一个正式的分析已经由Phil Rogaway在2011年已经完成,在这里。第1.6节给出了我在这里转录的摘要,加上我自己强调的粗体(如果你不耐烦,那么他的建议是使用CTR模式,但我建议你阅读我的段落有关消息完整性与加密的情况)。
请注意,其中大多数要求IV是随机的,这意味着不可预测,因此应该使用加密安全性生成。但是,有些只需要一个“nonce”,它不要求该属性,而只要求它不被重用。因此,依赖于nonce的设计比不设计的设计更不容易出错(并且相信我,我已经看到许多CBC没有通过正确的IV选择实现的情况)。因此,当Rogaway说“当IV是nonce时未达到机密性”时,你会看到我添加了粗体,这意味着如果你选择IV加密安全(不可预测),那么没问题。但如果你不这样做,那么你就失去了良好的安全属性。 切勿在任何这些模式下重复使用IV。
此外,了解消息完整性和加密之间的区别非常重要。加密隐藏数据,但攻击者可能能够修改加密数据,如果您不检查邮件完整性,则软件可能会接受结果。虽然开发人员会说“但修改后的数据将在解密后作为垃圾返回”,一位优秀的安全工程师会发现垃圾导致软件出现不良行为的可能性,然后他会将该分析转化为真正的攻击。我见过许多使用加密的情况,但实际上需要的信息完整性比加密更多。了解您的需求。
我应该说尽管GCM同时具有加密和消息完整性,但它是一个非常脆弱的设计:如果你重新使用IV,你就会被搞砸 - 攻击者可以恢复你的密钥。其他设计不那么脆弱,所以我个人不敢根据我在实践中看到的不良加密代码的数量来推荐GCM。
如果你需要消息完整性和加密,你可以结合两种算法:通常我们看到CBC与HMAC,但没有理由将自己绑定到CBC。重要的是要先加密,然后MAC加密内容,而不是相反。此外,IV需要是MAC计算的一部分。
我不知道知识产权问题。
现在来看看Rogaway教授的好消息:
阻止密码模式,加密但不是消息完整性
ECB:块密码,模式通过分别加密每个n比特块来加密n比特的倍数的消息。安全属性很弱,该方法在块位置和时间上泄漏了块的相等性。具有相当大的遗留价值,并且作为其他方案的构建块具有价值,但该模式本身并未实现任何通常理想的安全目标,必须谨慎使用; 不应将欧洲央行视为“通用”保密模式。
CBC:基于IV的加密方案,该模式作为概率加密方案是安全的,假设随机IV,实现与随机比特的不可区分。如果IV仅仅是一个nonce,则不能实现保密,也不会像该标准错误地建议的那样,在该方案使用的相同密钥下加密nonce。Ciphertexts具有很强的可塑性。没有选择的密文攻击(CCA)安全性。对于许多填充方法,在存在正确填充oracle的情况下,机密性将被取消。加密从本质上是连续的低效。模式的隐私安全属性被广泛使用,导致频繁的误用。可以用作CBC-MAC算法的构建块。我认为与CTR模式相比没有重要的优势。
CFB:基于IV的加密方案,该模式作为概率加密方案是安全的,假设随机IV,实现与随机比特的不可区分。如果IV是可预测的,则不能实现机密性,也不是由该方案使用的相同密钥加密的随机数制作,正如标准错误地建议的那样。Ciphertexts是可塑的。没有CCA安全性。加密从本质上是连续的低效。方案取决于参数s,1≤s≤n,通常s = 1或s = 8.对于需要一个阻塞调用仅处理s位而言效率低。该模式实现了一个有趣的“自同步”属性; 在密文中插入或删除任意数量的s位字符只会暂时中断正确的解密。
OFB:基于IV的加密方案,该模式作为概率加密方案是安全的,假设随机IV,实现与随机比特的不可区分。如果IV是随机数,则不能实现机密性,尽管固定的IV序列(例如,计数器)确实可以正常工作。Ciphertexts具有很强的可塑性。没有CCA安全性。加密和解密本身不是串行的。本地加密任何位长度的字符串(不需要填充)。我认为与CTR模式相比没有重要的优势。
CTR:基于IV的加密方案,该模式实现了与假定nonce IV的随机位的不可区分性。作为基于安全随机数的方案,该模式还可以用作概率加密方案,具有随机IV。如果nonce在加密或解密时被重用,则完全失去隐私。与其他机密性模式相比,模式的可并行性通常使其在某些设置中更快,速度更快。用于经过身份验证的加密方案的重要构建块。总的来说,通常是实现仅隐私加密的最佳和最现代的方式。
XTS:基于IV的加密方案,该模式通过将可调整的块密码(作为强PRP安全)应用于每个n比特块来工作。对于长度不能被n整除的消息,最后两个块将被特殊处理。唯一允许使用该模式的是加密块结构存储设备上的数据。底层PRP的窄宽度和分数最终块的不良处理是问题。比(宽块)PRP安全阻塞更有效但不太理想。
MAC(消息完整性但不加密)
ALG1-6:MAC的集合,所有这些都基于CBC-MAC。计划太多了。有些作为VIL PRF可证明是安全的,有些作为FIL PRF,有些没有可证明的安全性。一些计划承认有害的攻击。有些模式已过时。对于具有它的模式,密钥分离没有得到充分的关注。不应该集体采用,但有选择地选择“最佳”方案是可能的。采用这些模式也没有问题,有利于CMAC。一些ISO 9797-1 MAC被广泛标准化和使用,尤其是在银行业。该标准的修订版(ISO / IEC FDIS 9797-1:2010)即将发布[93]。
CMAC:基于CBC-MAC的MAC,该模式可证明是安全的(直到生日界限)作为(VIL)PRF(假设底层块是一个好的PRP)。基于CBCMAC的方案的开销基本上是最小的。本质上串行性质在某些应用领域中存在问题,并且与64位块密码一起使用将需要偶尔重新键入。清洁比ISO 9797-1的MAC集合。
HMAC:基于加密散列函数而不是块密码的MAC(尽管大多数加密散列函数本身都基于块密码)。机制享有强大的可证明安全界限,尽管并非优先假设。文献中多个密切相关的变体使获得对已知事物的理解变得复杂。从未提出任何破坏性攻击。广泛标准化和使用。
GMAC:基于随机数的MAC,是GCM的一个特例。继承了GCM的许多优点和缺点。但是对于MAC来说,nonce-requirement是不必要的,在这里它几乎没有什么好处。如果标签被截断为≤64位且解密程度不受监控和缩减,则会产生实际攻击。nonce重用完全失败。如果采用GCM,则无论如何都要隐含使用。不推荐用于单独的标准化。
经过身份验证的加密(加密和消息完整性)
CCM:基于随机数的AEAD方案,结合了CTR模式加密和原始CBC-MAC。在某些情况下,本质上是连续的,限制速度。假设底层封闭是一个很好的PRP,那么可以保证安全,有良好的界限。笨拙的建筑,明显地完成了这项工作。比GCM更容易实现。可以用作基于nonce的MAC。广泛标准化和使用。
GCM:基于随机数的AEAD方案,结合了CTR模式加密和基于GF(2128)的通用散列函数。某些实施环境的良好效率特性。假设标签截断最小,可证明安全性很好。在存在大量标签截断的情况下,攻击和可证明的安全性很差。可以用作基于随机数的MAC,然后称为GMAC。允许96位以外的nonce的可疑选择。建议将nonce限制为96位,将标记限制为至少96位。广泛标准化和使用。