如果手工对 AES-GCM 算法的明文(和密文)分段，用上一段的 Authentication tag 作为下一段的 Associated data，是否会带来额外安全风险？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

› RANDOM.org 密码生成器

› uBlock

› Authy

› LastPass

› FreebuF.com

› Beebeeto

› Dashlane 密码管理器

这是一个创建于 1097 天前的主题，其中的信息可能已经有所发展或是发生改变。

需求是这样的，用.NET 和带认证(AEAD)的算法加密合理长度的文件(几 KB 到一二百 G 不等)。

问题是：

我不可能把整个文件都加载进内存，一次性传给AesGcm.Encrypt()方法。

但是.NET 库没有为 AES-GCM 提供流式操作方法。

(因为 AES-GCM 解密时，必须在所有块处理完毕后才能验证 Authentication tag 的有效性，而流式操作会在验证 Authentication tag 前返回解密后的明文。这时无法确定已经解密的部分是否曾遭到篡改，Github 讨论如下。）

https://github.com/dotnet/runtime/issues/23365

我的想法是：

1.把文件切分成 1M 的数据段处理。

2.对于每个文件，使用唯一的 key 。

3.使用每一段的序号作为加密这一段时使用的 nonce 。

4.对第 n 段加密操作产生的 Authentication tag，作为 n+1 段的 Associated data 。第 1 段的 Associated data 使用 128 位 0 。

5.记录第 1 段的 Authentication tag 以启动加密过程，记录最后一段的 Authentication tag 以验证密文是否遭到篡改。

6.保证在最后一段验证完成前，除了写入到临时文件中，不对已经解密的文件进行任何处理。

tag1, cipherText1 = AES-GCM(plainText1, key, nonce=1, associatedData=0)

tag2, cipherText2 = AES-GCM(plainText2, key, nonce=2, associatedData=tag1)

...

tagN, cipherTextN = AES-GCM(plainTextN-1, key, nonce=n, associatedData=tagN-1)

然后 tag1，tagN，cipherText 1-N 作为密文存储。

这样操作除了失去并行计算能力外，是否会带来额外的脆弱性，使最终的安全性比一次性使用 AES-GCM 算法加密所有数据差？(不考虑文件大于 64GB 时一次性使用 AES-GCM 加密的 counter 重复问题)

7 条回复 • 2021-04-18 21:21:05 +08:00

billlee

2021-04-18 16:34:57 +08:00

1. associated data 不是必须的，如果没有不需要加密、但需要 authentication 的数据，就不用传
2. 流式解密没有问题，最后如果检验 tag 不成功，再回退（在文件加密的场景就是删除解密出来的文件）就行了。

3dwelcome

2021-04-18 16:52:32 +08:00

"对第 n 段加密操作产生的 Authentication tag，作为 n+1 段的 Associated data 。"

Authentication tag 目的是验证 Associated data 是否正确，就好比对 Associated data 进行一次散列化操作，解密时验证一次 Authentication tag, 看 Associated data 和加密内容里，有没有遭到修改。

正常来说，TLS 官方推荐的 Associated data 都是用序列号，没听说过直接用上一次散列值的。就好比 SHA1()安全性和 SHA1(SHA1())安全性来比较，这样用好像也没什么特别的意义。

3dwelcome

2021-04-18 17:01:54 +08:00

"3.使用每一段的序号作为加密这一段时使用的 nonce 。"

我看 TLS 协议里，AEAD 算法的 nonce，用的都是 unpredictable IV, 也就是随机数，不知道你用序列号来替代，有没有问题。