AES-Verschlüsselung, wie transport-IV

Verstehe ich, dass die einzigartigen IV-wichtig ist, zu verschlüsseln, um zu verhindern, dass Angriffe wie Frequenz-Analyse. Die Frage: Für AES-CBC-Verschlüsselung, was die Bedeutung der IV? hat eine ziemlich klare Antwort zu erklären, die Bedeutung der IV.

Würde es werden alle Sicherheitslücken in senden der IV im Klartext? Oder würde es brauchen, um verschlüsselt mit der gleichen öffentlichen/privaten Schlüssels, der verwendet wurde, um senden Sie den symmetrischen Schlüssel?

Wenn die IV muss gesendet werden, verschlüsselt sind, warum dann nicht generiert einen neuen symmetrischen Schlüssel jeder Zeit und betrachten Sie die IV als Teil des Schlüssels? Ist es, die Generierung eines symmetrischen Schlüssels ist zu teuer? Oder ist es zum minimieren der Datenmenge, die transportiert?

Die top-Antwort auf Geheime und Nicht-geheime Initialisierungsvektor Staaten:

Einem typischen key establishment protocol führt sowohl zu Parteien computing ein Stück von Daten, die Sie, aber nur Sie beide wissen. Mit Diffie-Hellman (oder eine beliebige Elliptische Kurve Variante davon), das sagte geteilten Daten eine Feste Länge hat, und Sie haben keine Kontrolle über Ihren Wert (den Sie nur bekommen beide den gleichen, scheinbar zufällige Folge von bits).

Wie zwei Entitäten ableiten, die "dieselbe, scheinbar zufällige Folge von bits", ohne eine gemeinsame Stück von Informationen? Ist die Annahme, dass die freigegebenen Informationen verschlüsselt gesendet? Und, wenn die freigegebenen Informationen werden verschlüsselt gesendet, warum nicht einfach senden Sie die IV verschlüsselt?

Weil eine Anwendung benötigt, um den transport des symmetrischen Schlüssels sicher, es würde scheinen, dass die Trennung der IV von der Schlüssel selbst ist im wesentlichen eine Optimierung. Oder bin ich etwas fehlt?

  • ein Schema habe ich in der Vergangenheit generiert einen zufälligen Schlüssel jedes mal, und verschlüsseln Sie den Schlüssel und iv, beide mit einem zuvor gemeinsamen öffentlichen/privaten Schlüsselpaar. Ich habe nie das Gefühl, dass dies erhöht die AES Nutzlast in signifikanter Weise (für meine Anwendungen), aber vielleicht äußerst begrenzt comms Protokolle haben vielleicht mehr strenge Anforderungen an Größe
InformationsquelleAutor RunHolt | 2012-01-10
  1. 29

    Es ist keine Sicherheitslücke, durch die übersendung der IV im Klartext - dies ist ähnlich wie das speichern des salt-hash in Klartext: solange der Angreifer hat keine Kontrolle über die IV/Salz, und so lange, wie es zufällig ist, ist es kein problem.

    InformationsquelleAutor Eugen Rieck
  2. 30

    Den Hauptunterschied zwischen dem Initialisierungsvektor und der Schlüssel ist, dass der Schlüssel geheim gehalten werden, während die IV muss nicht sein - es kann gelesen werden, indem ein Angreifer ohne Gefahr für die Sicherheit der Verschlüsselungsverfahren in Frage stellen.

    Die Idee ist, dass Sie können verwenden den gleichen Schlüssel für verschiedene Nachrichten, nur mit unterschiedlichen (zufälligen) Initialisierungs-Vektoren für jeden, so dass die Beziehungen zwischen der Ebene der Texte erscheinen nicht in der entsprechenden ciphertexts.

    Sagte, dass, wenn Sie einen Schlüssel-Vereinbarung Regelung, wie Diffie-Hellman, die Ihnen ein neues shared secret für jede Sitzung auch immer, Sie können es auch verwenden, zum generieren des ersten Initialisierungs-Vektor. Diese nicht wirklich geben viel Sicherheit Vorteile im Vergleich zu der Auswahl des Initialisierungs-Vektor direkt und senden es mit der Nachricht, aber spart einige bits der Bandbreite, und einige bits der Entropie von Ihrem random source. Und es lässt die IV ein bisschen mehr random in Fall, dass einer der Partner hat einen schlechten Zufälligkeit Quelle (obwohl DH ist nicht wirklich sicher in diesem Fall auch).

    Wie zwei Entitäten ableiten, die "dieselbe, scheinbar zufällige Folge von bits", ohne eine gemeinsame Stück von Informationen?
    Ist die Annahme, dass die freigegebenen Informationen verschlüsselt gesendet? Und, wenn die freigegebenen Informationen werden verschlüsselt gesendet,
    warum nicht einfach senden Sie die IV verschlüsselt?

    Diffie-Hellman basiert auf einer Gruppe-theoretische problem: Eve kennt eine (zyklische) Gruppe G mit generator g und sieht die beiden Werte g^a (übertragen von Alice an Bob) und g^b (übertragen von Bob zu Alice), wo a und b sind zufällige große zahlen ausgewählt von Alice und Bob, bekannt und Eve und auch der anderen partner). Der gemeinsame geheime Schlüssel wird dann (g^a)^b = g^(a·b) = (g^b)^a. Offensichtlich Bob (wer weiß b) berechnen können, das Geheimnis (g^a)^b, während Alice (wer weiß a) berechnen kann (g^b)^a. Eve irgendwie muss ableiten, dieses Geheimnis zu knacken das Protokoll.

    In einigen Gruppen dieser (bekannt als die computational Diffie-Hellman problem) scheint zu sein, ein schwieriges problem, und wir werden mit diesen Gruppen in der Kryptographie. (In der ursprünglichen, DH, wir verwenden eine Untergruppe von primzahlordnung der multiplikativen Gruppe von einigen großen finite-prime-Bereich, in Elliptic Curve DH wir verwenden eine elliptische Kurve Gruppe über einem endlichen Feld. Andere Gruppen arbeiten auch (aber einige von Ihnen sind schwach, z.B. in der Additiven Gruppe des Feld-es ist trivial zu lösen).)

    Dann sowohl Alice und Bob verwenden einen Schlüssel Ableitung Funktion Ableitung der eigentlichen keying material (D. H. Verschlüsselung der Schlüssel für beide Richtungen, MAC-Tasten, und die, beginnend IVs).

    • sehr hilfreich, vielen Dank
    InformationsquelleAutor Paŭlo Ebermann
Schreibe einen Kommentar