เราขอแนะนำให้ใช้พรอมิเตี Deterministic AEAD กับประเภทคีย์ AES256_SIV
องค์ประกอบการเข้ารหัสที่มีการรับรองแบบกำหนดได้ซึ่งมีข้อมูลที่เกี่ยวข้อง (Deterministic AEAD) จะสร้างข้อความที่เข้ารหัสที่เสถียร กล่าวคือ การเข้ารหัสข้อความธรรมดาหนึ่งๆ จะแสดงผลข้อความที่เข้ารหัสเดียวกันเสมอ การเข้ารหัสนี้เป็นแบบสมมาตร ซึ่งหมายความว่าจะใช้คีย์เดียวทั้งสำหรับการเข้ารหัสและถอดรหัส
ตัวอย่างต่อไปนี้จะช่วยคุณเริ่มต้นใช้งานพรอมิเตี AEAD แบบกำหนดได้
C++
// A command-line utility for testing Tink Deterministic AEAD. #include <iostream> #include <memory> #include <ostream> #include <string> #include "absl/flags/flag.h" #include "absl/flags/parse.h" #include "absl/log/check.h" #include "absl/strings/string_view.h" #include "tink/config/global_registry.h" #include "tink/daead/deterministic_aead_config.h" #include "tink/deterministic_aead.h" #include "util/util.h" #include "tink/keyset_handle.h" #include "tink/util/status.h" ABSL_FLAG(std::string, keyset_filename, "", "Keyset file in JSON format"); ABSL_FLAG(std::string, mode, "", "Mode of operation {encrypt|decrypt}"); ABSL_FLAG(std::string, input_filename, "", "Filename to operate on"); ABSL_FLAG(std::string, output_filename, "", "Output file name"); ABSL_FLAG(std::string, associated_data, "", "Associated data for Deterministic AEAD (default: empty"); namespace { using ::crypto::tink::DeterministicAead; using ::crypto::tink::DeterministicAeadConfig; using ::crypto::tink::KeysetHandle; using ::crypto::tink::util::Status; using ::crypto::tink::util::StatusOr; constexpr absl::string_view kEncrypt = "encrypt"; constexpr absl::string_view kDecrypt = "decrypt"; void ValidateParams() { // ... } } // namespace namespace tink_cc_examples { // Deterministic AEAD example CLI implementation. Status DeterministicAeadCli(absl::string_view mode, const std::string& keyset_filename, const std::string& input_filename, const std::string& output_filename, absl::string_view associated_data) { Status result = DeterministicAeadConfig::Register(); if (!result.ok()) return result; // Read keyset from file. StatusOr<std::unique_ptr<KeysetHandle>> keyset_handle = ReadJsonCleartextKeyset(keyset_filename); if (!keyset_handle.ok()) return keyset_handle.status(); // Get the primitive. StatusOr<std::unique_ptr<DeterministicAead>> daead = (*keyset_handle) ->GetPrimitive<crypto::tink::DeterministicAead>( crypto::tink::ConfigGlobalRegistry()); if (!daead.ok()) return daead.status(); // Read the input. StatusOr<std::string> input_file_content = ReadFile(input_filename); if (!input_file_content.ok()) return input_file_content.status(); // Compute the output. std::string output; if (mode == kEncrypt) { StatusOr<std::string> result = (*daead)->EncryptDeterministically( *input_file_content, associated_data); if (!result.ok()) return result.status(); output = *result; } else if (mode == kDecrypt) { StatusOr<std::string> result = (*daead)->DecryptDeterministically( *input_file_content, associated_data); if (!result.ok()) return result.status(); output = *result; } // Write output to file. return WriteToFile(output, output_filename); } } // namespace tink_cc_examples int main(int argc, char** argv) { absl::ParseCommandLine(argc, argv); ValidateParams(); std::string mode = absl::GetFlag(FLAGS_mode); std::string keyset_filename = absl::GetFlag(FLAGS_keyset_filename); std::string input_filename = absl::GetFlag(FLAGS_input_filename); std::string output_filename = absl::GetFlag(FLAGS_output_filename); std::string associated_data = absl::GetFlag(FLAGS_associated_data); std::clog << "Using keyset from file " << keyset_filename << " to Deterministic AEAD-" << mode << " file " << input_filename << " with associated data '" << associated_data << "'." << std::endl; std::clog << "The resulting output will be written to " << output_filename << "." << std::endl; CHECK_OK(tink_cc_examples::DeterministicAeadCli( mode, keyset_filename, input_filename, output_filename, associated_data)); return 0; }
Go
import ( "bytes" "fmt" "log" "github.com/tink-crypto/tink-go/v2/daead" "github.com/tink-crypto/tink-go/v2/insecurecleartextkeyset" "github.com/tink-crypto/tink-go/v2/keyset" ) func Example() { // A keyset created with "tinkey create-keyset --key-template=AES256_SIV". Note // that this keyset has the secret key information in cleartext. jsonKeyset := `{ "key": [{ "keyData": { "keyMaterialType": "SYMMETRIC", "typeUrl": "type.googleapis.com/google.crypto.tink.AesSivKey", "value": "EkAl9HCMmKTN1p3V186uhZpJQ+tivyc4IKyE+opg6SsEbWQ/WesWHzwCRrlgRuxdaggvgMzwWhjPnkk9gptBnGLK" }, "keyId": 1919301694, "outputPrefixType": "TINK", "status": "ENABLED" }], "primaryKeyId": 1919301694 }` // Create a keyset handle from the cleartext keyset in the previous // step. The keyset handle provides abstract access to the underlying keyset to // limit the exposure of accessing the raw key material. WARNING: In practice, // it is unlikely you will want to use a insecurecleartextkeyset, as it implies // that your key material is passed in cleartext, which is a security risk. // Consider encrypting it with a remote key in Cloud KMS, AWS KMS or HashiCorp Vault. // See https://github.com/google/tink/blob/master/docs/GOLANG-HOWTO.md#storing-and-loading-existing-keysets. keysetHandle, err := insecurecleartextkeyset.Read( keyset.NewJSONReader(bytes.NewBufferString(jsonKeyset))) if err != nil { log.Fatal(err) } // Retrieve the DAEAD primitive we want to use from the keyset handle. primitive, err := daead.New(keysetHandle) if err != nil { log.Fatal(err) } // Use the primitive to encrypt a message. In this case the primary key of the // keyset will be used (which is also the only key in this example). plaintext := []byte("message") associatedData := []byte("associated data") ciphertext, err := primitive.EncryptDeterministically(plaintext, associatedData) if err != nil { log.Fatal(err) } // Use the primitive to decrypt the message. Decrypt finds the correct key in // the keyset and decrypts the ciphertext. If no key is found or decryption // fails, it returns an error. decrypted, err := primitive.DecryptDeterministically(ciphertext, associatedData) if err != nil { log.Fatal(err) } fmt.Println(ciphertext) fmt.Println(string(decrypted)) // Output: // [1 114 102 56 62 150 98 146 84 99 211 36 127 214 229 231 157 56 143 192 250 132 32 153 124 244 238 112] // message }
Java
package deterministicaead; import static java.nio.charset.StandardCharsets.UTF_8; import com.google.crypto.tink.DeterministicAead; import com.google.crypto.tink.InsecureSecretKeyAccess; import com.google.crypto.tink.KeysetHandle; import com.google.crypto.tink.RegistryConfiguration; import com.google.crypto.tink.TinkJsonProtoKeysetFormat; import com.google.crypto.tink.daead.DeterministicAeadConfig; import java.nio.file.Files; import java.nio.file.Path; import java.nio.file.Paths; /** * A command-line utility for encrypting small files with Deterministic AEAD. * * <p>It loads cleartext keys from disk - this is not recommended! * * <p>It requires the following arguments: * * <ul> * <li>mode: Can be "encrypt" or "decrypt" to encrypt/decrypt the input to the output. * <li>key-file: Read the key material from this file. * <li>input-file: Read the input from this file. * <li>output-file: Write the result to this file. * <li>[optional] associated-data: Associated data used for the encryption or decryption. */ public final class DeterministicAeadExample { private static final String MODE_ENCRYPT = "encrypt"; private static final String MODE_DECRYPT = "decrypt"; public static void main(String[] args) throws Exception { if (args.length != 4 && args.length != 5) { System.err.printf("Expected 4 or 5 parameters, got %d\n", args.length); System.err.println( "Usage: java DeterministicAeadExample encrypt/decrypt key-file input-file output-file" + " [associated-data]"); System.exit(1); } String mode = args[0]; Path keyFile = Paths.get(args[1]); Path inputFile = Paths.get(args[2]); Path outputFile = Paths.get(args[3]); byte[] associatedData = new byte[0]; if (args.length == 5) { associatedData = args[4].getBytes(UTF_8); } // Initialise Tink: register all Deterministic AEAD key types with the Tink runtime DeterministicAeadConfig.register(); // Read the keyset into a KeysetHandle KeysetHandle handle = TinkJsonProtoKeysetFormat.parseKeyset( new String(Files.readAllBytes(keyFile), UTF_8), InsecureSecretKeyAccess.get()); // Get the primitive DeterministicAead daead = handle.getPrimitive(RegistryConfiguration.get(), DeterministicAead.class); // Use the primitive to encrypt/decrypt files. if (MODE_ENCRYPT.equals(mode)) { byte[] plaintext = Files.readAllBytes(inputFile); byte[] ciphertext = daead.encryptDeterministically(plaintext, associatedData); Files.write(outputFile, ciphertext); } else if (MODE_DECRYPT.equals(mode)) { byte[] ciphertext = Files.readAllBytes(inputFile); byte[] plaintext = daead.decryptDeterministically(ciphertext, associatedData); Files.write(outputFile, plaintext); } else { System.err.println("The first argument must be either encrypt or decrypt, got: " + mode); System.exit(1); } System.exit(0); } private DeterministicAeadExample() {} }
Python
import tink from tink import daead from tink import secret_key_access def example(): """Encrypt and decrypt using deterministic AEAD.""" # Register the deterministic AEAD key manager. This is needed to create a # DeterministicAead primitive later. daead.register() # A keyset created with "tinkey create-keyset --key-template=AES256_SIV". Note # that this keyset has the secret key information in cleartext. keyset = r"""{ "key": [{ "keyData": { "keyMaterialType": "SYMMETRIC", "typeUrl": "type.googleapis.com/google.crypto.tink.AesSivKey", "value": "EkAl9HCMmKTN1p3V186uhZpJQ+tivyc4IKyE+opg6SsEbWQ/WesWHzwCRrlgRuxdaggvgMzwWhjPnkk9gptBnGLK" }, "keyId": 1919301694, "outputPrefixType": "TINK", "status": "ENABLED" }], "primaryKeyId": 1919301694 }""" # Create a keyset handle from the cleartext keyset in the previous # step. The keyset handle provides abstract access to the underlying keyset to # limit the exposure of accessing the raw key material. WARNING: In practice, # it is unlikely you will want to use a cleartext_keyset_handle, as it implies # that your key material is passed in cleartext which is a security risk. keyset_handle = tink.json_proto_keyset_format.parse( keyset, secret_key_access.TOKEN ) # Retrieve the DeterministicAead primitive we want to use from the keyset # handle. primitive = keyset_handle.primitive(daead.DeterministicAead) # Use the primitive to encrypt a message. In this case the primary key of the # keyset will be used (which is also the only key in this example). ciphertext = primitive.encrypt_deterministically(b'msg', b'associated_data') # Use the primitive to decrypt the message. Decrypt finds the correct key in # the keyset and decrypts the ciphertext. If no key is found or decryption # fails, it raises an error. output = primitive.decrypt_deterministically(ciphertext, b'associated_data')
AEAD แบบกำหนด
ข้อมูลพื้นฐานการเข้ารหัสที่ตรวจสอบสิทธิ์แบบกำหนดได้พร้อมข้อมูลที่เชื่อมโยง (Deterministic AEAD) ให้การเข้ารหัสที่มีพร็อพเพอร์ตี้แบบกำหนดได้ กล่าวคือ การเข้ารหัสข้อมูลเดียวกันจะให้ข้อความที่เข้ารหัสเดียวกันเสมอ การเข้ารหัสประเภทนี้มีประโยชน์สำหรับการรวมคีย์หรือสคีมาบางอย่างสำหรับการค้นหาในข้อมูลที่เข้ารหัส (ดูข้อมูลเพิ่มเติมใน RFC 5297, ส่วนที่ 1.3) การใช้งานข้อมูลพื้นฐานนี้อาจทำให้สูญเสียความลับได้เนื่องจากผู้โจมตีเพียงต้องหาข้อความที่เข้ารหัสของข้อความหนึ่งๆ เพื่อระบุอินสแตนซ์อื่นๆ ของข้อความนั้น
AEAD แบบกำหนดได้มีคุณสมบัติดังต่อไปนี้
- Secrecy: ไม่รู้ข้อมูลใดๆ เกี่ยวกับข้อความธรรมดา ยกเว้นความยาวและจำนวนข้อความธรรมดาที่ซ้ำกัน
- ความถูกต้อง: ไม่สามารถเปลี่ยนแปลงข้อความธรรมดาที่เข้ารหัสซึ่งอยู่ภายใต้ข้อความที่เข้ารหัสได้โดยไม่ได้รับการตรวจพบ
- แบบสมมาตร: การเข้ารหัสข้อความธรรมดาและการถอดรหัสข้อความที่เข้ารหัสจะใช้คีย์เดียวกัน
- กำหนดได้: ตราบใดที่คีย์หลักไม่มีการเปลี่ยนแปลง การเข้ารหัสข้อความธรรมดา 2 ครั้งด้วยพารามิเตอร์เดียวกันจะให้ผลลัพธ์เป็นข้อความที่เข้ารหัสเดียวกัน
ข้อมูลที่เกี่ยวข้อง
นอกจากนี้ AEAD แบบกำหนดได้ยังใช้เพื่อเชื่อมโยงข้อความที่เข้ารหัสกับข้อมูลที่เกี่ยวข้องโดยเฉพาะได้ด้วย ตัวอย่างเช่น หากคุณมีฐานข้อมูลที่ประกอบด้วยฟิลด์ user-id และ encrypted-medical-history ในกรณีนี้ user-id สามารถใช้เป็นข้อมูลที่เชื่อมโยงเมื่อเข้ารหัส encrypted-medical-history ซึ่งจะช่วยป้องกันไม่ให้ผู้โจมตีย้ายประวัติทางการแพทย์จากผู้ใช้รายหนึ่งไปยังอีกรายหนึ่ง
เลือกประเภทคีย์
เราขอแนะนำให้ใช้คีย์ประเภท AES256_SIV สำหรับกรณีการใช้งานทั้งหมด
การรับประกันความปลอดภัย
- ระดับการตรวจสอบสิทธิ์อย่างน้อย 80 บิต
- ข้อความธรรมดาและข้อมูลที่เชื่อมโยงอาจมีความยาวเท่าใดก็ได้ (ภายในช่วง 0..232 ไบต์)
- ระดับความปลอดภัย 128 บิตเพื่อป้องกันการโจมตีแบบกู้คืนคีย์ และในการโจมตีแบบผู้ใช้หลายคนที่มีคีย์ได้สูงสุด 232 คีย์ ซึ่งหมายความว่าหากผู้โจมตีได้รับข้อความที่เข้ารหัสด้วยคีย์ 232 คีย์เดียวกัน 2 รายการ ผู้โจมตีจะต้องทำการคํานวณ 2128 ครั้งจึงจะได้คีย์เดียว
- ความสามารถในการเข้ารหัสข้อความ 238 รายการอย่างปลอดภัย โดยแต่ละรายการมีความยาวไม่เกิน 1 MB
