Pot folosi jumătate din cheia de 256 de biți ca AES 256 IV?

După câteva cercetări pe Google, am aflat că IV-ul folosit în criptarea AES pe 256 de biți trebuie să fie o cheie de 128 de biți.

Criptarea mea AES256 este procesată cu cheia cheii aleatoare de 256 de biți și IV generat din șir de text.

Mă gândesc la MD5 pentru a genera o astfel de cheie, dar MD5 pare depășit.

Deci, ar trebui să fie în regulă dacă folosesc SHA256, generează o cheie de 256 de biți, apoi împart șirul hexagonal al cheii în mod egal în 2 părți și folosesc prima parte ca IV în criptarea AES pe 256 de biți?

Deci, ar trebui să fie în regulă dacă folosesc SHA256, generează o cheie de 256 de biți, apoi împart șirul hexagonal al cheii în mod egal în 2 părți și folosesc prima parte ca IV în criptarea AES pe 256 de biți?

Nu, există modalități mai bune.

În primul rând, atunci când creați o cheie aveți nevoie de un generator de numere aleatoare, sigur din punct de vedere criptografic. daca tu deriva o cheie dintr-un secret principal - uneori numită semințe - aveți nevoie de o funcție de derivare a cheii sau KDF. În acest din urmă caz ​​ați putea de ex. utilizați HKDF cu un hash bun, cum ar fi SHA-256. În principiu, puteți crea de ex. Ieșire pe 384 de biți folosind HKDF - chiar și atunci când utilizați SHA-256, dar nu cred că este o idee bună, din cauza următoarei părți a răspunsului.

În al doilea rând, reutilizarea unei combinații cheie/IV nu este o idee bună; în funcție de modul și mesaj, este posibil să scurgeți doar câteva date sau tot mesajul.

În general, puteți utiliza doar un IV cu zero dacă cheia este generată aleatoriu pentru fiecare mesaj. Ar fi mai bine decât reutilizarea unei părți a cheii. După cum s-a indicat, un IV nu este considerat, în general, a fi secret, așa că dacă utilizați date cheie ca implementări IV, ar putea foarte bine să-l scurgă.

Dacă trebuie să criptați mai multe mesaje cu aceeași cheie, atunci puteți utiliza a sintetic IV sau SIV. În acest fel, veți pierde date doar dacă mesajele sunt complet identice, cu prețul unei anumite performanțe, deoarece modurile SIV sunt multi-pass (mesajele trebuie procesate de două ori).

În general, ar trebui să utilizați doar un IV randomizat și să îl trimiteți cu textul cifrat. Nu este clar din întrebare dacă acest lucru a fost luat în considerare; ar fi cel mai comun mod de a gestiona generația a IV-a.

În cele din urmă, cheile nu sunt alfanumerice; sunt formați din biți. De fiecare dată când o cheie este tradusă în text, deschideți o problemă de securitate. Deci nu face asta: păstrează cheile binare.Prefer să folosesc AES-128 cu o cheie complet aleatorie și să folosesc ceilalți 128 de biți pentru IV decât să revin la utilizarea hexazecimale.

Hexazecimalele sunt utile numai pentru consumul uman, de ex. în timpul testării sau depanării când vine vorba de cheile secrete.

Presupun că nu dezvălui acest IV. Depinde ce vrei și ce mod folosești. IV pentru AES ar trebui să fie de 128 de biți pentru moduri precum OFB, CBC sau CFB, dar este de obicei mai scurt pentru moduri precum CTR sau variantele sale autentificate, unde cel mai comun mod de a crea blocuri folosit pentru a genera fluxul ar fi concatenarea lui IV (nonce) și tejghea. Pot exista multe probleme cu utilizarea unei părți a cheii ca IV:

Pentru o dată nu cunosc niciun risc de securitate imens asociat cu dezvăluirea $E_k(k_{0..|k|/2})$ sau $E_k(k_{0..|k|/2} \oplus P)$ sau $E_k(k_{0..m} || ctr)$ pentru un mesaj cunoscut $P$ pentru AES complet (Vă rugăm să corectați dacă greșesc). Acestea sunt funcții pe care le puteți vedea în funcție de modurile utilizate. Cu toate acestea, utilizarea reală poate fi nesigură.

1. În esență, vă face criptarea deterministă. Deci nu ascunde complet mesajul. Pentru moduri precum CBC sau CFB puteți detecta prefixe comune (prefixe de bloc complet în mesaj). Pentru CFB, acest lucru vă poate permite, de asemenea, să deduceți relația dintre textele simple corespunzătoare primelor blocuri divergente, în special $P_{1_i} \oplus P_{2_i}$ unde textele cifrate diverg la $i^{th}$ bloc. Pentru moduri precum CTR sau OFB, poate fi devastator dacă reutilizați vreodată cheia, puteți deduce relația xor pentru întregul text simplu pentru cele două. Această problemă persistă chiar dacă utilizați MD5 pentru IV. Prin urmare, îl face foarte nepotrivit pentru reutilizare, chiar și accidental, ceea ce este mai ușor de spus decât de făcut.

2. În unele protocoale, dacă un atacator găsește o modalitate de a obține $E_k(k_{0..|k|/2})$ de exemplu prin păcălirea în criptare $0^{|k|}$ în modul CBC și apoi să-i păcălească în criptare $p_i||c_{i}$ unde obţinuse $c_{i}$ din interacțiunea anterioară pentru a dezvălui $E_k(0^{|k|})$, i-ar putea păcăli să dezvăluie jumătate din cheie cerând să decripteze $E_k(0^{|k|})$. Aceasta nu este ideea mea originală, așa că vă sugerez să vedeți răspunsul lui fgrieu Aici, vezi dezavantajul 2.

3. Poate fi sigur să îl utilizați dacă nu reutilizați cheia sau în alte protocoale similare. Pentru moduri precum CBC sau chiar ECB cu unele mesaje cu entropie ridicată (aleatorie) fără structură cunoscută pot fi OK, de asemenea, în cazul în care utilizați de mai multe ori.