带有关联数据的身份验证加密 (AEAD) 原语是最常见的数据加密原语,适合大多数需求。
AEAD 具有以下属性:
- Secrecy:除了明文的长度之外,其他信息一概不知。
- 真实性:在不被检测到的情况下,无法更改密文所对应的加密明文。
- 对称:使用同一密钥加密明文和解密密文。
- 随机化:加密是随机的。两条具有相同明文的消息会产生不同的密文。攻击者无法知道哪个密文对应于给定的明文。如果您想避免这种情况,请改用确定性 AEAD。
相关数据
AEAD 可用于将密文与特定的关联数据相关联。假设您有一个包含字段 user-id 和 encrypted-medical-history 的数据库。在这种情况下,user-id 可在加密 encrypted-medical-history 时用作关联数据。这样可防止攻击者将一个用户的医疗记录转移到另一个用户。
关联数据是可选的。如果指定了关联数据,则只有在加密和解密调用中传递了相同的关联数据时,解密才会成功。
选择密钥类型
虽然我们建议在大多数情况下使用 AES128_GCM,但也有各种密钥类型可满足不同需求(如需 256 位安全性,请将下文中的 AES128 替换为 AES256)。一般来说:
- 采用 16 字节初始化向量 (IV) 的 AES128_CTR_HMAC_SHA256 是最保守的模式,具有良好的边界。
- AES128_EAX 比 AES128_CTR_HMAC_SHA256 的保守程度略低,速度略快。
- AES128_GCM 通常是最快的模式,对消息数量和消息大小的限制最为严格。当明文和关联数据长度(如下)超出这些限制时,AES128_GCM 会失败并泄露密钥材料。
- AES128_GCM_SIV 的速度几乎与 AES128_GCM 一样快。它在消息数量和消息大小方面与 AES128_GCM 具有相同的限制,但当超出这些限制时,它不会以灾难性的方式失败:它可能只会泄露两条消息相等的事实。这使得它比 AES128_GCM 更安全,但在实践中,它的使用范围较小。如需在 Java 中使用此功能,您必须安装 Conscrypt。
- 与 AES128_GCM 相比,XChaCha20Poly1305 在消息数量和消息大小方面有更大的限制,但当它确实失败时(非常不可能),也会泄露密钥材料。它不经过硬件加速,因此在硬件加速可用的情况下,它可能比 AES 模式慢。
安全保证
AEAD 实现提供:
- CCA2 安全性。
- 至少 80 位的身份验证强度。
- 能够加密至少 232 条总共 250 字节的消息。任何攻击(最多使用 232 个所选明文或所选密文)的成功概率均不超过 2-32。
应用场景示例
请参阅“我想加密数据”和“我想将密文绑定到其上下文”。