這是一系列博客文章中最新的一篇，該文章列舉了“每個博士生在做密碼學時應該知道的52件事”:一系列問題的匯編是為了讓博士生們在第一年結束時知道些什么。這篇文章將從“安全定義和證明”一節(jié)開始，對認證加密進行簡要概述。

AEAD

Luke在最近的一篇文章中描述了一些常用的塊密碼操作模式(ECB、CBC和CTR)，這些模式只提供隱私(機密性)。我們還可能需要加密機制的完整性，即確保接收方接收到的消息是在沒有意外更改或故意篡改的情況下發(fā)送的消息，而真實性則意味著接收方確信消息的來源。為了實現(xiàn)這些額外的目標，我們經(jīng)常使用消息身份驗證碼(MAC)，最廣泛使用的是基于塊密碼和基于哈希函數(shù)的消息驗證碼(HMAC)。整理這兩個原語中是重要的:得到一個IND-CCA安全方案我們需要遵循“Encrypt-then-MAC”范式與一個安全的加密方案和強不可偽造MAC,意味著計算密文的MAC(更多信息請看這里和這里關注為什么他們（Encrypt-and-MAC和MAC-then-Encrypt）應該避免一個)。“AD”指的是可變長度的相關數(shù)據(jù)，如信息包頭，我們通常期望這個可選組件的真實性和完整性，而不是機密性。更多的閱讀和例子，請參見Adam Langley關于這個話題的博客。

IND-CCA

下周的博客將會深入研究IND-CCA2安全在一個公鑰加密的上下文。在真隨機數(shù)下的IND-CCA2（和IND-CCA1）安全定義是給攻擊者一個加密oracle的權利，加密oracle的密鑰是固定的。輸入消息m，返回一個加密過的Ek(m)或者返回一個Ek($^|m|)，同時也給一個解密oracle給出密文c，然后返回D_k( c )。然后攻擊者進行區(qū)分。在2004年，Shrimpton展示了一種新的被稱為IND-CCA3的概念，解密oracle對一個無法解密的oracle會返回一個不合法的符號，與之前考慮過的AE概念相同，其中隱私和真實性/完整性的概念分別進行研究。這一觀察結果被納入Rogaway 和 Shrimpton’s的論文中，研究密鑰包裝問題和確定性認證加密。有關關聯(lián)數(shù)據(jù)影響的更多信息，請參見此處和此處。

CCM和GCM

實際上，大量組織使用CCM模式和GCM模式。CCM模式是一種計數(shù)模式和CBC-MAC使用MAC-then-Encrypt方法構造的。GCM是塊密碼的計數(shù)模式和基于多項式的哈希函數(shù)GHASH使用Encrypt-then-MAC構造的。CCM相對沒有效率，每次需要兩個塊密碼的調用，同時CCM也不是在線的（每次在處理消息之前需要知道消息的長度）。GCM在這篇文章里也有一些缺點：http://eprint.iacr.org/2011/202

CAESAR competition

凱撒密碼競賽目前正在進行中，目的是在經(jīng)過徹底的學術公眾審查的基礎上，選擇一組經(jīng)過認證的密碼進行推薦。主要目標之一是讓更多的研究人員思考這樣一個重要的主題，而第一輪提交的大量論文(性質各異)表明，這一目標已經(jīng)實現(xiàn)。第二輪的候選名單預計將于下周公布，提交的名單可以在AE Zoo(https://aezoo.compute.dtu.dk/doku.php)找到，由DTU的一些研究人員管理。

Bristol 52

競賽已經(jīng)結束。(2020年)
原文鏈接：https://www.cnblogs.com/zhuowangy2k/p/12245563.html
轉載鏈接：http://bristolcrypto.blogspot.com/2015/04/52-things-number-27-what-is-aead.html

總結

以上是生活随笔為你收集整理的[密码学基础][每个信息安全博士生应该知道的52件事][Bristol Cryptography][第27篇]什么是对称密码加密的AEAD安全定义？的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內容還不錯，歡迎將生活随笔推薦給好友。