AEAD密码的优点是什么？

#1 楼

AEAD密码实现通常在内部进行加密，然后进行身份验证（而OpenSSL中的CBC密码则不是）。 TLS确实需要摆脱“身份验证然后加密”的问题，后者需要对AES等分组密码的CBC代码进行特殊处理。 AEAD密码（无论内部结构如何）都应不受认证然后加密引起的问题的影响。

AEAD算法通常带有安全证明。这些安全性证明当然取决于基础原语，但是尽管如此，它仍然对完整方案提供了更多的信心。

这些密码通常是单次通过（OCB，不经常使用），1.5通过（GCM，Poly1305）或2通过（EAX）。这意味着它们通常比使用CBC +（H）MAC的两次通过方案具有执行速度优势。如果使用更高级的语言（Java，Python等）来实现TLS，则即使是EAX方案也可以具有性能优势。这是因为在协议级别（CBC + HMAC）上，为两种算法的组合创建一种针对一种算法（EAX）的完全优化的实现更为容易。内部EAX只是CTR + CMAC。

此外，通常可以（强制）遵循RFC 5116的AEAD方案。这意味着对于所有AEAD密码，只需要一个接口即可。 IV和明文的处理。当然，也可以让CBC + HMAC遵守此RFC。

速度和安全性可能是Google在Chrome中已经支持ChaCha20 + Poly1305 / AES的原因。房间里有这么大的大象，Daniel J. Bernstein（所有人）很难忽略这种方案。这是一个1.5传递的AEAD密码，在下面使用了快速流密码，因此总体而言效率很高。

#2 楼

AEAD密码的优点是什么？


这取决于一个方案，但通常意味着您：


仅信任一种算法，而不是两种。
只执行一遍（在AEAD领域是理想的，不是它的结果）。
节省代码，有时也节省计算。

代码节省在嵌入式和IoT设置中可能很重要。


TLS工作组为什么要为此努力？


我还没有？虽然没有遵循IETF TLS WG本身，但是很难正确使用AEAD模式密码。通常，密码学界犯的错误更少，而KAT覆盖的范围更大。


我认为现代密码套件需要SHA256进行身份验证。包括Poly1305在内有什么优势？即，例如SuiteB（SECRET）。它还需要信任SHA256和您的加密算法，以及SHA256的性能和内存要求，这可能不是很大。

从cr.yp.的poly1305部分到：


Poly1305-AES具有几个有用的功能：


如果AES是安全的，则可以保证安全。有一个定理保证即使对于长期密钥（2 ^ 64条消息），安全性差距也非常小（对于16n字节消息，每次伪造尝试n / 2 ^（102）次）。攻击者破解Poly1305-AES的唯一方法是破解AES。
密码可替换性。如果AES出了点问题，用户可以从Poly1305-AES切换到Poly1305-AnotherFunction，并具有相同的安全保证。
极高的速度。我的Poly1305-AES软件仅需3843个Athlon周期，5361 Pentium III周期，5464 Pentium 4周期，4611 Pentium M周期，8464 PowerPC 7410周期，5905 PowerPC RS64 IV周期，5118 UltraSPARC II周期或5601 UltraSPARC III周期即可验证1024字节消息上的身份验证器。 Poly1305-AES可以提供​​一致的高速，而不仅仅是一个受欢迎的CPU的高速。
低消息开销。我的Poly1305-AES软件仅花费1232个Pentium 4周期，1264 PowerPC 7410周期或1077 UltraSPARC III周期来验证64字节消息上的身份验证器。 Poly1305-AES提供一致的高速，而不仅仅是长消息的高速。大多数竞争功能都是为长消息而设计的，而没有关注短数据包的性能。
关键敏捷性。 Poly1305-AES可以将数千个同时存在的密钥放入高速缓存中，并且即使密钥不在高速缓存中也可以保持快速。 Poly1305-AES提供一致的高速，而不仅仅是单键基准测试的高速。几乎所有竞争功能的每个键都使用一个大表。随着键数量的增加，这些功能会丢失高速缓存并显着降低速度。
并行性和增量性。 Poly1305-AES可以利用额外的硬件来减少长消息的延迟，并且可以以低成本重新计算以对长消息进行少量修改。
没有知识产权的声明。我不知道与Poly1305-AES相关的任何专利或专利申请。