La primitiva de encriptación autenticada con datos asociados (AEAD) es la más común para la encriptación de datos y es adecuada para la mayoría de las necesidades.
AEAD tiene las siguientes propiedades:
- Secrecy: No se sabe nada sobre el texto simple, excepto su longitud.
- Autenticidad: Es imposible cambiar el texto simple encriptado subyacente al texto cifrado sin que se detecte.
- Simétrico: La encriptación del texto simple y la desencriptación del texto cifrado se realizan con la misma clave.
- Aleatorización: La encriptación es aleatoria. Dos mensajes con el mismo texto simple producen textos cifrados diferentes. Los atacantes no pueden saber qué texto cifrado corresponde a un texto simple determinado. Si quieres evitar esto, usa AEAD determinista en su lugar.
Datos asociados
AEAD se puede usar para vincular el texto cifrado a datos asociados específicos
datos. Supongamos que tienes una base de datos con los campos user-id y encrypted-medical-history. En este caso, user-id se puede usar como datos asociados cuando se encripta encrypted-medical-history. Esto evita que un atacante mueva el historial médico de un usuario a otro.
Los datos asociados son opcionales. Si se especifican, la desencriptación solo se realiza correctamente si se pasan los mismos datos asociados a las llamadas de encriptación y desencriptación.
Elige un tipo de clave
Si bien recomendamos AES128_GCM para la mayoría de los usos, existen varios tipos de claves para diferentes necesidades. AES128 ofrece seguridad de 128 bits y AES256 ofrece seguridad de 256 bits.
Las dos restricciones de seguridad notables cuando se elige un modo son las siguientes:
- QPS: ¿Cuántos mensajes se encriptan con la misma clave?
- Tamaño del mensaje: ¿Qué tan grandes son los mensajes?
Tipos de claves compatibles:
- AES-CTR-HMAC (AES128_CTR_HMAC_SHA256, AES256_CTR_HMAC_SHA256) con un vector de inicialización (IV) de 16 bytes es el modo más conservador con buenos límites.
- Compromiso de clave.
- AES-EAX (AES128_EAX, AES256_EAX) es un poco menos conservador y un poco más rápido que AES128_CTR_HMAC_SHA256.
- No se compromete la clave MLGR.
- AES-GCM (AES128_GCM, AES256_GCM) suele ser el modo más rápido con los límites más estrictos en la cantidad de mensajes y el tamaño del mensaje. Cuando se superan estos límites en las longitudes de texto simple y datos asociados (a continuación), AES-GCM falla de forma catastrófica al filtrar el texto simple y la parte de autenticación de la clave interna de AES-GCM.
- AES-GCM-SIV (AES128_GCM_SIV, AES256_GCM_SIV) es casi tan rápido como AES-GCM.
Tiene los mismos límites que AES-GCM en la cantidad de mensajes y el tamaño del mensaje, pero, cuando se superan estos límites, falla de una manera menos catastrófica: solo puede filtrar el hecho de que dos mensajes son iguales. Esto hace que sea más seguro usarlo que AES-GCM, pero se usa menos en la práctica. Para usar
esto en Java, debes instalar Conscrypt.
- No se compromete la clave ADGKLS.
- XChaCha20-Poly1305 (XCHACHA20_POLY1305) tiene un límite mucho mayor en la cantidad de mensajes y el tamaño del mensaje que AES-GCM, pero, cuando falla (es muy poco probable), también filtra el material de la clave. No tiene aceleración de hardware, por lo que puede ser más lento que los modos AES en situaciones en las que la aceleración de hardware está disponible.
- No se compromete la clave LGR.
Obtén más información sobre el formato de transmisión del texto cifrado AEAD.
Garantías de seguridad
Las implementaciones de AEAD ofrecen lo siguiente:
- Seguridad CCA2
- Al menos 80 bits de intensidad de autenticación
- La capacidad de encriptar al menos 232 mensajes con un total de 250 bytes. Ningún ataque con hasta 232 textos simples o textos cifrados elegidos tiene una probabilidad de éxito superior a 2-32.
Ejemplos de casos de uso
Consulta Quiero encriptar datos y Quiero vincular el texto cifrado a su contexto.