AES256-GCM Este sigur să adăugați IV-ul la AAD și să îl folosiți în criptare?

IV este, în general, antepus textului cifrat. Au omis asta? IV-ul este doar pe AAD sau există deja două IV-uri în jur? Vreun link către hârtie/sursă? Vă rog, nu o lucrare de la lucrările de licență.

Poate că se gândesc la Authenticated Hedged Encryption cu date asociate (AHEAD): folosind un AEAD precum AES-GCM, utilizați un MAC al mesajului ca IV (cu cheia de criptare ca cheie MAC), apoi introduceți un nonce aleatoriu în AAD. Acest lucru face ca aceasta să fie criptată cu cheie, autentificată și nedeterministă. Este nevoie de 2 treceri și există construcții mai bune pentru AHEAD decât utilizarea AES-GCM, dar este suficient de sigur. (Dacă doriți AES, este posibil să utilizați AES-GCM-SIV cu un nonce aleatoriu de 256 de biți în AAD, urmat de o valoare de verificare a cheii, dar asta necesită mai mult design.)

Această întrebare are nevoie de o oarecare claritate pentru a răspunde corect. De ce crezi că IV face parte din mesaj? Care este contextul protocolului? Este posibil să aveți IV-ul în AAD și totul va fi bine, IV-ul nu este date secrete, așa că adăugarea IV-ului la AAD nu este dăunătoare de la sine. Dar AES256-GCM nu specifică cum să alegeți IV-ul, iar introducerea lui în AAD este ciudată, așa că este posibil oriunde ați văzut că acest lucru face ceva extrem de nesigur! Fără un link către sursă, nu putem răspunde cu adevărat dacă acest caz este dăunător.

întrebarea această in alte limbi: