La primitiva di crittografia autenticata con dati associati (AEAD) è la più comune per la crittografia dei dati ed è adatta alla maggior parte delle esigenze.
AEAD ha le seguenti proprietà:
- Secrecy: non si sa nulla del testo non crittografato, tranne la sua lunghezza.
- Autenticità: è impossibile modificare il testo non crittografato sottostante il testo crittografato senza che ciò venga rilevato.
- Simmetria: la crittografia del testo non crittografato e la decrittografia del testo crittografato vengono eseguite con la stessa chiave.
- Randomizzazione: la crittografia è randomizzata. Due messaggi con lo stesso testo non crittografato producono testi crittografati diversi. Gli aggressori non possono sapere quale testo crittografato corrisponde a un determinato testo non crittografato. Se vuoi evitare questo, utilizza invece AEAD deterministico.
Dati associati
AEAD può essere utilizzato per collegare il testo crittografato a dati associati specifici
dati. Supponiamo di avere un database con i campi user-id e encrypted-medical-history. In questo scenario, user-id può essere utilizzato come dati associati durante la crittografia di encrypted-medical-history. In questo modo, un aggressore non può spostare la cartella clinica di un utente a un altro.
I dati associati sono facoltativi. Se specificati, la decrittografia ha esito positivo solo se gli stessi dati associati vengono passati sia alle chiamate di crittografia sia a quelle di decrittografia.
Scegli un tipo di chiave
Sebbene consigliamo AES128_GCM per la maggior parte degli utilizzi, esistono vari tipi di chiavi per esigenze diverse. AES128 offre una sicurezza a 128 bit, mentre AES256 offre una sicurezza a 256 bit.
I due vincoli di sicurezza principali da considerare quando si sceglie una modalità sono:
- QPS: quanti messaggi vengono criptati con la stessa chiave?
- Dimensioni del messaggio: quanto sono grandi i messaggi?
Tipi di chiavi supportati:
- AES-CTR-HMAC (AES128_CTR_HMAC_SHA256, AES256_CTR_HMAC_SHA256) con un vettore di inizializzazione (IV) di 16 byte è la modalità più conservativa con limiti validi.
- Key-committing.
- AES-EAX (AES128_EAX, AES256_EAX) è leggermente meno conservativo e leggermente più veloce di AES128_CTR_HMAC_SHA256.
- AES-GCM (AES128_GCM, AES256_GCM) è in genere la modalità più veloce con i limiti più rigorosi sul numero di messaggi e sulle dimensioni dei messaggi. Quando questi limiti sulla lunghezza del testo non crittografato e dei dati associati (di seguito) vengono superati, AES-GCM non funziona in modo catastrofico, perché rivela il testo non crittografato e la parte di autenticazione della chiave interna AES-GCM.
- AES-GCM-SIV (AES128_GCM_SIV, AES256_GCM_SIV) è quasi veloce quanto AES-GCM.
Ha gli stessi limiti di AES-GCM sul numero di messaggi e sulle dimensioni dei messaggi, ma quando questi limiti vengono superati, non funziona in modo meno catastrofico: potrebbe rivelare solo il fatto che due messaggi sono uguali. Questo lo rende più sicuro da utilizzare rispetto ad AES-GCM, ma in pratica è meno utilizzato. Per utilizzare
questo in Java, devi installare Conscrypt.
- ADGKLS non key-committing.
- XChaCha20-Poly1305 (XCHACHA20_POLY1305) ha un limite molto più elevato sul numero di messaggi e sulle dimensioni dei messaggi rispetto ad AES-GCM, ma quando non funziona (molto improbabile), rivela anche il materiale della chiave. Non è accelerato dall'hardware, quindi può essere più lento delle modalità AES nelle situazioni in cui è disponibile l'accelerazione hardware.
- LGR non key-committing LGR.
Scopri di più sul formato di trasmissione del testo crittografato AEAD.
Garanzie di sicurezza
Le implementazioni di AEAD offrono:
- Sicurezza CCA2.
- Efficacia dell'autenticazione di almeno 80 bit.
- La possibilità di criptare almeno 232 messaggi con un totale di 250 byte. Nessun attacco con un massimo di 232 testi non crittografati o testi crittografati scelti ha una probabilità di successo superiore a 2-32.
Esempi di casi d'uso
Consulta Voglio criptare i dati e Voglio associare il testo crittografato a l suo contesto.