stringtranslate.com

Cifrado autenticado

El cifrado autenticado (AE) es un esquema de cifrado que garantiza simultáneamente la confidencialidad de los datos (también conocida como privacidad: el mensaje cifrado es imposible de entender sin el conocimiento de una clave secreta [1] ) y la autenticidad (en otras palabras, es infalsificable: [2] el mensaje cifrado incluye una etiqueta de autenticación que el remitente puede calcular solo mientras posee la clave secreta [1] ). Ejemplos de modos de cifrado que proporcionan AE son GCM , CCM . [1]

Muchos (pero no todos) esquemas AE permiten que el mensaje contenga "datos asociados" (AD) que no se consideran confidenciales, pero su integridad está protegida (es decir, son legibles, pero se detectará su manipulación). Un ejemplo típico es el encabezado de un paquete de red que contiene su dirección de destino. Para enrutar correctamente el paquete, todos los nodos intermedios en la ruta del mensaje necesitan conocer el destino, pero por razones de seguridad no pueden poseer la clave secreta. [3] Los esquemas que permiten que los datos asociados proporcionen cifrado autenticado con los datos asociados, o AEAD . [3]

Interfaz de programación

Una interfaz de programación típica para una implementación AE proporciona las siguientes funciones:

La parte del encabezado está destinada a proporcionar protección de autenticidad e integridad para metadatos de red o almacenamiento para los cuales la confidencialidad no es necesaria, pero se desea autenticidad.

Historia

La necesidad de un cifrado autenticado surgió de la observación de que combinar de forma segura modos de operación de cifrado de bloque de autenticación y confidencialidad separados podría ser propenso a errores y difícil. [4] [5] Esto fue confirmado por una serie de ataques prácticos introducidos en protocolos y aplicaciones de producción mediante una implementación incorrecta o falta de autenticación (). [6]

Alrededor del año 2000, se desarrollaron una serie de esfuerzos en torno a la noción de estandarizar modos que aseguraran una implementación correcta. En particular, un gran interés en modos posiblemente seguros fue provocado por la publicación de los modos CBC conscientes de la integridad y IAPM [7] de Charanjit Jutla paralelizables conscientes de la integridad [7] (ver OCB y cronología [8] ). Seis modos de cifrado autenticados diferentes (a saber, modo de libro de códigos compensado 2.0 , OCB  2.0; Key Wrap ; contador con CBC-MAC , CCM; cifrar, luego autenticar y luego traducir , EAX; cifrar y luego MAC , EtM; y modo Galois/contador , GCM) han sido estandarizados en ISO/IEC 19772:2009. [9] Se desarrollaron métodos de cifrado más autenticados en respuesta a la solicitud del NIST . [10] Las funciones de esponja se pueden utilizar en modo dúplex para proporcionar cifrado autenticado. [11]

Bellare y Namprempre (2000) analizaron tres composiciones de cifrado y primitivas MAC, y demostraron que cifrar un mensaje y posteriormente aplicar una MAC al texto cifrado (el enfoque Encriptar y luego MAC) implica seguridad contra un ataque de texto cifrado elegido de forma adaptativa , siempre que ambos Las funciones cumplen con las propiedades mínimas requeridas. Katz y Yung investigaron la noción bajo el nombre de "cifrado infalsificable" y demostraron que implica seguridad contra ataques de texto cifrado seleccionados. [12]

En 2013, se anunció el concurso CAESAR para fomentar el diseño de modos de cifrado autenticados. [13]

En 2015, se agrega ChaCha20-Poly1305 como una construcción AE alternativa a GCM en los protocolos IETF .

Cifrado autenticado con datos asociados.

El cifrado autenticado con datos asociados (AEAD) es una variante de AE ​​que permite que el mensaje incluya "datos asociados" (AD, información adicional no confidencial, también conocida como "datos autenticados adicionales", AAD). Un destinatario puede comprobar la integridad tanto de los datos asociados como de la información confidencial de un mensaje. AD es útil, por ejemplo, en paquetes de red donde el encabezado debe ser visible para el enrutamiento , pero la carga útil debe ser confidencial y ambas necesitan integridad y autenticidad . La noción de AEAD fue formalizada por Rogaway (2002). [3]

Enfoques para el cifrado autenticado

Cifrar y luego MAC (EtM)

Enfoque de gestión de emisiones

Primero se cifra el texto sin formato y luego se genera una MAC basada en el texto cifrado resultante. El texto cifrado y su MAC se envían juntos. ETM es el método estándar según ISO/IEC 19772:2009. [9] Es el único método que puede alcanzar la más alta definición de seguridad en AE, pero esto sólo se puede lograr cuando el MAC utilizado es "fuertemente infalsificable". [14]

IPSec adoptó EtM en 2005. [15] En noviembre de 2014, TLS y DTLS recibieron extensiones para EtM con RFC  7366. También existen varios conjuntos de cifrado EtM para SSHv2 (por ejemplo,[email protected]).

Enfoque E&M

Se produce una MAC basada en el texto sin formato y el texto sin formato se cifra sin la MAC. La MAC del texto plano y el texto cifrado se envían juntos. Utilizado, por ejemplo, en SSH . [16] Aunque no se ha demostrado que el enfoque E&M sea fuertemente infalsificable en sí mismo, [14] es posible aplicar algunas modificaciones menores a SSH para hacerlo fuertemente infalsificable a pesar del enfoque. [17]

MAC y luego cifrar (MtE)

Enfoque MtE

Se produce una MAC basada en el texto sin formato, luego el texto sin formato y la MAC se cifran juntos para producir un texto cifrado basado en ambos. Se envía el texto cifrado (que contiene una MAC cifrada). Hasta TLS 1.2, todos los conjuntos de cifrado SSL/TLS disponibles eran MtE. [18]

No se ha demostrado que MtE sea totalmente infalsificable en sí mismo. [14] Krawczyk ha demostrado que la implementación SSL/TLS es totalmente infalsificable y demostró que SSL/TLS era, de hecho, seguro debido a la codificación utilizada junto con el mecanismo MtE. [19] Sin embargo, la prueba de Krawczyk contiene suposiciones erróneas sobre la aleatoriedad del vector de inicialización (IV). El ataque BEAST de 2011 explotó el IV encadenado no aleatorio y rompió todos los algoritmos CBC en TLS 1.0 y versiones anteriores. [20]

Además, un análisis más profundo de SSL/TLS modeló la protección como MAC-luego-pad-luego-cifrado, es decir, el texto sin formato se rellena primero hasta el tamaño de bloque de la función de cifrado. Los errores de relleno a menudo resultan en errores detectables por parte del destinatario, lo que a su vez conduce a ataques de oráculos de relleno , como Lucky Thirteen .

Ver también

Referencias

  1. ^ abc negro 2005, pag. 1.
  2. ^ Katz y Lindell 2020, pag. 116.
  3. ^ abc negro 2005, pag. 2.
  4. ^ M. Bellare; P. Rogaway; D. Wagner. "Un modo de cifrado autenticado convencional" (PDF) . NIST . Consultado el 12 de marzo de 2013 . a la gente le había ido bastante mal cuando intentaron unir un esquema de cifrado tradicional (solo de privacidad) y un código de autenticación de mensajes (MAC)
  5. ^ T. Kohno; J. Viega y D. Whiting. "El modo de cifrado autenticado (datos asociados) de la CWC" (PDF) . NIST . Consultado el 12 de marzo de 2013 . Es muy fácil combinar accidentalmente esquemas de cifrado seguros con MAC seguras y aun así obtener esquemas de cifrado autenticados inseguros.
  6. ^ "Fallos de la criptografía de clave secreta" (PDF) . Daniel J. Bernstein. Archivado desde el original (PDF) el 18 de abril de 2013 . Consultado el 12 de marzo de 2013 .
  7. ^ Jutl, Charanjit S. (1 de agosto de 2000). "Modos de cifrado con integridad de mensajes casi gratuita". Archivo ePrint de criptología: Informe 2000/039 . Actas IACR EUROCRYPT 2001. IACR . Consultado el 16 de marzo de 2013 .
  8. ^ T. Krovetz; P. Rogaway (1 de marzo de 2011). "El rendimiento del software de los modos de cifrado autenticado" (PDF) . Cifrado de software rápido 2011 (FSE 2011) . IACR .
  9. ^ ab "Tecnología de la información - Técnicas de seguridad - Cifrado autenticado". 19772:2009 . ISO/IEC . Consultado el 12 de marzo de 2013 .
  10. ^ "Desarrollo de modos de cifrado". NIST . Consultado el 17 de abril de 2013 .
  11. ^ El equipo Keccak. "Duplexación de la esponja" (PDF) .
  12. ^ Katz, J.; Yung, M. (2001). "Cifrado inolvidable y modos de funcionamiento seguros de texto cifrado elegidos". En B. Schneier (ed.). Cifrado rápido de software (FSE): actas de 2000 . Apuntes de conferencias sobre informática. vol. 1978, págs. 284–299. doi :10.1007/3-540-44706-7_20. ISBN 978-3-540-41728-6.
  13. ^ "CAESAR: Competencia por el cifrado autenticado: seguridad, aplicabilidad y solidez" . Consultado el 12 de marzo de 2013 .
  14. ^ abc "Cifrado autenticado: relaciones entre nociones y análisis del paradigma de composición genérica". M. Bellare y C. Namprempre. Archivado desde el original el 23 de enero de 2018 . Consultado el 13 de abril de 2013 .
  15. ^ "Algoritmos separados de confidencialidad e integridad". RFC 4303: carga útil de seguridad de encapsulación de IP (ESP) . Grupo de trabajo de ingeniería de Internet (IETF) . Consultado el 12 de septiembre de 2018 .
  16. ^ "Integridad de los datos". RFC 4253 . Grupo de trabajo de ingeniería de Internet (IETF) . Consultado el 12 de septiembre de 2018 .
  17. ^ Bellare, Mihir; Kohno, Tadayoshi; Namprempre, Chanathip. "Romper y reparar de manera demostrable el esquema de cifrado autenticado SSH: un estudio de caso del paradigma codificar, luego cifrar y MAC" (PDF) . Transacciones ACM sobre Seguridad de la Información y Sistemas . Consultado el 30 de agosto de 2021 .
  18. ^ Rescorla, Eric; Dierks, Tim (agosto de 2008). "Protección de carga útil de registros". RFC 5246 . Grupo de trabajo de ingeniería de Internet (IETF) . Consultado el 12 de septiembre de 2018 .
  19. ^ "El orden de cifrado y autenticación para proteger las comunicaciones (o: ¿Qué tan seguro es SSL?)" (PDF) . H. Krawczyk . Consultado el 13 de abril de 2013 .
  20. ^ Duong, tailandés; Rizzo, Juliano (13 de mayo de 2011). "Aquí vienen los ⊕ Ninjas" (PDF) .– Documento técnico sobre el ataque BESTIA
General

Fuentes

enlaces externos