转:https://zhuanlan.zhihu.com/p/28566058
Authenticated Encryption with Associated Data (AEAD) 是一种同时具备保密性,完整性和可认证性的加密形式。
AEAD 产生的原因很简单,单纯的对称加密算法,其解密步骤是无法确认密钥是否正确的。也就是说,加密后的数据可以用任何密钥执行解密运算,得到一组疑似原始数据,而不知道密钥是否是正确的,也不知道解密出来的原始数据是否正确。
因此,需要在单纯的加密算法之上,加上一层验证手段,来确认解密步骤是否正确。
简单地把加密算法和认证算法组合,可以实现上述目的,并由此产生了几个方案:
第一种方案,EtM (Encryption then MAC)
图片来自 https://en.wikipedia.org/wiki/Authenticated_encryption
先加密,然后对密文进行 MAC 运算(一般用各种 HMAC),把二者拼接起来,发给接收方。
接收方先验证 MAC,如果验证通过,则证明密钥是正确的,然后执行解密运算。
第二种方案,E&M (Encryption and MAC)
图片来自 https://en.wikipedia.org/wiki/Authenticated_encryption
同时对原始数据执行加密和 MAC 运算,把二者拼接起来,发给接收方。
接收方先进行解密,然后对解密结果执行 MAC 运算,比对发来的 MAC,验证正确性。
第三种方案,MtE (MAC then Encryption)
图片来自 https://en.wikipedia.org/wiki/Authenticated_encryption
与 EtM 相反,先对原始数据执行 MAC 运算,与原始数据拼接后,执行加密算法,将密文发送给接收方。
接受方先进行解密,然后执行 MAC 运算,验证解密结果是否正确。
然而,业内逐渐意识到以上通过组合加密和认证算法来实现 AEAD 的方案都是有安全问题的。
具体安全问题细节略去不表。
从 2008 年起,业内开始提出,需要在一个算法在内部同时实现加密和认证
基于这个思想,一些新的算法被提出,这些算法被称为真正的 AEAD 算法。
常见的 AEAD 算法如下:
- AES-128-GCM
- AES-192-GCM
- AES-256-GCM
- ChaCha20-IETF-Poly1305
- XChaCha20-IETF-Poly1305
在具备 AES 加速的 CPU(桌面,服务器)上,建议使用 AES-XXX-GCM 系列,移动设备建议使用 ChaCha20-IETF-Poly1305 系列。
在设计加密系统的时候,请务必选用 AEAD 算法,抛弃旧的 MtE,EtM,E&M 方案。