附加的身份验证数据(AAD)是否会使AES GCM加密更安全?如果我们在AES-GCM 256中丢弃AAD怎么办?如果我们删除它,它将如何使加密的安全性降低?

评论

由于在特定的安全范围内可以认证的块数量有限,因此处理AAD实际上会使GCM的安全性降低,并且许多AAD实际上也会损害加密数据的真实性。

#1 楼

通常,AAD本身不是必需的,或者不会改变GCM操作模式本身的安全性。

它可能会直接影响部署GCM的协议的安全性。例如,您可能在密文本身之外具有特定的可配置参数。

这些参数很可能包括:


协议的版本号
消息特定的随机数
收件人的地址

如果您未在AAD或密文中包含这些地址,则不会通过验证标签的验证来验证这些参数。这意味着攻击者可以简单地对其进行更改。例如,攻击者可能会尝试切换到先前使用的安全性较低的协议编号。

很明显,如果您允许参数直接影响GCM操作模式本身,那么验证认证标签可能为时已晚;您最好事先进行验证或设置,以确保最大的安全性。

#2 楼

AAD与使其“更安全”无关。 AAD的目的是将信息附加到未加密的密文中,但在无法更改或分离的意义上将其绑定到密文。 (从概念上讲,MAC是通过AAD和密文一起计算的。)