Mã hoá được xác thực bằng dữ liệu liên kết (GDCD)

Phương thức gốc Mã hoá đã xác thực với dữ liệu liên kết (AEAD) là phương thức gốc phổ biến nhất để mã hoá dữ liệu và phù hợp với hầu hết các nhu cầu.

AEAD có các thuộc tính sau:

• Secrecy: Không có thông tin nào về văn bản thô, ngoại trừ độ dài.
• Tính xác thực: Không thể thay đổi văn bản thô đã mã hoá cơ bản của văn bản đã mã hoá mà không bị phát hiện.
• Đối xứng: Quá trình mã hoá văn bản thô và giải mã văn bản đã mã hoá được thực hiện bằng cùng một khoá.
• Sắp xếp ngẫu nhiên: Phương thức mã hoá được sắp xếp ngẫu nhiên. Hai thông điệp có cùng văn bản thô sẽ tạo ra các văn bản đã mã hoá khác nhau. Kẻ tấn công không thể biết văn bản đã mã hoá nào tương ứng với một văn bản thô nhất định. Nếu muốn tránh điều này, hãy sử dụng AEAD có tính xác định.

Dữ liệu liên quan

Bạn có thể sử dụng AEAD để liên kết văn bản đã mã hoá với dữ liệu liên kết cụ thể. Giả sử bạn có một cơ sở dữ liệu với các trường user-id và encrypted-medical-history. Trong trường hợp này, user-id có thể được dùng làm dữ liệu liên kết khi mã hoá encrypted-medical-history. Điều này giúp ngăn kẻ tấn công chuyển hồ sơ y tế từ người dùng này sang người dùng khác.

Chọn loại khoá

Mặc dù bạn nên sử dụng AES128_GCM cho hầu hết các trường hợp sử dụng, nhưng có nhiều loại khoá cho các nhu cầu khác nhau (để bảo mật 256 bit, hãy thay thế AES128 bằng AES256 bên dưới). Nhìn chung:

• AES128_CTR_HMAC_SHA256 với Vectơ khởi tạo (IV) 16 byte là chế độ bảo thủ nhất với các giới hạn tốt.
• AES128_EAX ít bảo thủ hơn một chút và nhanh hơn một chút so với AES128_CTR_HMAC_SHA256.
• AES128_GCM thường là chế độ nhanh nhất, với các giới hạn nghiêm ngặt nhất về số lượng tin nhắn và kích thước tin nhắn. Khi vượt quá các giới hạn này về văn bản thô và chiều dài dữ liệu liên kết (dưới đây), AES128_GCM sẽ không thành công và rò rỉ tài liệu khoá.
• AES128_GCM_SIV gần như nhanh như AES128_GCM. Phương thức này có các giới hạn giống như AES128_GCM về số lượng và kích thước thông báo, nhưng khi vượt quá các giới hạn này, phương thức này sẽ không thành công theo cách ít nghiêm trọng hơn: phương thức này có thể chỉ rò rỉ thực tế là hai thông báo bằng nhau. Điều này giúp bạn sử dụng an toàn hơn so với AES128_GCM, nhưng phương thức này ít được sử dụng rộng rãi hơn trong thực tế. Để sử dụng tính năng này trong Java, bạn phải cài đặt Conscrypt.
• XChaCha20Poly1305 có giới hạn lớn hơn nhiều về số lượng tin nhắn và kích thước tin nhắn so với AES128_GCM, nhưng khi không thành công (rất khó xảy ra), phương thức này cũng rò rỉ tài liệu khoá. Chế độ này không được tăng tốc phần cứng, do đó, có thể chậm hơn các chế độ AES trong trường hợp có thể tăng tốc phần cứng.

Cam kết bảo mật

Các phương thức triển khai AEAD cung cấp:

• Bảo mật CCA2.
• Độ mạnh của chế độ xác thực tối thiểu là 80 bit.
• Khả năng mã hoá ít nhất 2³² thư với tổng số 2⁵⁰ byte. Không có cuộc tấn công nào với tối đa 2³² văn bản thuần tuý hoặc văn bản đã mã hoá được chọn có xác suất thành công lớn hơn 2^-32.

Ví dụ về trường hợp sử dụng

Hãy xem tôi muốn mã hoá dữ liệu và tôi muốn liên kết văn bản đã mã hoá với ngữ cảnh của văn bản đó.