AES密钥包装的优点是什么，而不是添加一个随机的现在呢？

Question

我对使用AES KEK (密钥加密密钥)包装AES DEK (数据加密密钥)的方法很感兴趣。在加密之前，使用AES密钥包装，如RFC 3394中定义的而不是简单地向DEK添加一个随机的现在有什么好处吗？

上下文:我的KEK基于TPM2.0(可信平台模块)，设备规范不包括AES密钥包装，并且支持有限的分组密码操作模式(GCM不包括)。

因此，我想知道是否足够将密钥包装如下：

• 通过向DEK附加一个32字节的随机值来准备纯文本。
• 使用循环流化床运行方式
• 使用随机的16字节IV (初始化向量)
• 基于AES256的KEK加密

Answer 1

AES密钥包装的优点是验证了数据的完整性。解密时，必须检查产生的IV，如果不是初始值，则数据已被篡改。

使用循环流化床并不是一种很好的操作方式，因为它不提供完整性检查。如果您想使用它，使用它的标准方式，即提供一个正常的IV，而不是前面的数据到纯文本，并使用HMAC-SHA-256来覆盖加密的数据(而不是明文)和IV。在这种情况下使用的密钥应该独立于您用来加密数据的密钥，但您可以使用带有类似HKDF的KDF的单一输入来派生两者。