関連データを伴う認証付き暗号化(AEAD)プリミティブは、データ暗号化の最も一般的なプリミティブであり、ほとんどのニーズに適しています。
AEAD には次の特性があります。
- Secrecy: 平文の長さ以外の情報は一切わかりません。
- 真正性: 暗号テキストの基になる暗号化された平文を検出されずに変更することはできません。
- 対称性: 平文の暗号化と暗号テキストの復号は、同じ鍵で行われます。
- ランダム化: 暗号化はランダム化されます。同じ平文の 2 つのメッセージがあっても、暗号テキストは同じになりません。攻撃者は、特定の平文に対応する暗号テキストを認識できません。これを回避するには、代わりに決定論的 AEAD を使用します。
関連データ
AEAD を使用して、暗号テキストを特定の関連データに関連付けることができます。フィールド user-id と encrypted-medical-history を含むデータベースがあるとします。このシナリオでは、encrypted-medical-history を暗号化するときに user-id を関連データとして使用できます。これにより、攻撃者がユーザー間で医療履歴を移動させることはできません。
関連データは任意です。指定した場合、暗号化呼び出しと復号呼び出しの両方に同じ関連データが渡された場合にのみ、復号が成功します。
キーの種類を選択する
ほとんどの用途には AES128_GCM をおすすめしますが、さまざまなニーズに対応するさまざまな鍵の種類があります(256 ビットのセキュリティが必要な場合は、以下の AES128 を AES256 に置き換えてください)。原則:
- 16 バイトの初期化ベクトル(IV)を使用する AES128_CTR_HMAC_SHA256 は、適切な境界を持つ最も保守的なモードです。
- AES128_EAX は、AES128_CTR_HMAC_SHA256 よりもやや保守的ではなく、やや高速です。
- 通常、AES128_GCM は最も高速なモードであり、メッセージ数とメッセージ サイズに最も厳しい制限が課されます。平文と関連データの長さ(下記)の上限を超えると、AES128_GCM が失敗し、鍵マテリアルが漏洩します。
- AES128_GCM_SIV は AES128_GCM とほぼ同じ速度です。メッセージ数とメッセージ サイズについては AES128_GCM と同じ制限がありますが、これらの制限を超えた場合、より深刻な失敗にはなりません。2 つのメッセージが等しいという事実が漏洩するだけです。このため、AES128_GCM よりも安全ですが、実際にはあまり使用されていません。Java でこれを使用するには、Conscrypt をインストールする必要があります。
- XChaCha20Poly1305 は、メッセージ数とメッセージ サイズの上限が AES128_GCM よりもはるかに大きいですが、失敗した場合(可能性は非常に低い)、鍵マテリアルも漏洩します。ハードウェア アクセラレーションされないため、ハードウェア アクセラレーションが利用可能な状況では AES モードよりも遅くなる可能性があります。
セキュリティ保証
AEAD 実装は以下を提供します。
- CCA2 セキュリティ。
- 少なくとも 80 ビットの認証強度。
- 合計 250 バイトのメッセージを少なくとも 232 個暗号化できること。最大 232 個の選択平文または選択暗号文を使用した攻撃で、成功確率が 2-32 を超えるものはありません。
サンプル ユースケース
データを暗号化すると暗号テキストをコンテキストにバインドするをご覧ください。