Care este avantajul deformarii cheii AES în comparație cu adăugarea unui nonce aleatoriu?

Sunt interesat de metodele de împachetare a unui AES DEK (Cheie de criptare a datelor) folosind AES KEK (Cheie de criptare a cheii). Există un avantaj în utilizarea cheii AES (rfc3394) spre deosebire de simpla adăugare a unui nonce aleatoriu la DEK înainte de a-l cripta?

Context: My KEK se bazează pe un TPM 2.0 (Trusted Platform Module), specificația dispozitivului nu include cheia AES și acceptă moduri de operare limitate de criptare bloc (GCM nu este inclus).Prin urmare, mă întreb dacă este suficient să înfășurați cheia după cum urmează

• Pregătiți textul simplu prin adăugarea unui nonce aleatoriu de 32 de octeți la DEK
• Utilizați modul de operare CFB
• Utilizați un IV aleatoriu de 16 octeți (Vector de inițializare)
• Criptați folosind AES256 KEK bazat pe TPM

Avantajul cheii AES este că verifică integritatea datelor. La decriptare trebuie verificat IV-ul rezultat, iar dacă nu este valoarea inițială, datele au fost manipulate.

Utilizarea CFB nu este un mod bun de operare, deoarece nu asigură verificarea integrității. Dacă doriți să îl utilizați, utilizați-l în modul standard, care este să furnizați un IV normal și să nu adăugați date înaintea textului simplu și utilizați un HMAC-SHA-256 pentru a acoperi datele criptate (nu textul simplu) și IV. . Cheia pe care o utilizați în acest caz ar trebui să fie independentă de cheia pe care o utilizați pentru a cripta datele, dar le puteți obține pe ambele folosind o singură intrare cu un KDF precum HKDF.