维基百科说:


密钥包装构造是一类对称的加密算法,旨在对封装的密钥材料进行
封装。 >我们正在使用这些算法通过对称算法(和对称密钥,称为密钥加密密钥)来加密(和认证)密钥。

其中一些算法非常复杂,例如AES- NIST最初在2001年定义了密钥包装算法AESKW,现在提供了新的草案800-38F。在下图中,每个红色框是对AES块密码的一次调用,总共仅加密256位(即2个块)纯文本(包括作为完整性检查/认证的常量部分):
(Image摘自Rogaway / Shrimpton,2007年,《确定性认证加密-密钥包装问题的可证明安全性处理》图7。具有MAC的CBC或CTR模式,或经过认证的加密模式(如AEX)是否可以为我们提供相同的安全性结果?

#1 楼

您引用的论文(确定性的身份验证加密...)给出了大量有用的信息(但我假设您已经知道这一点)。它看起来像是一本不错的书(完成后我会告诉您该假设是否成立)。 t满足(强调):密钥包装方案是一种共享密钥加密方案。它旨在为“专用数据(例如,加密密钥)”提供“隐私和完整性保护”。 。 。而不使用随机数”(表示计数器或随机位)。因此,换行的理由是消除AE对随机数或随机数的依赖。


至少根据本文,删除随机数/ IV /随机数的原因,是为了使该协议“对IV滥用具有更强的适应力。”

我还发现以下段落很有用(强调):在许多人认为使用键换行的情况下,可以使用常规的AE方案。这并非没有意义。首先,它阐明了密钥包装和传统AE之间的关系。其次,DAE导致了耐滥用的AE,而达到此目的的方法可以替代传统的(非耐滥用的)两次通过AE方法。最后,从业人员已经通过协议设计和标准化工作“投票赞成”密钥包装,并且在拒绝该选项后说“使用常规AE方案”根本没有效果。 />
密钥包装算法的另一个潜在原因是它们的可分析性。我对此并不完全确定,但可能是在密钥包装算法下可以证明安全性,但是在更简单的方法下可能无法实现。附带说明一下,当通读该论文的简介时,让我想知道Entropic Security的概念如何影响密钥包装算法。在论文中,他们简要地将其作为相关工作提及,仅此而已。

评论


$ \ begingroup $
嗯,是的,我已经阅读了该文件(该文件包含的质量比建议草案中的图表更好,因此我使用了它)。实际上,我实际上主要是想在这里确认我的猜测……并以某种方式使其更容易获得,因为这似乎并不是真正的公共知识。谢谢。
$ \ endgroup $
–PaŭloEbermann
2011年11月1日于1:30

$ \ begingroup $
值得注意的是,本文的结论之一是,尽管他们认为所分析的算法可能至少是合理正确的,但他们无法证明其中的任何一种,而且大多数算法都足够复杂(有些包含无法解释的点点滴滴),这样的证明很可能是不可能的。
$ \ endgroup $
–杰里·科芬(Jerry Coffin)
2011年11月1日,凌晨2:50

#2 楼

在大多数标准操作模式下,明文第一位的加密仅在功能上取决于其块中的其他输入位(如果使用一个,则加上IV)。例如,它不依赖于下一个明文块中的任何位。

换行本质上是一种操作模式,其中输入的每一位的加密在功能上均以不平凡的方式依赖于每个其他块中的输入的其他每一位。

密钥(而不是通用数据)的应用有些无关紧要。密钥包装既可以用于密钥也可以用于数据,并且用于数据的标准操作模式通常也用于密钥。由于构造很复杂(加密的数量必须至少为纯文本块数量的二次线性,以便所有内容都可以接触到其他所有内容),因此通常将其用于加密只有几个块长(但不止一个)的内容块)以及添加的非线性可能会有所帮助的地方。

评论


$ \ begingroup $
您的“至少需要二次方”似乎是错误的-尽管上面的图片看起来像这样,但还有其他模式只能触摸每个块两次,例如X9.102草案中的AKW1和AKW2(如我链接的论文附录中所述)。
$ \ endgroup $
–PaŭloEbermann
2011年11月1日15:08

$ \ begingroup $
是的,对此我可能是错的。我袖手旁观地发表了二次评论,应该考虑透彻。
$ \ endgroup $
–PulpSpy
2011年11月1日15:14

$ \ begingroup $
>它通常用于加密只有几个块(但超过一个块)的东西,这是否意味着要加密一个简单的AES密钥,就可以在ECB模式下安全地使用AES? (完整性在这里并不是很重要,如果您使用的密钥不正确,解密将是垃圾,服务器将阻止该应用程序)
$ \ endgroup $
–ddddavidee
17-10-18在7:56