问题描述
|
我目前正在使用具有CBC模式的AES(256)来加密数据。我将初始化向量与加密数据一起存储。现在,我只是将IV添加到加密数据的开头,然后进行解密,以字节的硬编码长度读取它。
如果将来初始化矢量的长度发生变化,则此方法将中断。
所以我的问题是:
将来是否会有更长的AES密钥大小=更长的IV?或者换句话说,AES的块大小将来会改变吗?
如果是这样,最好的解决方法是什么?使用第一个字节作为IV长度的指标,然后读取那么多字节?
解决方法
Rijndael确实支持更大的块大小,但是AES当前固定为128位块。 NIST对较大的Rijndael块大小进行标准化似乎不太可能,因为这实际上是一种全新的算法,尚未有人实现。如果NIST觉得有必要使用更大的分组密码,则很可能会举办新的竞赛。
但是,我建议您在消息的开头附近添加一些算法标识符(而不是IV长度)(仅需要一个字节),这将使您不仅具有灵活性,而且可以处理较大的IV,但将来还会以其他方式扩展格式,例如新算法。例如0 == AES-256 / CBC,1 == AES-256 / GCM,2 = AES-2.0 / CBC,3 = AES-256 / CBC,在某处带有特殊的额外标头,等等,等等。
PS-别忘了还使用消息身份验证代码,因为否则您将遭受各种简单的消息修改攻击。
, 初始化向量的目的是使第一个块随机化,以便用相同密钥两次加密的相同数据不会产生相同的输出。
从信息理论的角度来看,AES有“仅” 2 ^ 128个不同的IV,因为这些都是您可能会对第一块实际数据进行异或的所有随机值。因此,没有任何理由使IV大于密码的块大小。
较大的块大小可以证明较大的IV是合理的。较大的密钥则没有。
根据定义,更大的块大小意味着不同的算法。因此,无论如何,您都可以标记数据以指示正在使用的算法,即如何确定要使用的块大小(以及IV大小)。
, 作为替代解决方案,您可以切换到AES-CTR模式。计数器模式需要一个Nonce,但Nonce不必与AES块大小相关联。如果增加了AES块大小(就像Jack所说的那样不太可能),那么您可以保留相同大小的Nonce。