Puncte:0

CTR HMAC SHA1 vs GCM Gestionarea cheilor

drapel cn

Protocolul SRTP utilizează implicit AES în modul CTR cu HMAC-SHA1. Pentru teza mea vreau să cercetez dacă GCM ar fi o opțiune mai bună. De aceea am citit mai jos discuţie.

Acolo, răspunsul a fost că modul GCM este mai bun printre altele, deoarece GCM are nevoie doar de o cheie pentru criptare și autentificare a mesajelor, iar CTR+SHA1 are nevoie de două pentru aceste lucruri.

Dar nu pot folosi o singură tastă pentru CTR+SHA1? Nu aș putea reutiliza aceeași cheie pentru criptare cu modul CTR și apoi poate să decupez sau să extind aceeași cheie pentru a o folosi cu SHA1 pentru a autentifica mesajul.

Există dezavantaje de securitate sau alte lucruri pe care am uitat să le iau în considerare?

kelalaka avatar
drapel in
Puteți găsi limite de falsificare GCM [aici](https://crypto.stackexchange.com/a/67367/18298) și utilizarea aceleiași chei în CTR și HMAC nu este o problemă și amintiți-vă că AES-GCM utilizează o singură cheie, totuși cheia pentru CTR și GHash nu sunt aceleași...
Puncte:2
drapel my

Există dezavantaje de securitate sau alte lucruri pe care am uitat să le iau în considerare?

Da, GCM are probleme de securitate cu modul în care SRTP ar dori să-l folosească.

SRTP este conceput pentru a avea o supraîncărcare a lățimii de bandă (adică dimensiunea pachetului) cât mai mică posibil; SRTP este uneori folosit prin wireless, iar acolo dimensiunea pachetului este destul de scumpă. IIRC, singura lățime de bandă pe care o adaugă SRTP este eticheta de integritate (IV, dacă modul are nevoie de unul care nu se repetă niciodată, poate fi o funcție a poziției din flux, care este deja inclusă în secțiunea necriptată a pachetului); am dori să reducem eticheta să fie cât mai scurtă posibil (atât pentru a reduce costul, cât și pentru SRTP, ca cineva să introducă un singur pachet fals nu este chiar atât de rău - pentru utilizarea audio, ar putea modifica 20 msec de conexiunea vocală la un nivel nu prea ridicat ($<10^{-6}$) probabilitate și care a fost considerat tolerabil pentru acest caz de utilizare).

Când ajungem la GCM, avem o problemă cu etichetele scurte. GCM are această proprietate: dacă avem un mesaj GCM criptat cu IV, ciphertext/tag $(IV, C, T)$ și cineva găsește un mesaj fals $(IV, C', T')$ care este acceptat (notă: a fost folosit același IV, textul cifrat și eticheta au fost modificate arbitrar), apoi pentru orice mesaj criptat viitor $(IV", C", T")$, apoi mesajul $(IV", C" \oplus C \oplus C', T" \oplus T \oplus T')$ vor fi de asemenea acceptate. Adică, prin găsirea unui singur fals, atacatorul poate introduce falsuri de aici încolo.

Și, dacă aveți o etichetă scurtă, atunci atacatorul are probabilități decente de a găsi un mesaj fals acceptat $(IV, C', T')$ prin simpla ghicire a diverselor $T'$ valorile.

Un singur fals era considerat tolerabil; a permite atacatorului să genereze un flux continuu de falsuri este mai puțin. Cu GCM, putem evita această problemă utilizând o etichetă lungă (unde probabilitatea de a o ghici aleatoriu este suficient de mică), cu toate acestea, cazurilor de utilizare pentru SRTP nu le plac etichetele lungi.

HMAC nu are această proprietate; dacă atacatorul găsește un fals $(C', T')$ (HMAC nu are IV), asta nu-l ajută să genereze falsuri viitoare.

kelalaka avatar
drapel in
OP a clarificat după răspunsul meu, ei consideră SRTP. Mi-am șters răspunsul (nu îl voi anula) și puteți folosi orice idee care se potrivește.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.