.3)**: > "The nonce is formed by combining the sequence number with the static client_write_IV." [^3] --- ### 相关问题 1. 如何在AES-GCM中设计Nonce以避免设备间的冲突? 2. HKDF中Salt与AES-GCM密钥派生的具体交互流程是什么? 3. TLS 1.3的密钥派生如何保证前向安全性? --- **注释**: [^1]: NIST SP 800-38D, *Recommendation for Block Cipher Modes of Operation: Galois/Counter Mode (GCM) and GMAC* : RFC 5116, *An Interface and Algorithms for Authenticated Encryption* [^3]: RFC 8446, *The Transport Layer Security (TLS) Protocol Version 1.3* [^4]: IPSec ESP协议实现规范 [^5]: NIST SP 800-132, *Recommendation for Password-Based Key Derivation* [^6]: RFC 5869, *HMAC-based Extract-and-Expand Key Derivation Function (HKDF)*
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值