AAD是否会使GCM加密更安全？

密码学 | 2021-01-09 | 编程黑洞网 | 0条评论 | 669 人阅读

附加的身份验证数据（AAD）是否会使AES GCM加密更安全？如果我们在AES-GCM 256中丢弃AAD怎么办？如果我们删除它，它将如何使加密的安全性降低？

由于在特定的安全范围内可以认证的块数量有限，因此处理AAD实际上会使GCM的安全性降低，并且许多AAD实际上也会损害加密数据的真实性。

#1 楼

通常，AAD本身不是必需的，或者不会改变GCM操作模式本身的安全性。

它可能会直接影响部署GCM的协议的安全性。例如，您可能在密文本身之外具有特定的可配置参数。

这些参数很可能包括：

协议的版本号
消息特定的随机数
收件人的地址

如果您未在AAD或密文中包含这些地址，则不会通过验证标签的验证来验证这些参数。这意味着攻击者可以简单地对其进行更改。例如，攻击者可能会尝试切换到先前使用的安全性较低的协议编号。

很明显，如果您允许参数直接影响GCM操作模式本身，那么验证认证标签可能为时已晚；您最好事先进行验证或设置，以确保最大的安全性。

#2 楼

AAD与使其“更安全”无关。 AAD的目的是将信息附加到未加密的密文中，但在无法更改或分离的意义上将其绑定到密文。（从概念上讲，MAC是通过AAD和密文一起计算的。）