爲什麼隨機IV適合AES-CBC但不適用於AES-GCM

Question

我一直使用AES-CBC進行加密，每次加密純文本時都使用隨機IV。據我所知，這是推薦的方法。

我一直在尋找到AES-GCM/AES-CTR，主要用於AEAD。我還沒有實現任何東西，但是從我讀過的所有東西中，基本上nonce只是一個簡短的IV，並且每個加密調用都有一個內部計數器。開發人員/需要確保在32位計數器循環返回之前的隨機數發生變化，否則相同的隨機數（IV）可能會與相同的密鑰一起使用，從而可能加密相同的純文本並泄漏加密密鑰。

我真的不明白的是爲什麼能夠AES-CBC是罰款與隨機IV，但一些什麼我已閱讀指示AES-GCM一個隨機數（IV）是一個壞主意。我能想到的唯一情況是AES-CBC的IV比AES-GCM的nonce更長，因此AES-GCM可能出現重複隨機數的可能性更大。

我需要加密從幾個字節到10 - 20 GB的任何地方的數據。我知道AES-GCM對於在計數器週期之前可以加密的數據大小（〜60GB）有限制。由於我的數據低於此限制，因此我可以解決此限制。

能有人能夠解釋爲什麼一個隨機數不建議AES-GCM一些輕？

Answer 1

GCM是計數器模式（CTR）的變體。正如你所說，使用Counter Mode的任何變體，必需的 Nonce不用相同的密鑰重複。因此，CTR模式Nonces通常包括一個計數器或一個計時器元素：保證不會在密鑰的生命週期內重複。

如果隨機值是完全隨機的，然後有一個小的機會，它會重複。這個問題很容易避免，因此建議不要使用隨機數。

在CBC模式下，IV會清除第一個塊的內容。如果第一個塊沒有改變（或者使用了固定的IV），那麼第一個塊（僅）的加密實際上處於ECB模式，這是不安全的。 CBC模式的隨機IV避免了這個問題。

因此，在處理的區別：CTR（等GCM其從它派生模式）需要一個保證唯一隨機數。像CBC這樣的模式需要隨機IV。

Answer 2

GCM基於CTR模式，並且如果隨機數與相同的密鑰（very nice example）重複使用，則會繼承多次填充（或兩次填充）問題。如果IV在CBC模式中被重用，那麼觀察者可以檢測到的唯一事情就是消息前綴的相等性。

觀察者可以檢測到先前發送的消息是以CBC模式再次發送的，這可能不會給他們太多，但是CTR可以讓他們能夠推斷消息的內容，如果關於消息的結構的一些信息內容是已知的。

AES-GCM模式的隨機數預計爲96位長。如果你隨機產生的隨機數，則預計後2 ^n/2個 = 2 ^48條消息（參見生日問題），以產生一個重複的隨機數。也就是說，如果使用相同的密鑰生成加密消息，則生成重複隨機數的概率爲50％。這是相當多的消息，但它可能發生得更早。

Answer 3

你從哪裏讀到你不能使用隨機nonce/IV來進行GCM？

使用默認的隨機數（12個字節或96位），由於生日問題，碰撞的可能性不大。好的，所以密文的數量是有限的，但這並不意味着在這之前你仍然可以生成2^30（十億）條消息，這可能會帶來任何確定性。

另請閱讀NIST specification的第8.2節和第8.3節，該章已經很清楚地說明了主題（確定性IV值和隨機生成的值都指定了2^32）。