İlişkilendirilmiş Veriler (AEAD) ile Kimliği Doğrulanmış Şifreleme
Koleksiyonlar ile düzeninizi koruyun
İçeriği tercihlerinize göre kaydedin ve kategorilere ayırın.
İlişkili Verilerle Kimlik Doğrulaması Yapılmış Şifreleme (AEAD) ilkel, veri şifreleme için en yaygın ilkeldir ve çoğu ihtiyaca uygundur.
AEAD aşağıdaki özelliklere sahiptir:
Secrecy: Açık metinle ilgili olarak uzunluğu dışında hiçbir şey bilinmez.
Özgünlük: Şifrelenmiş metnin altındaki şifrelenmemiş metnin değiştirilmesi fark edilmeden mümkün değildir.
Simetrik: Açık metnin şifrelenmesi ve şifrelenmiş metnin çözülmesi aynı anahtarla yapılır.
Rastgele hale getirme: Şifreleme rastgele hale getirilir. Aynı açık metne sahip iki mesaj farklı şifre metinleri oluşturur. Saldırganlar, belirli bir şifrelenmemiş metne hangi şifrelenmiş metnin karşılık geldiğini bilemez. Bu durumu önlemek istiyorsanız bunun yerine Deterministik AEAD'ı kullanın.
İlişkili veriler
AEAD, şifrelenmiş metni belirli ilişkili verilere bağlamak için kullanılabilir. user-id ve encrypted-medical-history alanlarının bulunduğu bir veritabanınız olduğunu varsayalım. Bu senaryoda, encrypted-medical-history şifrelenirken user-id ilişkili veri olarak kullanılabilir. Bu sayede, saldırganlar tıbbi geçmişi bir kullanıcıdan diğerine taşıyamaz.
Anahtar türü seçin
Çoğu kullanım için AES128_GCM'yi öneririz ancak farklı ihtiyaçlar için çeşitli anahtar türleri vardır (256 bit güvenlik için aşağıdaki AES128'i AES256 ile değiştirin).
Genel olarak:
16 baytlık bir başlatma vektörü (IV) içeren AES128_CTR_HMAC_SHA256, iyi sınırlara sahip en muhafazakar moddur.
AES128_EAX, AES128_CTR_HMAC_SHA256'dan biraz daha az muhafazakâr ve biraz daha hızlıdır.
AES128_GCM, genellikle en hızlı moddur ve mesaj sayısı ile mesaj boyutu konusunda en katı sınırlara sahiptir. Açık metin ve ilişkili veri uzunluklarıyla ilgili bu sınırlar (aşağıda) aşıldığında AES128_GCM başarısız olur ve anahtar materyali sızar.
AES128_GCM_SIV, AES128_GCM ile neredeyse aynı hızdadır. İleti sayısı ve ileti boyutu açısından AES128_GCM ile aynı sınırlara sahiptir ancak bu sınırlar aşıldığında daha az yıkıcı bir şekilde başarısız olur: Yalnızca iki ileti arasında eşleşme olduğunu sızdırabilir. Bu, AES128_GCM'den daha güvenli bir kullanım sağlar ancak pratikte daha az kullanılır.
Bu özelliği Java'da kullanmak için Conscrypt'i yüklemeniz gerekir.
XChaCha20Poly1305, ileti sayısı ve ileti boyutu açısından AES128_GCM'den çok daha yüksek bir sınıra sahiptir ancak başarısız olduğunda (çok düşük bir olasılık) anahtar materyalini de sızdırır. Donanım hızlandırması olmadığından, donanım hızlandırmanın kullanılabildiği durumlarda AES modlarından daha yavaş olabilir.
Güvenlik garantileri
AEAD uygulamaları şunları sunar:
CCA2 güvenliği.
En az 80 bit kimlik doğrulama gücü.
En az 232 iletiyi toplam 250 bayt olarak şifreleme olanağı 232'ye kadar seçili açık metin veya seçili şifre metni içeren hiçbir saldırının başarı olasılığı 2-32'den büyük değildir.
[null,null,["Son güncelleme tarihi: 2025-07-25 UTC."],[[["\u003cp\u003eAuthenticated Encryption with Associated Data (AEAD) is the recommended primitive for most data encryption needs, providing secrecy, authenticity, and randomization.\u003c/p\u003e\n"],["\u003cp\u003eAEAD utilizes the same key for encryption and decryption, and randomizes the encryption process for enhanced security, although deterministic options are available.\u003c/p\u003e\n"],["\u003cp\u003eWhile AES128_GCM is generally the fastest and recommended key type, other options like AES128_CTR_HMAC_SHA256, AES128_EAX, AES128_GCM_SIV, and XChaCha20Poly1305 cater to specific security and performance requirements.\u003c/p\u003e\n"],["\u003cp\u003eAssociated data used in AEAD is authenticated but not encrypted, meaning it can be verified but is still visible.\u003c/p\u003e\n"],["\u003cp\u003eAEAD implementations provide strong security guarantees, including CCA2 security and at least 80-bit authentication strength, but do not guarantee the secrecy of associated data.\u003c/p\u003e\n"]]],["AEAD, a common data encryption primitive, ensures secrecy, authenticity, and uses symmetric keys with randomized encryption. Associated data is authenticated but not encrypted and can link ciphertext to specific contexts, like user IDs. Various key types are available, with AES128_GCM recommended for most cases, offering speed but with strict limits. AES128_GCM_SIV is a safer, albeit less common, alternative. AEAD guarantees CCA2 security and 80-bit authentication strength, encrypting up to 2^32 messages with 2^50 total bytes.\n"],null,["# Authenticated Encryption with Associated Data (AEAD)\n\nThe Authenticated Encryption with Associated Data (AEAD) primitive is the most\ncommon primitive for data encryption and is suitable for most needs.\n\nAEAD has the following properties:\n\n- **Secrecy**: Nothing about the plaintext is known, except its length.\n- **Authenticity**: It is impossible to change the encrypted plaintext underlying the ciphertext without being detected.\n- **Symmetric**: Encrypting the plaintext and decrypting the ciphertext is done with the same key.\n- **Randomization** : Encryption is randomized. Two messages with the same plaintext yield different ciphertexts. Attackers cannot know which ciphertext corresponds to a given plaintext. If you want to avoid this, use [Deterministic AEAD](/tink/deterministic-aead) instead.\n\n### Associated data\n\n| **Caution:** Associated data is authenticated but *NOT* encrypted.\n\nAEAD can be used to [tie ciphertext to specific associated\ndata](/tink/bind-ciphertext). Suppose you have a database with the fields `user-id`\nand `encrypted-medical-history`. In this scenario, `user-id` can be used as\nassociated data when encrypting `encrypted-medical-history`. This prevents an\nattacker from moving medical history from one user to another.\n\n### Choose a key type\n\nWhile we recommend **AES128_GCM** for most uses, there are various key types for\ndifferent needs (for 256-bit security, replace AES128 with AES256 below).\nGenerally:\n\n- AES128_CTR_HMAC_SHA256 with a 16-byte Initialization Vector (IV) is the most conservative mode with good bounds.\n- AES128_EAX is slightly less conservative and slightly faster than AES128_CTR_HMAC_SHA256.\n- AES128_GCM is usually the fastest mode, with the strictest limits on the number of messages and message size. When these limits on plaintext and associated data lengths (below) are exceeded, AES128_GCM fails and leaks key material.\n- AES128_GCM_SIV is nearly as fast as AES128_GCM. It has the same limits as AES128_GCM on the number of messages and message size, but when these limits are exceeded, it fails in a less catastrophic way: it may only leak the fact that two messages are equal. This makes it safer to use than AES128_GCM, but it is less widely used in practice. To use this in Java, you have to install [Conscrypt](https://conscrypt.org).\n- XChaCha20Poly1305 has a much greater limit on the number of messages and message size than AES128_GCM, but when it does fail (very unlikely) it also leaks key material. It isn't hardware accelerated, so it can be slower than AES modes in situations where hardware acceleration is available.\n\n| **Note:** The plaintext and associated data may have any length within 0..2^32^ bytes.\n\n### Security guarantees\n\nAEAD implementations offer:\n\n- CCA2 security.\n- At least 80-bit authentication strength.\n- The ability to encrypt at least 2^32^ messages with a total of 2^50^ bytes. No attack with up to 2^32^ chosen plaintexts or chosen ciphertexts has success probability larger than 2^-32^.\n\n| **Caution:** **AEAD offers no secrecy guarantees for associated data.**\n\n### Example use cases\n\nSee I want to [encrypt data](/tink/encrypt-data) and I want to [bind ciphertext to\nits context](/tink/bind-ciphertext)."]]
