AES-CTR HMAC Streaming AEAD

این سند به طور رسمی تابع ریاضی نشان‌داده‌شده توسط کلیدهای جریانی AES-CTR HMAC را تعریف می‌کند (که در قالب پروتو به‌عنوان type.googleapis.com/google.crypto.tink.AesCtrHmacStreamingKey کدگذاری شده‌اند).

این رمزگذاری بر اساس [HRRV15] 1 استوار است. برای تجزیه و تحلیل امنیت به [HS20] 2 مراجعه می کنیم. همچنین توجه داشته باشید که آزمون‌های زبان متقابل Tink دارای یک آزمون aes_ctr_hmac_streaming_key_test.py هستند که حاوی test_manually_created_test_vector با توضیح کامل در مورد نحوه دریافت متن رمزی است.

کلید و پارامترها

کلیدها با قسمت های زیر توصیف می شوند (همه اندازه های این سند بر حسب بایت هستند):

  • \(\mathrm{InitialKeyMaterial}\)یک رشته بایت: ماده کلید اولیه.
  • \(\mathrm{CiphertextSegmentSize} \in \{1, 2, \ldots, 2^{31}-1\}\).
  • \(\mathrm{DerivedKeySize} \in \{16, 32\}\).
  • \(\mathrm{HkdfHashType} \in \{\mathrm{SHA1}, \mathrm{SHA256}, \mathrm{SHA512}\}\).
  • \(\mathrm{HmacHashType} \in \{\mathrm{SHA1}, \mathrm{SHA256}, \mathrm{SHA512}\}\).
  • \(\mathrm{HmacTagSize} \in \mathbb{N}\).

کلیدهای معتبر علاوه بر این ویژگی های زیر را برآورده می کنند:

  • \(\mathrm{len}(\mathrm{InitialKeyMaterial}) \geq \mathrm{DerivedKeySize}\).
  • اگر \(\mathrm{HmacHashType} = \mathrm{SHA1}\) سپس \(\mathrm{HmacTagSize} \in \{10, \ldots, 20\}\).
  • اگر \(\mathrm{HmacHashType} = \mathrm{SHA256}\) سپس \(\mathrm{HmacTagSize} \in \{10, \ldots, 32\}\).
  • اگر \(\mathrm{HmacHashType} = \mathrm{SHA512}\) سپس \(\mathrm{HmacTagSize} \in \{10, \ldots, 64\}\).
  • \(\mathrm{CiphertextSegmentSize} > \mathrm{DerivedKeySize} + \mathrm{HmacTagSize} + 8\) (این برابر است\(\mathrm{len}(\mathrm{Header}) + \mathrm{HmacTagSize}\) همانطور که بعدا توضیح داده شد).

کلیدهایی که هیچ یک از این ویژگی‌ها را برآورده نمی‌کنند توسط Tink رد می‌شوند (چه زمانی که کلید تجزیه می‌شود یا زمانی که کلید اولیه مربوطه ایجاد می‌شود).

عملکرد رمزگذاری

برای رمزگذاری پیام \(\mathrm{Msg}\) با داده های مرتبط\(\mathrm{AssociatedData}\)، یک هدر ایجاد می کنیم، پیام را به بخش هایی تقسیم می کنیم، هر بخش را رمزگذاری می کنیم و بخش ها را به هم متصل می کنیم. در ادامه این مراحل را توضیح می دهیم.

ایجاد هدر

برای ایجاد هدر، ابتدا یک رشته تصادفی یکنواخت را انتخاب می کنیم \(\mathrm{Salt}\)از طول \(\mathrm{DerivedKeySize}\). بعد یک رشته تصادفی یکنواخت را انتخاب می کنیم\(\mathrm{NoncePrefix}\) به طول 7.

سپس تنظیم کردیم\(\mathrm{Header} := \mathrm{len}(\mathrm{Header}) \| \mathrm{Salt} \| \mathrm{NoncePrefix}\)، که در آن طول هدر به صورت یک بایت کدگذاری می شود. توجه می کنیم که\(\mathrm{len}(\mathrm{Header}) \in \{24, 40\}\).

بعد، ما از HKDF 3 با عملکرد هش استفاده می کنیم \(\mathrm{HkdfHashType}\)برای محاسبه طول مواد کلیدی\(\mathrm{DerivedKeySize} + 32\) برای این پیام:\(k := \mathrm{HKDF}(\mathrm{InitialKeyMaterial}, \mathrm{Salt}, \mathrm{AssociatedData})\). ورودی ها در ورودی های مربوطه استفاده می شوند\(\mathrm{HKDF}\): \(\mathrm{InitialKeyMaterial}\) است \(\mathrm{ikm}\)،\(\mathrm{Salt}\) نمک است و\(\mathrm{AssociatedData}\) به عنوان استفاده می شود \(\mathrm{info}\).

رشته \(k\) سپس به دو قسمت تقسیم می شود \(k_1 \| k_2 := k\)، طوری که\(\mathrm{len}(k_1) = \mathrm{DerivedKeySize}\) و \(\mathrm{len}(k_2) = 32\).

تقسیم پیام

پیام \(M\) در مرحله بعدی به بخش هایی تقسیم می شود: \(M = M_0 \| M_1 \| \cdots \| M_{n-1}\).

طول آنها به گونه ای انتخاب می شوند که برآورده شوند:

  • \(\mathrm{len}(M_0) \in \{0,\ldots, \mathrm{CiphertextSegmentSize} - \mathrm{len}(\mathrm{Header}) - \mathrm{HmacTagSize}\}\).
  • اگر \(n > 1\)، سپس \(\mathrm{len}(M_1), \ldots, \mathrm{len}(M_{n-1}) \in \{1,\ldots, \mathrm{CiphertextSegmentSize} - \mathrm{HmacTagSize}\}\).
  • اگر \(n > 1\)، سپس \(M_{0}, \ldots, M_{n-2}\) باید حداکثر طول مطابق با محدودیت های بالا داشته باشد.

در این تقسیم، \(n\) حداکثر ممکن است \(2^{32}\). در غیر این صورت، رمزگذاری با شکست مواجه می شود.

رمزگذاری بلوک ها

برای رمزگذاری بخش \(M_i\)، ابتدا محاسبه می کنیم\(\mathrm{IV}_i := \mathrm{NoncePrefix} \| \mathrm{i} \| b \| 0x00000000\)، جایی که ما رمزگذاری می کنیم \(\mathrm{i}\) در 4 بایت با استفاده از رمزگذاری big-endian، و بایت $b$ را 0x00 تنظیم کنید اگر $i < n-1$ و در غیر این صورت 0x01 باشد.

سپس رمزگذاری می کنیم \(M_i\) با استفاده از کلید AES CTR \(k_1\)و بردار مقداردهی اولیه\(\mathrm{IV}_i\). به عبارت دیگر، ورودی های فراخوانی AES هستند\(\mathrm{IV}_i, \mathrm{IV}_i + 1, \mathrm{IV}_i + 2, \ldots\)کجا \(\mathrm{IV}_i\) به عنوان عدد صحیح بزرگ اندین تفسیر می شود. این بازده \(C'_i\).

ما تگ را با استفاده از HMAC با تابع هش محاسبه می کنیم \(\mathrm{HmacHashType}\) و با کلید \(k_2\) بر روی الحاق\(\mathrm{IV}_i \| C'_i\).

سپس متن رمز شده و به دنبال آن برچسب را به هم الحاق می کنیم تا به دست آوریم \(C_i\).

بخش ها را به هم متصل کنید

در نهایت، تمام بخش ها به صورت الحاق می شوند\(\mathrm{Header} \| C_0 \| \cdots \| C_{n-1}\)، که متن رمز نهایی است.

عملکرد رمزگشایی

رمزگشایی به سادگی رمزگذاری را معکوس می کند. ما از هدر برای به دست آوردن nonce استفاده می کنیم و هر بخش از متن رمز شده را جداگانه رمزگشایی می کنیم.

APIها ممکن است (و معمولاً اجازه می دهند) دسترسی تصادفی یا دسترسی به ابتدای یک فایل را بدون بازرسی انتهای فایل مجاز کنند. این عمدی است، زیرا امکان رمزگشایی وجود دارد \(M_i\) از \(C_i\)، بدون رمزگشایی تمام بلوک های متن رمز شده قبلی و باقی مانده.

با این حال، APIها باید مراقب باشند که به کاربران اجازه ندهند خطاهای انتهای فایل و رمزگشایی را با هم اشتباه بگیرند: در هر دو مورد، API احتمالاً باید یک خطا را برگرداند، و نادیده گرفتن تفاوت می‌تواند منجر به این شود که حریف بتواند به طور مؤثر فایل‌ها را کوتاه کند.

سریال سازی و تجزیه کلیدها

برای سریال سازی یک کلید در قالب "Tink Proto"، ابتدا پارامترها را به روشی واضح در پروتوی ارائه شده در aes_ctr_hmac_streaming.proto نگاشت می کنیم. version فیلد باید روی 0 تنظیم شود. سپس این را با استفاده از سریال‌سازی پروتو معمولی سریال می‌کنیم و رشته حاصل را در مقدار فیلد یک پروتوی KeyData قرار می‌دهیم. فیلد type_url را روی type.googleapis.com/google.crypto.tink.AesCtrHmacStreamingKey تنظیم کردیم. سپس key_material_type روی SYMMETRIC قرار می دهیم و آن را در یک مجموعه کلید قرار می دهیم. ما معمولا output_prefix_type را روی RAW قرار می دهیم. استثنا این است که اگر کلید با مقدار متفاوتی برای output_prefix_type تجزیه شود، Tink ممکن است RAW یا مقدار قبلی را بنویسد.

برای تجزیه یک کلید، فرآیند فوق را معکوس می کنیم (به روش معمول هنگام تجزیه پروتوها). فیلد key_material_type نادیده گرفته می شود. مقدار output_prefix_type را می توان نادیده گرفت یا کلیدهایی را که output_prefix_type متفاوت از RAW دارند رد کرد. کلیدهایی که version ای متفاوت از 0 دارند رد می شوند.

مراجع

  1. [HRRV15] Hoang، Reyhanitabar، Rogaway، Vizar. رمزگذاری آنلاین تأیید شده و عدم استفاده مجدد از آن، مقاومت در برابر استفاده نادرست. CRYPTO 2015. https://eprint.iacr.org/2015/189

  2. [HS20] امنیت رمزگذاری جریان در کتابخانه تینک گوگل. Hoang، Shen، 2020. https://eprint.iacr.org/2020/1019

  3. [HKDF] تابع مشتق کلید استخراج و بسط مبتنی بر HMAC (HKDF)، RFC 5869. https://www.rfc-editor.org/rfc/rfc5869