Chiffrement authentifié avec des données associées (AEAD)
Restez organisé à l'aide des collections
Enregistrez et classez les contenus selon vos préférences.
La primitive de chiffrement authentifié avec données associées (AEAD, Authenticated Encryption with Associated Data) est la plus courante pour chiffrer des données. Elle convient à la plupart des besoins.
Le chiffrement AEAD possède les propriétés suivantes:
Secrecy: rien sur le texte brut n'est connu, à l'exception de sa longueur.
Authenticité: il est impossible de modifier le texte brut chiffré sous-jacent au texte chiffré sans que la modification ne soit détectable.
Symétrique: le chiffrement du texte brut et le déchiffrement du texte chiffré s'effectuent avec la même clé.
Randomisation: le chiffrement est aléatoire. Deux messages comportant le même texte brut génèrent des textes chiffrés différents. Les pirates informatiques ne peuvent pas savoir quel texte chiffré correspond à un texte brut donné. Pour éviter cela, utilisez plutôt AEAD déterministe.
Données associées
Le chiffrement authentifié avec données associées peut être utilisé pour lier le texte chiffré à des données associées spécifiques. Supposons que vous disposiez d'une base de données avec les champs user-id et encrypted-medical-history. Dans ce scénario, user-id peut être utilisé en tant que données associées lors du chiffrement de encrypted-medical-history. Cela empêche un pirate informatique de transférer l'historique médical d'un utilisateur à un autre.
Choisir un type de clé
Bien que nous recommandions AES128_GCM pour la plupart des utilisations, il existe différents types de clés pour différents besoins (pour une sécurité de 256 bits, remplacez AES128 par AES256 ci-dessous).
En général:
AES128_CTR_HMAC_SHA256 avec un vecteur d'initialisation (IV) de 16 octets est le mode le plus conservateur avec de bonnes limites.
AES128_EAX est légèrement moins conservateur et légèrement plus rapide qu'AES128_CTR_HMAC_SHA256.
AES128_GCM est généralement le mode le plus rapide, avec les limites les plus strictes sur le nombre de messages et la taille des messages. Lorsque ces limites sur le texte brut et les longueurs de données associées (ci-dessous) sont dépassées, AES128_GCM échoue et fuit du matériel de clé.
AES128_GCM_SIV est presque aussi rapide qu'AES128_GCM. Il a les mêmes limites qu'AES128_GCM sur le nombre de messages et la taille des messages, mais lorsque ces limites sont dépassées, il échoue de manière moins catastrophique: il ne peut divulguer que le fait que deux messages sont égaux. Il est donc plus sûr à utiliser que AES128_GCM, mais il est moins utilisé dans la pratique.
Pour utiliser cette fonctionnalité en Java, vous devez installer Conscrypt.
XChaCha20Poly1305 limite beaucoup plus le nombre de messages et la taille des messages qu'AES128_GCM, mais en cas d'échec (très peu probable), il fuit également du matériel de clé. Il n'est pas accéléré par le matériel. Il peut donc être plus lent que les modes AES lorsque l'accélération matérielle est disponible.
Garanties de sécurité
Les implémentations AEAD offrent les avantages suivants:
Sécurité CCA2
Niveau d'authentification d'au moins 80 bits
Possibilité de chiffrer au moins 232 messages pour un total de 250 octets. Aucune attaque avec jusqu'à 232 textes bruts ou chiffrés choisis n'a une probabilité de succès supérieure à 2-32.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/07/25 (UTC).
[null,null,["Dernière mise à jour le 2025/07/25 (UTC)."],[[["\u003cp\u003eAuthenticated Encryption with Associated Data (AEAD) is the recommended primitive for most data encryption needs, providing secrecy, authenticity, and randomization.\u003c/p\u003e\n"],["\u003cp\u003eAEAD utilizes the same key for encryption and decryption, and randomizes the encryption process for enhanced security, although deterministic options are available.\u003c/p\u003e\n"],["\u003cp\u003eWhile AES128_GCM is generally the fastest and recommended key type, other options like AES128_CTR_HMAC_SHA256, AES128_EAX, AES128_GCM_SIV, and XChaCha20Poly1305 cater to specific security and performance requirements.\u003c/p\u003e\n"],["\u003cp\u003eAssociated data used in AEAD is authenticated but not encrypted, meaning it can be verified but is still visible.\u003c/p\u003e\n"],["\u003cp\u003eAEAD implementations provide strong security guarantees, including CCA2 security and at least 80-bit authentication strength, but do not guarantee the secrecy of associated data.\u003c/p\u003e\n"]]],["AEAD, a common data encryption primitive, ensures secrecy, authenticity, and uses symmetric keys with randomized encryption. Associated data is authenticated but not encrypted and can link ciphertext to specific contexts, like user IDs. Various key types are available, with AES128_GCM recommended for most cases, offering speed but with strict limits. AES128_GCM_SIV is a safer, albeit less common, alternative. AEAD guarantees CCA2 security and 80-bit authentication strength, encrypting up to 2^32 messages with 2^50 total bytes.\n"],null,["# Authenticated Encryption with Associated Data (AEAD)\n\nThe Authenticated Encryption with Associated Data (AEAD) primitive is the most\ncommon primitive for data encryption and is suitable for most needs.\n\nAEAD has the following properties:\n\n- **Secrecy**: Nothing about the plaintext is known, except its length.\n- **Authenticity**: It is impossible to change the encrypted plaintext underlying the ciphertext without being detected.\n- **Symmetric**: Encrypting the plaintext and decrypting the ciphertext is done with the same key.\n- **Randomization** : Encryption is randomized. Two messages with the same plaintext yield different ciphertexts. Attackers cannot know which ciphertext corresponds to a given plaintext. If you want to avoid this, use [Deterministic AEAD](/tink/deterministic-aead) instead.\n\n### Associated data\n\n| **Caution:** Associated data is authenticated but *NOT* encrypted.\n\nAEAD can be used to [tie ciphertext to specific associated\ndata](/tink/bind-ciphertext). Suppose you have a database with the fields `user-id`\nand `encrypted-medical-history`. In this scenario, `user-id` can be used as\nassociated data when encrypting `encrypted-medical-history`. This prevents an\nattacker from moving medical history from one user to another.\n\n### Choose a key type\n\nWhile we recommend **AES128_GCM** for most uses, there are various key types for\ndifferent needs (for 256-bit security, replace AES128 with AES256 below).\nGenerally:\n\n- AES128_CTR_HMAC_SHA256 with a 16-byte Initialization Vector (IV) is the most conservative mode with good bounds.\n- AES128_EAX is slightly less conservative and slightly faster than AES128_CTR_HMAC_SHA256.\n- AES128_GCM is usually the fastest mode, with the strictest limits on the number of messages and message size. When these limits on plaintext and associated data lengths (below) are exceeded, AES128_GCM fails and leaks key material.\n- AES128_GCM_SIV is nearly as fast as AES128_GCM. It has the same limits as AES128_GCM on the number of messages and message size, but when these limits are exceeded, it fails in a less catastrophic way: it may only leak the fact that two messages are equal. This makes it safer to use than AES128_GCM, but it is less widely used in practice. To use this in Java, you have to install [Conscrypt](https://conscrypt.org).\n- XChaCha20Poly1305 has a much greater limit on the number of messages and message size than AES128_GCM, but when it does fail (very unlikely) it also leaks key material. It isn't hardware accelerated, so it can be slower than AES modes in situations where hardware acceleration is available.\n\n| **Note:** The plaintext and associated data may have any length within 0..2^32^ bytes.\n\n### Security guarantees\n\nAEAD implementations offer:\n\n- CCA2 security.\n- At least 80-bit authentication strength.\n- The ability to encrypt at least 2^32^ messages with a total of 2^50^ bytes. No attack with up to 2^32^ chosen plaintexts or chosen ciphertexts has success probability larger than 2^-32^.\n\n| **Caution:** **AEAD offers no secrecy guarantees for associated data.**\n\n### Example use cases\n\nSee I want to [encrypt data](/tink/encrypt-data) and I want to [bind ciphertext to\nits context](/tink/bind-ciphertext)."]]
