AEAD密码的优点是什么？

Question

AEAD密码的优点是什么？为什么TLS工作组在推动他们？我认为现代密码套件需要SHA256来进行认证。包含Poly1305有什么好处？

附加问题: TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256有GCM和SHA256。GCM用于什么，SHA256用于什么？似乎一个人所需要的就是GCM。

Answer 1

AEAD密码实现通常在内部进行加密，然后进行身份验证(而OpenSSL中的CBC密码没有)。TLS确实需要摆脱身份验证-然后加密，这需要专门处理CBC代码块密码，如AES。无论内部结构如何，AEAD密码都应该不受认证-然后加密所引起的问题的影响。

AEAD算法通常都有一个安全证明。这些安全证明当然依赖于底层的原语，但是它给了我们更多的信心，而不是更少。

这些密码器通常是单程(OCB，不常使用)、1.5 pass (GCM、Poly1305)或2 pass (EAX)。这意味着与使用CBC + (H)MAC的两种pass方案相比，它们通常具有执行速度优势。即使是EAX这样的方案，如果使用更高级的语言(Java、Python等)，也可以具有性能优势。用于实现TLS。这是因为为一个算法(EAX)创建一个完全优化的实现比在协议级别上创建两个算法(CBC + HMAC)更容易。内部EAX只是CTR + CMAC。

此外，AEAD方案通常可以(被迫)遵守RFC 5116。这意味着在处理IV和明文方面，所有的AEAD密码只需要一个接口。当然，允许CBC + HMAC也遵守此RFC也是可能的。

速度和安全性可能是谷歌在Chrome中已经支持ChaCha20 + Poly1305/AES的原因。由于房间里有一头大象，所以很难忽视丹尼尔·J·伯恩斯坦(DanielJ.Bernstein，et all)的这个计划。它是一个1.5PASEAD密码，在下面使用一个快速流密码，所以它的整体效率相当高。

Answer 2

AEAD密码的优点是什么？

这取决于计划之一，但它通常意味着：

• 只相信一种算法，而不是两种。
• 只做一次传球(这是世界上的一个理想，而不是它的结果)。
• 节省代码，有时也节省计算。

在嵌入式和IoT设置中，代码节省可能很重要。

为什么TLS工作组在推动他们？

我没有跟踪IETF本身，但是不正确地使用一个AEAD模式密码是相当困难的。一般来说，在密码学的通勤中，凯特可以犯的错误较少，涵盖的范围也更大。

我认为现代密码套件需要SHA256来进行认证。包含Poly1305有什么好处？

SHA256是一个坚实的散列，我想您的意思是在HMAC中使用它进行身份验证。例如，SuiteB (秘密)。它还需要信任SHA256和您的加密算法，以及SHA256的性能和内存需求，这可能不是很好。

来自poly1305部分的cr.yp.to：

Poly1305-AES有几个有用的特性：

• 保证安全，如果AES是安全的。有一个定理可以保证安全间隔非常小(对于16n字节的消息，每伪造一次n/2^(102))，甚至对于长期密钥(2^64消息)也是如此。攻击者破坏Poly1305-AES的唯一方法是破坏AES。
• 密码可替换性如果AES有什么问题，用户可以从Poly1305-AES切换到Poly1305-AnotherFunction，并提供相同的安全保证。
• 超高速。我的Poly1305-AES软件只需要3843个雅典周期，5361个奔腾Ⅲ周期，5464奔腾4周期，4611奔腾M周期，8464 PowerPC 7410周期，5905 PowerPC RS64 IV循环，5118个UltraSPARC II循环，或5601 UltraSPARC III循环来验证1024字节消息上的验证器。Poly1305-AES提供一致的高速，而不仅仅是一个喜欢的CPU的高速。
• 低的每条消息开销。我的Poly1305-AES软件只需要1232个奔腾4个周期，1264个PowerPC 7410周期，或1077个UltraSPARC III周期来验证64字节消息上的身份验证器。Poly1305-AES提供一致的高速，而不仅仅是长消息的高速。大多数竞争功能都是为长消息而设计的，而不注意短数据包的性能。
• 关键的灵活性。Poly1305-AES可以同时容纳数千个同步密钥到缓存中，即使键不在缓存，也能保持快速。Poly1305-AES提供了一致的高速，而不仅仅是单键基准测试的高速.几乎所有相互竞争的函数都对每个键使用一个大表；随着键数的增加，这些函数错过了缓存，并且大大减慢了速度。
• 等位性和递增性。Poly1305-AES可以利用额外的硬件来减少长消息的延迟，并且可以以较低的成本重新计算长消息的小修改。
• 没有知识产权索赔。我不知道任何与Poly1305-AES相关的专利或专利申请。