Se usó la API de Cloud Translation para traducir esta página.

Encriptación autenticada con datos asociados (AEAD)

La primitiva de encriptación autenticada con datos asociados (AEAD) es la más común para la encriptación de datos y es adecuada para la mayoría de las necesidades.

El AEAD tiene las siguientes propiedades:

Secrecy: No se conoce nada sobre el texto sin formato, excepto su longitud.
Autenticidad: Es imposible cambiar el texto simple encriptado subyacente al texto cifrado sin que se detecte.
Simétrica: La encriptación del texto sin formato y la desencriptación del texto cifrado se realizan con la misma clave.
Aleatorización: La encriptación se aleatoriza. Dos mensajes con el mismo texto sin formato generan textos cifrados diferentes. Los atacantes no pueden saber qué texto cifrado corresponde a un texto sin formato determinado. Si quieres evitar esto, usa AEAD determinístico en su lugar.

Datos asociados

El AEAD se puede usar para vincular el texto cifrado a datos asociados específicos. Supongamos que tienes una base de datos con los campos user-id y encrypted-medical-history. En este caso, user-id se puede usar como datos asociados cuando se encripta encrypted-medical-history. Esto evita que un atacante mueva el historial médico de un usuario a otro.

Los datos asociados son opcionales. Si se especifica, la desencriptación solo se realizará correctamente si se pasan los mismos datos asociados a las llamadas de encriptación y desencriptación.

Elige un tipo de llave

Si bien recomendamos AES128_GCM para la mayoría de los usos, existen varios tipos de claves para diferentes necesidades (para una seguridad de 256 bits, reemplaza AES128 por AES256 a continuación). En general, haz lo siguiente:

AES128_CTR_HMAC_SHA256 con un vector de inicialización (IV) de 16 bytes es el modo más conservador con buenos límites.
AES128_EAX es un poco menos conservador y un poco más rápido que AES128_CTR_HMAC_SHA256.
Por lo general, AES128_GCM es el modo más rápido, con los límites más estrictos en la cantidad de mensajes y el tamaño de los mensajes. Cuando se superan estos límites en las longitudes de texto sin formato y datos asociados (a continuación), AES128_GCM falla y filtra material de la clave.
AES128_GCM_SIV es casi tan rápido como AES128_GCM. Tiene los mismos límites que AES128_GCM en cuanto a la cantidad de mensajes y el tamaño de los mensajes, pero, cuando se superan estos límites, falla de una manera menos catastrófica: solo puede filtrar el hecho de que dos mensajes son iguales. Esto hace que sea más seguro de usar que AES128_GCM, pero no se usa tanto en la práctica. Para usarlo en Java, debes instalar Conscrypt.
XChaCha20Poly1305 tiene un límite mucho mayor en la cantidad de mensajes y el tamaño de los mensajes que AES128_GCM, pero cuando falla (algo muy poco probable), también filtra material de la clave. No tiene aceleración de hardware, por lo que puede ser más lento que los modos AES en situaciones en las que la aceleración de hardware está disponible.

Garantías de seguridad

Las implementaciones de AEAD ofrecen lo siguiente:

Seguridad de CCA2.
Seguridad de autenticación de al menos 80 bits
La capacidad de encriptar al menos 2³² mensajes con un total de 2⁵⁰ bytes Ningún ataque con hasta 2³² textos sin formato o textos cifrados elegidos tiene una probabilidad de éxito mayor que 2^-32.

Ejemplos de casos de uso

Consulta Quiero encriptar datos y Quiero vincular el texto cifrado a su contexto.