Xifratge autenticat

El xifratge autenticat (AE) és un esquema de xifratge que assegura simultàniament la confidencialitat de les dades (també coneguda com a privadesa: el missatge xifrat és impossible d'entendre sense el coneixement d'una clau secreta ^[1] ) i l'autenticitat (és a dir, és infalsable: ^[2] el missatge xifrat inclou una etiqueta d'autenticació que el remitent només pot calcular mentre posseeix la clau secreta ^[1]). Exemples de modes de xifratge que proporcionen AE són GCM, CCM. ^[1]

Molts (però no tots) esquemes d'AE permeten que el missatge contingui "dades associades" (AD) que no són confidencials, però la seva integritat està protegida (és a dir, és llegible, però es detectarà manipulació). Un exemple típic és la capçalera d'un paquet de xarxa que conté la seva adreça de destinació. Per encaminar correctament el paquet, tots els nodes intermedis de la ruta del missatge han de conèixer la destinació, però per motius de seguretat no poden posseir la clau secreta. ^[3] Els esquemes que permeten dades associades proporcionen un xifratge autenticat amb dades associades, o AEAD. ^[3]

Interfície de programació[modifica]

Una interfície de programació típica per a una implementació d'AE ofereix les funcions següents:

Xifratge
- Entrada: text sense format, clau i, opcionalment, una capçalera (també coneguda com a dades autenticades addicionals, AAD, o dades associades, AD ) en text sense xifrar que no es xifrarà, però estarà cobert per la protecció d'autenticitat.
- Sortida: text xifrat i etiqueta d'autenticació ( codi d'autenticació del missatge o MAC).
Desxifrat
- Entrada: text xifrat, clau, etiqueta d'autenticació i, opcionalment, una capçalera (si s'utilitza durant el xifratge).
- Sortida: text sense format, o un error si l' etiqueta d'autenticació no coincideix amb el text xifrat o la capçalera subministrats.

La part de la capçalera està pensada per proporcionar una protecció d'autenticitat i integritat per a les metadades de xarxa o d'emmagatzematge per a les quals la confidencialitat no és necessària, però es desitja autenticitat.

Història[modifica]

La necessitat d'un xifratge autenticat va sorgir de l'observació que combinar de manera segura la confidencialitat separada i els modes d'operació de xifratge de blocs d'autenticació podria ser propens a errors i difícil.^[4]^[5] Això es va confirmar per una sèrie d'atacs pràctics introduïts als protocols i aplicacions de producció per una implementació incorrecta o la manca d'autenticació.^[6]

Al voltant de l'any 2000, una sèrie d'esforços van evolucionar al voltant de la noció de modes d'estandardització que asseguraven una correcta implementació. En particular, un fort interès pels modes possiblement segurs va ser despertat per la publicació dels modes ^[7] de Charanjit Jutla, CBC conscient d'integritat i paral·lelització conscient de la integritat, IAPM, l'any 2000 (vegeu OCB i cronologia ^[8]). Sis modes de xifratge autenticats diferents (és a dir, el mode de llibre de codis compensat 2.0, OCB 2,0; Embolcall de claus ; comptador amb CBC-MAC, CCM; xifrar després autenticar i després traduir, EAX; xifrar-aleshores-MAC, EtM; i Galois/mode comptador, GCM) s'han normalitzat a ISO/IEC 19772:2009.^[9] Es van desenvolupar mètodes de xifratge més autenticats com a resposta a la sol·licitud del NIST.^[10] Les funcions d'esponja es poden utilitzar en mode dúplex per proporcionar un xifratge autenticat.^[11]

Aproximacions al xifratge autenticat[modifica]

Encriptació i després MAC (EtM)[modifica]

Primer es xifra el text sense format i després es produeix un MAC basat en el text xifrat resultant. El text xifrat i el seu MAC s'envien conjuntament. ETM és el mètode estàndard segons ISO/IEC 19772:2009.^[12] És l'únic mètode que pot assolir la màxima definició de seguretat en AE, però això només es pot aconseguir quan el MAC utilitzat és "fortament infalsable".^[13]

IPSec va adoptar EtM el 2005.^[14] El novembre de 2014, TLS i DTLS van rebre extensions per a EtM amb . També existeixen diverses suites de xifratge EtM per a SSHv2 (per exemple, hmac-sha1-etm@openssh.com ).

Encriptació i MAC (E&M)[modifica]

Es produeix un MAC basat en el text pla, i el text pla es xifra sense el MAC. El MAC del text sense format i el text xifrat s'envien conjuntament. S'utilitza, per exemple, en SSH.^[15] Tot i que no s'ha demostrat que l'enfocament E&M sigui fortament infalsable en si mateix, ^[16] és possible aplicar algunes modificacions menors a SSH per fer-lo fortament imperdible malgrat l'enfocament.^[17]

MAC-then-Encrypt (MtE)[modifica]

Es produeix un MAC basat en el text pla, després el text pla i el MAC es xifren junts per produir un text xifrat basat en tots dos. S'envia el text xifrat (que conté un MAC xifrat). Fins a TLS 1.2, totes les suites de xifratge SSL/TLS disponibles eren MtE.^[18]

No s'ha demostrat que MtE sigui fortament infalsable en si mateix.^[19] Krawczyk ha demostrat que la implementació SSL/TLS és fortament infalsable, que va demostrar que SSL/TLS era, de fet, segur a causa de la codificació utilitzada juntament amb el mecanisme MtE.^[20] Tanmateix, la demostració de Krawczyk conté hipòtesis errònies sobre l'aleatorietat del vector d'inicialització (IV). L'atac BEAST del 2011 va explotar l'IV encadenat no aleatori i va trencar tots els algorismes de CBC a TLS 1.0 o inferior.

A més, una anàlisi més profunda de SSL/TLS va modelar la protecció com a MAC-then-pad-then-encrypt, és a dir, el text sense format s'embotirà primer a la mida de bloc de la funció de xifratge. Els errors de farciment sovint donen lloc a errors detectables per part del destinatari, que al seu torn condueixen a atacs d'oracle de farciment, com ara Lucky Thirteen.

Referències[modifica]

↑ ^1,0 ^1,1 ^1,2 Black, 2005, p. 1.
↑ Katz i Lindell, 2020, p. 116.
↑ ^3,0 ^3,1 Black, 2005, p. 2.
↑ M. Bellare. «A Conventional Authenticated-Encryption Mode» (en anglès). NIST. [Consulta: March 12, 2013].
↑ T. Kohno. «The CWC Authenticated Encryption (Associated Data) Mode» (en anglès). NIST. [Consulta: March 12, 2013].
↑ «Failures of secret-key cryptography» (en anglès). Daniel J. Bernstein. Arxivat de l'original el April 18, 2013. [Consulta: March 12, 2013].
↑ Jutl, Charanjit S. «Encryption Modes with Almost Free Message Integrity» (en anglès). Cryptology ePrint Archive: Report 2000/039. IACR, 01-08-2000. [Consulta: 16 març 2013].
↑ T. Krovetz; P. Rogaway Fast Software Encryption 2011 (FSE 2011), 01-03-2011.
↑ «Information technology -- Security techniques -- Authenticated encryption» (en anglès). 19772:2009. ISO/IEC. [Consulta: March 12, 2013].
↑ «Encryption modes development» (en anglès). NIST. [Consulta: April 17, 2013].
↑ The Keccak Team. «Duplexing The Sponge» (en anglès).
↑ «Information technology -- Security techniques -- Authenticated encryption» (en anglès). 19772:2009. ISO/IEC. [Consulta: March 12, 2013].
↑ «Authenticated Encryption: Relations among notions and analysis of the generic composition paradigm» (en anglès). M. Bellare and C. Namprempre. Arxivat de l'original el January 23, 2018. [Consulta: April 13, 2013].
↑ «Separate Confidentiality and Integrity Algorithms» (en anglès). RFC 4303 - IP Encapsulating Security Payload (ESP). Internet Engineering Task Force (IETF). [Consulta: 12 setembre 2018].
↑ «Data Integrity» (en anglès). RFC 4253. Internet Engineering Task Force (IETF). [Consulta: 12 setembre 2018].
↑ «Authenticated Encryption: Relations among notions and analysis of the generic composition paradigm» (en anglès). M. Bellare and C. Namprempre. Arxivat de l'original el January 23, 2018. [Consulta: April 13, 2013].
↑ Bellare, Mihir. «Breaking and Provably Repairing the SSH Authenticated Encryption Scheme: A Case Study of the Encode-then-Encrypt-and-MAC Paradigm» (en anglès). ACM Transactions on Information and System Security. [Consulta: 30 agost 2021].
↑ Rescorla, Eric; Dierks, Tim RFC 5246, August 2008 [Consulta: 12 setembre 2018].
↑ «Authenticated Encryption: Relations among notions and analysis of the generic composition paradigm» (en anglès). M. Bellare and C. Namprempre. Arxivat de l'original el January 23, 2018. [Consulta: April 13, 2013].
↑ «The Order of Encryption and Authentication for Protecting Communications (Or: How Secure is SSL?)» (en anglès). H. Krawczyk. [Consulta: April 13, 2013].

[FOOTNOTEBlack20051-1] 1,0 ^1,1 ^1,2 Black, 2005, p. 1.

[FOOTNOTEKatzLindell2020116-2] Katz i Lindell, 2020, p. 116.

[FOOTNOTEBlack20052-3] 3,0 ^3,1 Black, 2005, p. 2.

[:13-4] M. Bellare. «A Conventional Authenticated-Encryption Mode» (en anglès). NIST. [Consulta: March 12, 2013].

[5] T. Kohno. «The CWC Authenticated Encryption (Associated Data) Mode» (en anglès). NIST. [Consulta: March 12, 2013].

[6] «Failures of secret-key cryptography» (en anglès). Daniel J. Bernstein. Arxivat de l'original el April 18, 2013. [Consulta: March 12, 2013].

[7] Jutl, Charanjit S. «Encryption Modes with Almost Free Message Integrity» (en anglès). Cryptology ePrint Archive: Report 2000/039. IACR, 01-08-2000. [Consulta: 16 març 2013].

[8] T. Krovetz; P. Rogaway Fast Software Encryption 2011 (FSE 2011), 01-03-2011.

[ISO19772-9] «Information technology -- Security techniques -- Authenticated encryption» (en anglès). 19772:2009. ISO/IEC. [Consulta: March 12, 2013].

[10] «Encryption modes development» (en anglès). NIST. [Consulta: April 17, 2013].

[11] The Keccak Team. «Duplexing The Sponge» (en anglès).

[ISO197722-12] «Information technology -- Security techniques -- Authenticated encryption» (en anglès). 19772:2009. ISO/IEC. [Consulta: March 12, 2013].

[BN-13] «Authenticated Encryption: Relations among notions and analysis of the generic composition paradigm» (en anglès). M. Bellare and C. Namprempre. Arxivat de l'original el January 23, 2018. [Consulta: April 13, 2013].

[14] «Separate Confidentiality and Integrity Algorithms» (en anglès). RFC 4303 - IP Encapsulating Security Payload (ESP). Internet Engineering Task Force (IETF). [Consulta: 12 setembre 2018].

[15] «Data Integrity» (en anglès). RFC 4253. Internet Engineering Task Force (IETF). [Consulta: 12 setembre 2018].

[BN2-16] «Authenticated Encryption: Relations among notions and analysis of the generic composition paradigm» (en anglès). M. Bellare and C. Namprempre. Arxivat de l'original el January 23, 2018. [Consulta: April 13, 2013].

[17] Bellare, Mihir. «Breaking and Provably Repairing the SSH Authenticated Encryption Scheme: A Case Study of the Encode-then-Encrypt-and-MAC Paradigm» (en anglès). ACM Transactions on Information and System Security. [Consulta: 30 agost 2021].

[18] Rescorla, Eric; Dierks, Tim RFC 5246, August 2008 [Consulta: 12 setembre 2018].

[BN3-19] «Authenticated Encryption: Relations among notions and analysis of the generic composition paradigm» (en anglès). M. Bellare and C. Namprempre. Arxivat de l'original el January 23, 2018. [Consulta: April 13, 2013].

[:0-20] «The Order of Encryption and Authentication for Protecting Communications (Or: How Secure is SSL?)» (en anglès). H. Krawczyk. [Consulta: April 13, 2013].

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]