RSA criptează o cheie AES. Dar AES IV?

Trebuie să transmit în siguranță o cheie AES unui client de la distanță. Ceea ce am făcut până acum a fost să generez o cheie AES aleatorie și să o criptez folosind cheia publică RSA a clientului (padding-ul PKCS#1 v1.5 este îngrijit de biblioteca RSA pe care o folosesc, CryptJS).

Nu mi-am dat seama că AES necesită cheia dar și un IV. Nu știu care este modul corect de a trata IV. Ar trebui să-l criptez și eu și, practic, să trimit peste două blob-uri criptate? (unul pentru cheia AES și unul pentru IV). Sau pot atașa în siguranță IV-ul la cheia AES în sine și criptez matricea de octeți rezultată?

Folosesc RSA 2048bit, așa că pot cripta cu siguranță o sarcină utilă de 128+128=256biți.

Există vreo implicație de securitate dacă atașez IV la cheia AES și criptez RSA matricea de octeți rezultată?

Nu am găsit nicio bună practică în acest sens. Nici măcar nu știu dacă este sigur să trimiți IV-ul așa cum este, fără a-l cripta.

Nici măcar nu aveți nevoie de un IV randomizat dacă aveți deja o cheie secretă randomizată care se modifică pentru fiecare mesaj. Deci orice răspuns nu va fi fundamental greșit, deoarece nu există cerințe de securitate pentru IV. Totuși, ți-aș sugera să citești acest raspuns oferit de ursul nostru prietenos înainte de a întâlni o BĂRĂ mai puțin prietenoasă.

Cu toate acestea, nu aș include IV-ul cu cheia de intrare AES dintr-un motiv anume: nu ar fi compatibil cu niciun hardware sau HSM (sau orice alt depozit de chei) care efectuează împachetarea cheilor (adică criptarea unei chei cu o cheie de împachetare, în cazul dvs. cheia publică RSA). Deci, dacă decideți vreodată că aveți nevoie de asta, va trebui să schimbați protocolul. În caz contrar, ar trebui să decriptați și să stocați cheia în software. Aceasta nu este o problemă uriașă pentru a fi sincer, deoarece datele vor fi oricum în memorie, dar este ceva de luat în considerare.

Dacă insistați asupra unui IV aleatoriu, ați putea folosi de ex. un hash peste cheia înfășurată (adică textul cifrat RSA) ca IV, sau îl puteți deriva din materialul cheii înfășurate în sine (folosind o funcție de derivare a cheii sau KDF). Aceasta din urmă este probabil una dintre abordările folosite de majoritatea criptografilor de aici, chiar dacă este mai greu de înțeles și implementat (de exemplu, RSA-KEM, apoi HKDF-Extract, apoi de 2 ori HKDF-Expand - o dată pentru cheie, o dată pentru IV). - deși probabil că nu este compatibil nici cu mult hardware).

După cum se indică în comentarii, a avea un mesaj autentificat este adesea destul de important. Asta ar necesita de obicei semnează-apoi-criptează, care este totuși vulnerabil la atacurile de umplutură oracle atât pe PKCS#1, cât și pe CBC, dacă intenționați să utilizați acel mod. Dacă luați în considerare un singur destinatar și confidențialitatea și integritatea, atunci criptarea apoi semnarea poate funcționa mai bine pentru dvs.

Acest lucru necesită, desigur, și o pereche de chei RSA (de încredere) la receptor, în cele din urmă, totul este despre managementul cheilor.