MACSEC nonce / chiave unicità

Se osservi la specifica GCM , vedrai a pagina 15 che quando l'IV ha una lunghezza esattamente di 96 bit, il contatore per la crittografia AES-CTR viene inizializzato su J ₀ = IV || 0 ₃₁ || 1 , cioè il contatore a 128 bit viene creato aggiungendo 31 bit di valore 0, quindi un bit di valore 1. Gli incrementi successivi quando si esegue la crittografia CTR modificheranno i bit in questi 32 bit bassi. Quindi, non c'è sovrapposizione fino a quando nessun frame ethernet è più grande di quattro miliardi di blocchi, cioè 64 gigabyte ... e un frame ethernet è infatti molto più corto di quello.

Descrizione alternativa: se un frame utilizza IV x , allora il valore del contatore per quel frame inizia con il valore 2 ³² x +1 e andrà su 2 ³² x + 94 (per un frame Ethernet da 1500 byte, un po 'meno di 94 blocchi). Il prossimo frame userà IV x + 1 , per un contatore che inizia a 2 ³² (x + 1) +1 = 2 ³² x + 2 ³² +1 , senza incorrere in sovrapposizioni.

Nota: questo significa che non sarebbe sicuro crittografare più di 64 gigabyte come una singola esecuzione con GCM. Questo è affermato esplicitamente nelle specifiche, pagina 8: la lunghezza del testo non deve superare i 2 ³⁹ -256 bit. Questo è più che sufficiente perché, per definizione , una modalità di crittografia autenticata ha lo scopo di fornire garanzie di integrità; quindi, ha senso quando i dati potrebbero essere modificati dall'attaccante; corrispondentemente, il destinatario dei dati non deve utilizzarlo fino a quando non ha verificato il MAC, che comporta il buffering dell'intero "pacchetto". Chi vuole bufferizzare gigabyte di 64 dati prima di poter iniziare l'elaborazione? Quando GCM viene utilizzato in TLS , la dimensione del buffer non supererà i 17 kilobyte; e, nel tuo caso, la dimensione massima sarà quella di un frame ethernet, che arriva a 9000 byte anche con frame jumbo .