AEAD (Аутентифицированное шифрование со связанными данными)
Что такое AEAD (Аутентифицированное шифрование со связанными данными)?
AEAD (Аутентифицированное шифрование со связанными данными)Примитив симметричного шифрования, который обеспечивает конфиденциальность, целостность и аутентичность за одну операцию, с возможностью привязать незашифрованные «связанные данные» (заголовки, информацию о маршрутизации) к аутентификационному тегу шифротекста.
Аутентифицированное шифрование со связанными данными (AEAD) — это современный строительный блок симметричной криптографии. Схема AEAD принимает ключ, nonce, открытый текст и произвольные связанные данные (AD) и выдаёт шифротекст вместе с аутентификационным тегом; при расшифровании она возвращает открытый текст только в том случае, если тег проходит проверку, в противном случае отказывая. Связанные данные аутентифицируются, но не шифруются, что позволяет протоколам привязывать незашифрованный контекст — такой как заголовки пакетов, порядковые номера или метаданные версии — к шифротексту, никогда не отправляя их в зашифрованном виде.
По сравнению с композициями encrypt-then-MAC или MAC-then-encrypt, AEAD устраняет целые классы ошибок и является тем, что использует каждый современный протокол — TLS 1.3, QUIC, IPsec ESP-GCM, Signal, Noise, WireGuard, JWE. История показывает, почему это важно: атаки Lucky 13 (2013) и POODLE (CVE-2014-3566) обе эксплуатировали хрупкую конструкцию MAC-then-encrypt в режиме CBC в TLS, а переход к защите записей на основе AEAD закрыл эти двери. Формальная модель была определена Рогуэем (Rogaway) в 2002 году и стандартизирована как RFC 5116, а конкретные схемы зарегистрированы IANA.
Доминирующими схемами AEAD являются AES-GCM (с аппаратным ускорением через AES-NI и PCLMULQDQ) и ChaCha20-Poly1305 (RFC 8439, быстрая в программной реализации на мобильных процессорах). Обе катастрофически выходят из строя, если пара (ключ, nonce) повторяется — повторное использование nonce в GCM может привести к утечке ключа аутентификации. Там, где уникальность nonce не может быть гарантирована, устойчивая к неправильному использованию nonce схема AES-GCM-SIV (RFC 8452) ограничивает утечку лишь тем, были ли два открытых текста одинаковыми. Всегда предпочитайте проверенный AEAD самодельной композиции типа encrypt-and-MAC.
flowchart LR
K[Ключ] --> ENC
N[Nonce] --> ENC
P[Открытый текст] --> ENC[Шифрование AEAD]
AD[Связанные данные<br/>заголовки · ID] --> ENC
ENC --> CT[Шифротекст]
ENC --> TAG[Аутентификационный тег]
CT --> DEC[Расшифрование AEAD]
TAG --> DEC
AD --> DEC
K --> DEC
N --> DEC
DEC --> V{Тег действителен?}
V -->|Да| OUT[Вернуть открытый текст]
V -->|Нет| REJ[Отклонить · открытый текст не раскрыт]● Примеры
- 01
TLS 1.3 шифрует каждую запись с помощью AES-128-GCM или ChaCha20-Poly1305, используя байты заголовка записи в качестве связанных данных.
- 02
Протокол хранит зашифрованные по документам блобы в базе данных; идентификатор документа передаётся как AD, чтобы злоумышленник не мог поменять местами шифротексты между документами, не сломав тег.
● Частые вопросы
Что такое AEAD (Аутентифицированное шифрование со связанными данными)?
Примитив симметричного шифрования, который обеспечивает конфиденциальность, целостность и аутентичность за одну операцию, с возможностью привязать незашифрованные «связанные данные» (заголовки, информацию о маршрутизации) к аутентификационному тегу шифротекста. Относится к категории Криптография в кибербезопасности.
Что означает AEAD (Аутентифицированное шифрование со связанными данными)?
Примитив симметричного шифрования, который обеспечивает конфиденциальность, целостность и аутентичность за одну операцию, с возможностью привязать незашифрованные «связанные данные» (заголовки, информацию о маршрутизации) к аутентификационному тегу шифротекста.
Как защититься от AEAD (Аутентифицированное шифрование со связанными данными)?
Защита от AEAD (Аутентифицированное шифрование со связанными данными) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия AEAD (Аутентифицированное шифрование со связанными данными)?
Распространённые альтернативные названия: Аутентифицированное шифрование, Схема AEAD.