Webセッションの機密性と整合性

ええと、あなたはare車輪の再発明をしていますが、少なくともそのために円形を使用しています。これは、他のほとんどの車輪の再発明者が行うよりも優れています。そして、率直に言って、すぐに使える高品質のホイールが少し不足しています。

IVでCBCを使用します（これは 強いPRNG で生成する必要があります）。それは良いことです。 encryptedデータにHMACを適用し、 それは良いことです 。 HMACへの入力にIVを含めることを忘れないでください。これは、the encrypt-then-MACの古典的な間違いでした。また、暗号化とMACに個別のキーを使用しています。これは素晴らしいことです。だから、本当に、まったく悪くはない。

次の点を考慮する必要があります。

• あなたのフォーマットでは、どのアルゴリズムが使用されているかが示されていないため、アルゴリズムの敏捷性：明日別の暗号化アルゴリズムに切り替えたい場合、既存のペイロードとの互換性を壊さずに切り替えることはできません（全長で遊んでいない限り）。クリーンなアルゴリズムの敏捷性のために、ヘッダーを追加することをお勧めします：従来の値を持つ1バイト。常に0x01（ペイロード形式の後続のバージョンは他の値を使用します）。重要な注意：これを行う場合は、HMAC入力にもヘッダーバイトを追加することを忘れないでください。

• 2つのキーK1とK2が不便な場合は、単一のキー[〜＃〜] k [〜＃〜]、およびderiveキーK1およびK2from[〜＃〜] k [〜＃〜]。導出プロセスが一方向で均一である限り、これは問題ありません。 2つのアルゴリズム間の厄介な相互作用を回避するために、暗号化キーとMACキーを区別する必要があります。 AES-CBCおよびHMAC/SHA-256の場合、そのような相互作用は知られていませんが、「申し訳ありませんよりも安全です」。あなたの場合、SHA-256で[〜＃〜] k [〜＃〜]をハッシュするだけで、前半（128ビット）をK1、K2の後半（128ビット）。

• 新しい 認証付き暗号化 モードがあり、暗号化と整合性チェックを組み合わせて、すべてのハードワークを実行します。特に、 [〜＃〜] gcm [〜＃〜] および [〜＃〜] eax [〜＃〜] は安全であると見なされ、特許はありません。それらはいくつかのボーナスを提供します：ランダム IV（カウンターなどの非反復IVで十分）、パディングの必要なし（内部でCTRモードに依存）、1つのキー（任意「拡張」は内部で処理されます）。

• ユーザーが複数のペイロードを取得できる場合は、それらを切り替えて古いペイロードを再生できます。状況に応じて、これは問題になる場合と問題にならない場合があります。

• キーがユーザー固有でない場合、共謀するユーザーはペイロードを交換する可能性があります。状況に応じて、これは問題になる場合と問題にならない場合があります。