无显式身份验证标记的AEAD

Question

我在试着理解AEAD中标签的用途。据我所知，由于身份验证标记的缘故，由此产生的密文将比明文稍长。如果身份验证标记嵌入到密码文本中(例如，通过对最后一个密文块执行异或/模块加法)，那么它会降低AEAD的安全性吗？

Answer 1

正如在RFC 5116中所讨论的，AEAD是加密和解密函数的元组：

• 一种加密函数，它获取密钥、当前、明文和报头(关联数据)，并生成密文和标签。
• 一种解密函数，它获取密钥、当前、密文和报头，并产生明文或解密失败指示。

您所关注的标记部分用于验证解密的明文(粗略地说)。

然而，在现实世界中，有一个要求有时可能是一个陷阱:对于大多数AEAD算法来说，现在必须是唯一的，才能安全。于是，聪明人发明了“确定性认证加密”(DAE，简称DAE)。(在某些上下文中使用键包装)。这些加密算法宣传了“抗误用”的特性。AES-SIV就是一个这样的例子。