认证加密

认证加密（英语：Authenticated encryption，AE）和用于关联数据的认证加密（authenticated encryption with associated data，AEAD，AE的变种）是一种能够同时保证数据的保密性、 完整性和真实性（英语：message authentication）的一种加密模式。这些属性都是在一个易于使用的编程接口下提供的。

人们观察发现安全地将保密模式与认证模式组合可能是容易出错和困难的，于是认证加密应运而生。^[1][2] 这一点已由许多实际攻击证实，这些攻击通过对身份验证（包括SSL与TLS）的不正确实现或缺失，引入到了生产协议和应用程序中。^[3]

在2000年左右，围绕这个概念进行了一些努力。特别是，2000年Charanjit Jutla发表IACBC和IAPM（英语：IAPM (mode)）模式，引发了人们对这些模式的强烈兴趣。^[4] ISO/IEC 19772:2009已经对六种不同的认证加密模式（即OCB（英语：OCB mode） 2.0, Key Wrap（英语：Key Wrap）, CCM（英语：CCM mode）, EAX（英语：EAX mode）, Encrypt-then-MAC (EtM)和GCM（英语：Galois/Counter Mode））进行了标准化。^[5] 在NIST的征集下开发了更多的模式。^[6]海綿函數可以在双工模式下使用，提供经过认证的加密。^[7]

目录

• 
  1 认证加密的方法
  
  
  
  • 
    1.1 Encrypt-then-MAC (EtM)
    
  
  
  • 
    1.2 Encrypt-and-MAC (E&M)
    
  
  
  • 
    1.3 MAC-then-Encrypt (MtE)
    
  
  
  
  


• 
  2 参见
  


• 
  3 参考文献
  


• 
  4 外部链接
  

认证加密的方法

Encrypt-then-MAC (EtM)

EtM方法

首先对明文进行加密，然后根据得到的密文生成MAC。密文和它的MAC一起发送。用于例如IPsec中。EtM是ISO/IEC 19772:2009规定的六种认证加密方法中的一种。^[5]这是唯一可以达到认证加密安全性最高定义的方法，但这只有在使用的MAC“强不可伪造”时才能实现。^[8]2014年11月，EtM的傳輸層安全性協定（TLS）和資料包傳輸層安全（DTLS）扩展已经作为RFC 7366发布。各种EtM密码套件也存在于SSHv2中（例如hmac-sha1-etm@openssh.com）。

Encrypt-and-MAC (E&M)

E&M方法

基于明文生成MAC，并且明文在没有MAC的情况下被加密。明文的MAC和密文一起发送。用于例如SSH。E&M方法本身并未被证明是“强不可伪造”的。^[8]

MAC-then-Encrypt (MtE)

MtE方法

基于明文生成MAC，然后将明文和MAC一起加密以基于两者生成密文。密文（包含加密的MAC）被发送。MtE方法本身并未被证明是“强不可伪造”的。用于例如SSL/TLS。^[8]尽管有理论上的安全性，但对SSL/TLS进行更深入的分析将保护模型化为MAC-then-pad-then-encrypt，即明文先填充到加密函数的块大小。填充错误通常会导致接收方发现可检测到的错误，从而导致Padding oracle attack（英语：Padding oracle attack），如Lucky Thirteen attack（英语：Lucky Thirteen attack）。

参见

• 分组密码工作模式


• CCM mode（英语：CCM mode）


• CWC mode（英语：CWC mode）


• OCB mode（英语：OCB mode）


• EAX mode（英语：EAX mode）


• GCM（英语：Galois/Counter Mode）


• SGCM（英语：Sophie Germain Counter Mode）


• Signcryption（英语：Signcryption）

参考文献

1. 
   ^ "people had been doing rather poorly when they tried to glue together a traditional (privacy-only) encryption scheme and a message authentication code (MAC)", in: M. Bellare; P. Rogaway; D. Wagner. A Conventional Authenticated-Encryption Mode (PDF). NIST. [March 12, 2013]. 
   


2. 
   ^ "it is very easy to accidentally combine secure encryption schemes with secure MACs and still get insecure authenticated encryption schemes", in: T. Kohno; J. Viega & D. Whiting. The CWC Authenticated Encryption (Associated Data) Mode (PDF). NIST. [March 12, 2013]. 
   


3. 
   ^ Failures of secret-key cryptography (PDF). Daniel J. Bernstein. [March 12, 2013]. 
   


4. 
   ^ Jutl, Charanjit S. Encryption Modes with Almost Free Message Integrity. Cryptology ePrint Archive: Report 2000/039. IACR（英语：International Association for Cryptologic Research）. 2000-08-01 [2013-03-16]. 
   


5. 
   ^ ^5.05.1 Information technology -- Security techniques -- Authenticated encryption. 19772:2009. ISO/IEC. [March 12, 2013]. 
   


6. 
   ^ Encryption modes development. NIST. [April 17, 2013]. 
   


7. 
   ^ The Keccak Team. Duplexing The Sponge (PDF). 
   


8. 
   ^ ^8.08.18.2 Authenticated Encryption: Relations among notions and analysis of the generic composition paradigm. M. Bellare and C. Namprempre. [April 13, 2013]. 
   

一般性

• 
  Bellare, M.; Namprempre, C., T. Okamoto, 编, Authenticated Encryption: Relations among notions and analysis of the generic composition paradigm, Extended abstract in Advances in Cryptology: Asiacrypt 2000 Proceedings, Lecture Notes in Computer Science (Springer-Verlag), 2000, 1976: 531, ISBN 978-3-540-41404-9, doi:10.1007/3-540-44448-3_41 
  

外部链接

• NIST: Modes Development


• How to choose an Authenticated Encryption mode

查 论 编   雜湊函數 & 訊息鑑別碼 列表 比较 已知攻击 常用函数 MD5 SHA-1 SHA-2 SHA-3/Keccak BLAKE2 SHA-3入围（英语：NIST hash function competition） BLAKE Grøstl JH（英语：JH (hash function)） Skein（英语：Skein (hash function)） Keccak（胜出） 其他函数 ECOH（英语：Elliptic curve only hash） FSB（英语：Fast Syndrome Based Hash） GOST（英语：GOST (hash function)） HAS-160（英语：HAS-160） HAVAL（英语：HAVAL） Kupyna（英语：Kupyna） LM hash（英语：LM hash） MD2（英语：MD2 (cryptography)） MD4 MD6（英语：MD6） MDC-2（英语：MDC-2） N-Hash（英语：N-Hash） RIPEMD RadioGatún（英语：RadioGatún） SWIFFT（英语：SWIFFT） SipHash（英语：SipHash） Snefru（英语：Snefru） Streebog（英语：Streebog） Tiger（英语：Tiger (cryptography)） VSH（英语：Very smooth hash） WHIRLPOOL（英语：Whirlpool (cryptography)） SM3 X11 MAC算法 DAA（英语：Data Authentication Algorithm） CBC-MAC（英语：CBC-MAC） HMAC OMAC（英语：One-key MAC）/CMAC（英语：CMAC） PMAC（英语：PMAC (cryptography)） VMAC（英语：VMAC） UMAC（英语：UMAC） Poly1305 认证加密模式 CCM（英语：CCM mode） CWC（英语：CWC mode） EAX（英语：EAX mode） GCM（英语：Galois/Counter Mode） IAPM（英语：IAPM (mode)） OCB（英语：OCB mode） 攻击 碰撞攻击（英语：Collision attack） 原像攻击 生日攻击 暴力破解法 彩虹表 旁路攻击 长度扩展攻击 设计 雪崩效应 碰撞 默克尔-达姆加德结构（英语：Merkle–Damgård construction） 标准化 CRYPTREC（英语：CRYPTREC） NESSIE（英语：NESSIE） NIST散列函数竞赛（英语：NIST hash function competition） 实际应用 盐 密钥弹性（英语：Key stretching） 信息鉴定 密钥推导函数（英语：Key derivation function） bcrypt crypt(3)（英语：Crypt (C)） (DES) PBKDF2（英语：PBKDF2） scrypt Argon2（英语：Argon2） 查 论 编 密码学 密码学历史 密码分析 密碼學主題列表 對稱密鑰加密 分组密码 流密码 公开密钥加密 密碼雜湊函數 訊息鑑別碼 随机数 隐写术 分类 主题 专题

This page is only for reference, If you need detailed information, please check here