带有关联数据的流式传输身份验证加密 (Streaming AEAD)

流式 AEAD 基元可为流式数据提供认证加密。如果要加密的数据过大,无法在单个步骤中处理,此功能非常有用。典型用例包括加密大型文件或实时数据流。

加密是按分段进行的,这些分段绑定到其在密文中的位置,无法移除或重新排序。一个密文中的分段无法插入另一个密文中。如需修改现有密文,必须重新加密整个数据流。1

解密速度很快,因为一次只解密和身份验证密文的一部分。无需处理整个密文即可获取部分明文。

流式 AEAD 实现符合 AEAD 定义,并且具有 nOAE 安全性。它们具有以下属性:

  • Secrecy:除了长度之外,关于明文的所有信息均不为人知。
  • Authenticity:无法在不被检测的情况下更改密文底层的加密明文。
  • Symmetric:使用相同的密钥加密明文和解密密文。
  • 随机化:加密是随机的。具有相同明文的两条消息会产生不同的密文。攻击者无法知道哪个密文与给定明文相对应。

相关数据

流式 AEAD 基元可用于将密文与特定关联数据相关联。假设您有一个包含字段 user-idencrypted-medical-history 的数据库:在这种情况下,在加密 encrypted-medical-history 时,user-id 可以用作关联数据。这样可以防止攻击者将一个用户的医疗记录从转移到另一个用户。

选择密钥类型

对于大多数用途,我们建议使用 AES128_GCM_HKDF_1MB。一般来说:

  • AES-GCM-HKDF
    • AES128_GCM_HKDF_1MB(或 AES256_GCM_HKDF_1MB)速度更快。它可以加密 264 个文件,每个文件最多包含 264 个字节。加密和解密过程中会消耗大约 1 MB 的内存。
    • AES128_GCM_HKDF_4KB 会消耗大约 4 KB 的内存,如果系统内存不多,则是一个不错的选择。
  • AES-CTR HMAC
    • AES128_CTR_HMAC_SHA256_1MB(或 AES256_CTR_HMAC_SHA256_1MB)是一种更为保守的选项。

安全保证

流式 AEAD 实现提供以下功能:

  • CCA2 安全性。
  • 身份验证强度至少为 80 位。
  • 能够加密至少 264 个消息3,总计 251 字节2。任何攻击都无法使用最多 232 个已选明文或已选密文,成功概率大于 2-32

用例示例

请参阅我想加密大型文件或数据流

  1. 存在此限制的原因是使用了 AES-GCM 加密算法。在同一位置加密不同的明文段相当于重复使用 IV,这违反了 AES-GCM 的安全保证。另一个原因是,这样可以防止回滚攻击,攻击者可能会尝试在不被检测的情况下恢复文件的旧版本。 

  2. 支持 232 个分段,每个分段包含 segment_size - tag_size 字节的明文。对于 1 MB 的段,纯文本总大小为 232 * (220-16) ≈ 251 字节。 

  3. 如果重复使用派生密钥 (128 位) 和 Nonce 前缀(独立的随机 7 字节值)组合,流式 AEAD 将变得不安全。我们采用了 184 位碰撞抵抗性,如果我们希望成功概率小于 2-32,则大致相当于 264 个消息。