java - 如何处理 "AES/GCM/NoPadding"的 IV 和身份验证标签？

Question

我在 Java 8 中使用 AES/GCM/NoPadding 加密，我想知道我的代码是否存在安全漏洞。我的代码似乎工作，因为它可以加密和解密文本，但有一些细节不清楚。

我的主要问题是:

Cipher cipher = Cipher.getInstance("AES/GCM/NoPadding");
cipher.init(Cipher.ENCRYPT_MODE, key);
byte[] iv = cipher.getIV(); // ?????

该 IV 是否满足“对于给定 key ，IV 不得重复”的要求。来自 RFC 4106 ?

我也很感谢我的相关问题的任何答案/见解(见下文)，但第一个问题最困扰我。我不知道在哪里可以找到回答这个问题的源代码或文档。

---

这里是完整的代码，大致。如果我在写这篇文章时引入了错误，我深表歉意:

class Encryptor {
  Key key;

  Encryptor(byte[] key) {
    if (key.length != 32) throw new IllegalArgumentException();
    this.key = new SecretKeySpec(key, "AES");
  }

  // the output is sent to users
  byte[] encrypt(byte[] src) throws Exception {
    Cipher cipher = Cipher.getInstance("AES/GCM/NoPadding");
    cipher.init(Cipher.ENCRYPT_MODE, key);
    byte[] iv = cipher.getIV(); // See question #1
    assert iv.length == 12; // See question #2
    byte[] cipherText = cipher.doFinal(src);
    assert cipherText.length == src.length + 16; // See question #3
    byte[] message = new byte[12 + src.length + 16]; // See question #4
    System.arraycopy(iv, 0, message, 0, 12);
    System.arraycopy(cipherText, 0, message, 12, cipherText.length);
    return message;
  }

  // the input comes from users
  byte[] decrypt(byte[] message) throws Exception {
    if (message.length < 12 + 16) throw new IllegalArgumentException();
    Cipher cipher = Cipher.getInstance("AES/GCM/NoPadding");
    GCMParameterSpec params = new GCMParameterSpec(128, message, 0, 12);
    cipher.init(Cipher.DECRYPT_MODE, key, params);
    return cipher.doFinal(message, 12, message.length - 12);
  }
}

假设用户破解我的 key = 游戏结束。

---

更详细的问题/相关问题:

1. cipher.getIV() 返回的 IV 以这种方式使用对我来说安全吗？

• 它是否避免了在 Galois/Counter 模式中重复使用 IV、组合键的灾难？
• 当我有多个应用程序同时运行此代码时仍然安全吗？所有应用程序都从同一 src 数据(可能在同一毫秒内)向用户显示加密消息？
• 返回的 IV 是由什么制成的？它是一个原子计数器加上一些随机噪声吗？
• 我是否需要避免 cipher.getIV() 并使用自己的计数器自己构造一个 IV？
• 假设我使用的是 Oracle JDK 8 + JCE Unlimited Strength 扩展，实现 cipher.getIV() 的源代码是否可以在线获得？

1. 那个 IV 总是 12 字节长吗？

2. 身份验证标签是否总是 16 字节(128 位)长？

3. 使用 #2 和 #3，并且没有填充，这是否意味着我的加密消息总是 12 + src.length + 16 字节长？ (所以我可以安全地将它们压缩成一个字节数组，我知道正确的长度？)

4. 在给定用户知道的恒定 src 数据的情况下，向用户显示无限数量的 src 数据加密是否安全？

5. 如果 src 数据每次都不同(例如，包括 System.currentTimeMillis() 或随机数)，我向用户显示无限数量的 src 数据加密是否安全?

6. 如果我在加密之前用随机数填充 src 数据会有帮助吗？在前面和后面说 8 个随机字节，还是只在一端？或者这根本没有帮助/让我的加密变得更糟？

(因为这些问题都是关于我自己的代码的同一 block ，并且它们彼此密切相关，并且其他人在实现相同的功能时可能/应该有相同的问题集，因此拆分感觉是错误的问题分成多个帖子。如果这更适合 StackOverflow 的格式，我可以单独重新发布它们。让我知道!)

Answer 1

Q1:cipher.getIV() 返回的 IV 对我这样使用安全吗？

是的，至少对于 Oracle 提供的实现来说是这样。它是使用默认的 SecureRandom 实现单独生成的。因为它的大小是 12 字节(GCM 的默认值)，所以你有 96 位的随机性。计数器重复的机会非常小。您可以在 Oracle JDK 所基于的 OpenJDK (GPL'ed) 中查找源代码。

不过，我仍然建议您生成自己的 12 个随机字节，因为其他提供者的行为可能会有所不同。

---

Q2:IV 总是 12 字节长吗？

这是极有可能的，因为它是 GCM 默认值，但其他长度 对 GCM 有效。然而，该算法必须对 12 字节以外的任何其他大小进行额外的计算。由于弱点，强烈建议将其保持在 12 字节/96 位，API 可能会限制您选择 IV 大小。

---

Q3:认证标签总是16字节(128位)长吗？

不，它可以具有从 64 位到 128 位的任何字节大小，以 8 位为增量。如果它更小，它只是由身份验证标签的最左边字节组成。您可以使用 GCMParameterSpec 指定其他大小的标签。作为 init 调用的第三个参数。

请注意，GCM 的强度很大程度上取决于标签的大小。我建议将其保持为 128 位。如果您想生成大量密文，96 位应该是最小值尤其是。

---

Q4:使用#2 和#3，并且没有填充，这是否意味着我的加密消息总是 12 + src.length + 16 字节长？ (所以我可以安全地将它们压缩成一个字节数组，我知道正确的长度？)

见上文。对于 Oracle 提供程序，情况就是如此。使用 GCMParameterSpec 确定。

---

Q5:在给定用户知道的恒定 src 数据的情况下，向用户显示无限数量的 src 数据加密是否安全？

几乎未绑定(bind)，是的。大约 2^48 次加密后，我会开始担心。但是，通常您应该设计键更改。

---

Q6:如果 src 数据每次都不同(例如，包括 System.currentTimeMillis() 或随机数)，我向用户显示无限数量的 src 数据加密是否安全？

查看 Q5 和 Q7 的答案

---

Q7:如果我在加密之前用随机数填充src数据会有帮助吗？在前面和后面说 8 个随机字节，还是只在一端？或者这根本没有帮助/让我的加密变得更糟？

不，这根本没有帮助。 GCM 在下面使用 CTR 模式，所以它只会用 key 流加密。它不会充当 IV。现在，如果您有不断变化的消息要加密，您可以查看 AES-GCM-SIV，但请注意，该算法未在任何 JCA 提供程序中实现。

---

如果您需要大量密文(高于 2^48!，或 2^32 - ~40 亿 - 谨慎起见)，那么我建议您使用该随机数和您的 key 作为 key 派生函数或 KDF . HKDF 目前是同类中最好的，但您可能需要使用 Bouncy CaSTLe 或自己实现。