MACEEC singularidad / clave única

Si observa la especificación de GCM , verá en la página 15 que cuando el IV tiene una longitud exactamente de 96 bits, entonces el contador para el cifrado AES-CTR se inicializa en J ₀ = IV || 0 ₃₁ || 1 , es decir, el contador de 128 bits se construye agregando 31 bits de valor 0, luego un bit de valor 1. Los incrementos sucesivos al realizar el cifrado CTR alterarán los bits en estos 32 bits bajos. Por lo tanto, no hay superposición siempre que el marco de Ethernet no supere los cuatro mil millones de bloques, es decir, 64 gigabytes ... y un marco de Ethernet es mucho más corto que eso.

Descripción alternativa: si un marco usa IV x , entonces el valor del contador para ese marco comienza en el valor 2 ³² x +1 y subirá a 2 ³² x + 94 (para una trama Ethernet de 1500 bytes, un poco menos de 94 bloques). El siguiente cuadro usará IV x + 1 , para un contador que comienza en 2 ³² (x + 1) +1 = 2 ³² x + 2 ³² +1 , sin incurrir en ninguna superposición.

Nota: esto significa que sería bastante peligroso cifrar más de 64 gigabytes como una sola ejecución con GCM. Esto se establece explícitamente en la especificación, página 8: la longitud del texto sin formato no debe exceder los bits 2 ³⁹ -256 . Esto es más que suficiente porque, por definición , un modo de cifrado autenticado está destinado a proporcionar algunos garantías de integridad; por lo tanto, tiene sentido cuando los datos pueden ser alterados por el atacante; en consecuencia, el receptor de datos no lo utilizará hasta que haya verificado el MAC, lo que implica el almacenamiento en búfer de todo el "paquete". ¿Quién quiere almacenar 64 gigabytes de datos antes de poder comenzar su procesamiento? Cuando se usa GCM en TLS , el tamaño del búfer no superará los 17 kilobytes; y, en su caso, el tamaño máximo será el de un marco Ethernet, que alcanza un máximo de 9000 bytes incluso con marcos jumbo .