Я пытаюсь внедрить IPSEC в форме ESP в транспортном режиме с использованием aes в режиме galois/counter согласно RFC4106.
Я должен поместить вектор инициализации непосредственно перед зашифрованным текстом в преобразованном пакете.
Должен ли он быть частью аутентифицированных (но незашифрованных) данных? (Я предполагаю, что вы его не шифруете...)
Я не вижу, где это указано в RFC. Должно ли это быть очевидным, и если да, то почему?
Насколько я понимаю определение GCM, нет необходимости включать вектор инициализации в связанные данные - использование разных векторов инициализации в любом случае даст как разные результаты шифрования, так и другое значение проверки целостности.
Это преимущество использования комбинированного режима аутентификации и шифрования, вам не нужно заботиться о включении векторов инициализации в MAC.
Итак, чтобы закодировать пакет для ESP с помощью GCM, вы делаете следующее:
Для AES-GCM-ESP IV (esp iv из 8 байтов) не является частью AAD. AAD — это просто заголовок ESP. Обратите внимание, что IV, который передается в AES_GCM, представляет собой конкатенацию соли (четыре байта) + iv (esp iv из 8 байт). Некоторые аппаратные криптографические механизмы принимают IV как 16 байтов, и в этом случае вам нужно дополнить последние четыре байта, чтобы они были 0x0.
Посмотрите этот документ, он довольно аккуратный http://csrc.nist.gov/groups/ST/toolkit/BCM/documents/proposedmodes/gcm/gcm-revised-spec.pdf
Нет, вы не должны.
Это должно быть очевидно? Обычно да. Многие другие RFC для механизмов ESP включают тестовые векторы, чтобы развеять подобные вопросы. RFC4106 этого не делает. Это было замечено во время обсуждения, но не вошло в текст: https://www.ietf.org/mail-archive/text/ipsec/2005-08.mail
Однако есть черновик документа с тестовыми векторами: https://tools.ietf.org/html/draft-mcgrew-gcm-test-01 . Вы заметите, что IV (байты 4-11 "одноразового номера", 4956ed... в первом примере) включены открытым текстом в данные пакета. Они не включены ни в «открытый текст», ни в «aad», который представляет собой совокупность данных, аутентифицированных шифром GCM.
Учтите также, что IV для самого шифра GCM представляет собой конкатенацию соли и ESP IV, называемую «одноразовым номером», чтобы избежать двусмысленности. Соль получается из ключевого материала, согласованного во время IKE, поэтому она согласована между обеими конечными точками и постоянна для времени жизни SA.
По-видимому, оба очевидных ответа верны.
В соответствии с RFC 4543, в котором указывается ENCR_NULL_AUTH_AES_GMAC (аутентификация без шифрования), вы включаете IV.
Однако в том же RFC говорится, что для AES-GCM-ESP (шифрование и аутентификация) это не так.
Вооружившись этой информацией, теперь становится ясно, что это то, о чем RFC 4106 (в котором фактически указывается AES-GCM- ESP) тоже говорит, хотя сначала я интерпретировал это не так.
