Utilizarea corectă a AES CTR

Am citit că AES CTR este sigur numai dacă este utilizat corect. Prin urmare, vreau să fiu sigur că îl folosesc corect.

1. Vectorul inițial (IV) poate fi folosit o singură dată, nu trebuie să fie aleatoriu. Este sigur să folosiți un contor pentru o parte a IV-ului, cealaltă parte este doar un text const. Contorul este transmis tuturor în text clar, în timp ce partea sensibilă a mesajului este criptată. Este o problemă că următorul IV este previzibil?
2. Înțeleg că IV-ul nu se poate repeta niciodată, dar în cazul în care sunt necesare câte iterații ale acestei condiții pentru a sparge sistemul. Adică două repetări ale aceluiași contor sau 100?
3. Nu în ultimul rând, crește securitatea utilizarea AES-256 peste AES-128 pentru a cripta un mesaj de 16 octeți?

Pentru CTR, cerința este ca contravaloare nu se repetă (pentru o anumită cheie). Cea mai mare problemă cu modul counter este că nu este suficient pentru IV (cel iniţială valoarea contorului) a nu repeta.

Nu contează dacă valoarea contorului este previzibilă. Dacă puteți aranja ca contorul să înceapă de la 0 și să crească cu 1 pentru fiecare bloc de mesaje, acesta este o modalitate foarte bună de a utiliza CTR. Rețineți că în cazul mai multor mesaje, aceasta înseamnă că primul mesaj folosește valorile contorului $0, 1, 2, \ldots, a$, apoi al doilea mesaj folosește valori de contor $a+1, a+2, \ldots, b$, al treilea mesaj folosește $b+1, b+2, \ldots, c$, și așa mai departe.

Permiteți-mi să ilustrez ce nu merge bine cu o valoare de contor care se repetă. Lăsa $E$ fie funcția de criptare bloc și scrie $\langle n\rangle$ pentru codificarea unei valori de contor $n$ ca un bloc. Dacă trimiteți două mesaje în două blocuri $P_0||P_1$ și $P'_0||P'_1$ (unde fiecare $P^{(j)}_i$ reprezintă un bloc), unul cu IV $n$ iar următorul cu IV $n+1$, atunci textele cifrate respective sunt $C_0||C_1 = (E(\langle n\rangle) \oplus P_0) || (E(\langle n+1\rangle) \oplus P_1)$ și $C'_0||C'_1 = (E(\langle n+1\rangle) \oplus P'_0) || (E(\langle n+2\rangle) \oplus P_1)$. Observați modul în care sunt folosite ambele texte cifrate $E(\langle n+1\rangle)$. Un adversar poate xor cele două blocuri de text cifrat care folosesc aceeași valoare de contor, iar masca lor de criptare se anulează: $C_1 \oplus C'_0 = P_1 \oplus P'_0$. Acest lucru este adesea suficient pentru a ghici unele sau toate blocurile de text simplu. De exemplu, multe mesaje conțin un antet cunoscut sau cel mai adesea cunoscut, iar în acest exemplu de repetare a valorii contorului, aceasta se transformă în dezvăluirea conținutului a ceea ce este de 16 octeți după antetul din primul mesaj.

Dacă nu puteți ține evidența valorilor de contor au fost utilizate, o tehnică comună pentru a evita repetarea este să utilizați o aleatorie de 16 octeți pentru IV. Acest lucru face șansa de a reutiliza o valoare a contorului suficient de mică încât să nu se întâmple în practică.

În cele mai multe cazuri, ar trebui să utilizați un standard criptare autentificată (AEAD) în schimb, de exemplu SIV sau sau GCM-SIV sau GCM sau CCM. Acest lucru are două beneficii. Una este că textele cifrate sunt autentificate: la decriptare, puteți verifica dacă textul cifrat nu a fost modificat. (Este imposibil să se verifice autenticitatea unui text cifrat fără cheia secretă. Un adversar poate încă schimba două mesaje autentice, deci autenticitatea nu implică chiar integritate.) Celălalt avantaj al utilizării unui mod AEAD standard este că este suficient pentru securitate ca valoarea contorului nu se repetă: nu există alte condiții subtile. Modurile SIV au avantajul că, chiar dacă IV-ul se repetă accidental, acest lucru poate dezvălui doar că mesajele sunt identice, nu va dezvălui nimic despre conținutul lor.

Folosirea AES-256 mai degrabă decât AES-128 îmbunătățește doar securitatea împotriva computerelor cuantice, în cazul în care acestea devin practice.