キーがパスワードから生成されるときにAEAD暗号化アルゴリズムを使用するリスクはありますか?
スマートフォンで何かを暗号化する必要があります。データは比較的小さく、電話に暗号化されて保存されます。
パスワード(アプリのユーザーが選択)によって生成されたキーを使用してAES-GCMを考えていましたが、認証付き暗号化を使用すると、攻撃者がブルートフォース攻撃のためにMACをOracleとして使用する可能性があるのではないかと思います。キーの派生元のパスワード。
これについてどう思いますか?パスワードベースの派生キーを使用する場合、認証付き暗号化を使用しないでください。
ご意見ありがとうございます。
PBKDFのセキュリティ特性の1つは、元に戻せないことです。一致する出力が見つかるまでKDFを介して候補パスワードを実行して徹底的にテストしない限り、キーを知っていてもパスワードを取得できないはずです。
ですから、いいえ、あなたが検討している攻撃は実際には脅威ではないと思います。あなたshould可能な限り辞書攻撃からパスワードを保護するために、合理的である限り高い作業係数で適切なPBKDF関数を使用しますが、パスワードはキーから回復できません。 MAC自体からより少ない。
良いものを使用する場合 [〜#〜] pbkdf [〜#〜] ( Argon2 のように)パスワードのブルートフォースは、キーにパスワード。したがって、低エントロピーソース(パスワード)は、このプロセスを遅くすることによって保護されます。
後の手順で、キーはより大きなスペースからランダムにサンプリングされたように見えるはずであり、攻撃者はそれがパスワードからのものであることを知ることから利益を得ることはありません。
要するに:PBKDFは物事を行います
派生キーを生成します。これは、後続の操作で暗号化キーとして使用できます。
( ウィキペディア から)
それはまさにあなたが望むものです。