openssl EVP_aes_256_gcm - cosa c'è dentro?

La pagina di Wikipedia ha alcune spiegazioni e un bel schema; e lo standard GCM è abbastanza chiaro. Per semplificare le cose, la crittografia effettiva viene eseguita in modalità CTR, ma la parte MAC utilizza operazioni aggiuntive (moltiplicazioni in un campo finito di caratteristica 2 e una crittografia di blocco aggiuntiva). Se crittografate 16n byte, userete n + 1 chiamate di crittografia a blocchi AES, n + 2 moltiplicazioni in GF (2 < sup> 128 ) e alcuni XOR. Non è richiesto per capire come GCM lavora internamente per utilizzare un'implementazione di GCM; ma aiuta.

In particolare, IV può avere una lunghezza qualsiasi, ma i valori IV oltre 96 bit non sono davvero interessanti per la sicurezza, motivo per cui OpenSSL si limita a 12 byte. La "dimensione del blocco" pubblicizzata da OpenSSL è 1 perché, grazie all'uso interno del CTR, la dimensione del messaggio crittografato non sarà "arrotondata" a causa di alcuni padding (tuttavia, per il MAC è previsto un overhead di dimensioni fisse.

La modalità Galois / Counter è una modalità di funzionamento a sé stante . Da quel documento, GCM prende una primitiva (ad esempio AES) e aggiunge le due funzioni galois:

The two functions that comprise GCM are called authenticated encryption and authenticated decryption. The authenticated encryption function encrypts the confidential data and computes an authentication tag on both the confidential data and any additional, non-confidential data. The authenticated decryption function decrypts the confidential data, contingent on the verification of the tag.

Queste funzioni sono definite più avanti nel documento. In particolare, la funzione GCTR sembra molto simile alla modalità Counter standard, su cui è basata e prende il nome. In questa modalità, aggiunge crittografia e decifratura autenticate in modo corretto.

Questo riduce la necessità di eseguire encrypt-then-mac da soli, dato che i dati che falliscono l'autenticazione non possono essere decifrati.