Tiêu chuẩn quốc gia TCVN 12197:2018 về Công nghệ thông tin - Các kỹ thuật an toàn

6.3  Yêu cầu riêng

Trước khi bắt đầu sử dụng cơ chế này, bên gửi và bên nhận dữ liệu có áp dụng cơ chế mã hóa có sử dụng xác thực cần phải thỏa thuận độ dài nhãn t bit, trong đó 0 < t ≤ n.

6.4  Định nghĩa hàm M₂

Định nghĩa các thủ tục mã hóa và giải mã yêu cầu định nghĩa hàm M₂ nhận khối n bit ở đầu vào và trả về một khối n bit ở đầu ra. Định nghĩa hàm này tùy thuộc vào khối n bit P. Vì n phải tương ứng với độ dài bit mã khối được liệt kê trong TCVN 11367-3, tiêu chuẩn này chỉ xác định P cho n = 64 và n = 128.

a) Nếu n = 64 thì P = 0⁵⁹||11011.

b) Nếu n = 128 thì P = 0¹²⁰||10000111.

Hàm M₂ được định nghĩa như sau. Nếu X là một khối n bit thì:

a) Nếu bit tận cùng bên trái (bit trọng số cao) của X là 0 thì M₂(X) = X <<1;

b) Nếu bit tận cùng bên trái (bit trọng số cao) của X là 1 thì M₂(X) = [X<<1]ÅP

...

...

...

Định nghĩa thủ tục xử lý dữ liệu xác thực bổ sung yêu cầu định nghĩa hàm M₃ nhận một khối n bit ở đầu vào và đưa một khối n bit ở đầu ra. Nếu X là một khối n bit thì:

M₃(X) = M₂(X) Å X

6.6  Định nghĩa hàm J

Hàm J nhận một khối bit B ở đầu vào (trong đó len(B) > 0), đưa một khối J(B) n bit ở đầu ra. Giá trị J(B) được tính toán như sau:

a) Chia B thành chuỗi các khối: B₁, B₂,..., B_w như sau: B₁ chứa n bit đầu tiên của B, B₂ chứa n bit tiếp theo, cứ như thế cho đến B_w chứa k bit sau cùng, trong đó 0 < k ≤ n.

Do đó, len[B) = (w-1)n+k.

b) Đặt F = M₃,(M₃,(e_k(0ⁿ))).

c) Đặt C₀ = 0ⁿ

d) Với i = 1, 2,..., w-1, thực hiện 2 bước như sau:

...

...

...

2) Đặt C_i = C_i-1 Å e_k (B_i Å F)

e) Đặt F = M₃(M₂(F)).

f) Nếu k<n thì thực hiện 2 bước như sau:

1) Đặt F = M₃(F).

2) Đặt B_w = B_w||1||0^n-k-1

g) J(B) = e_K(C_w-1 Å B_w Å F)

6.7  Thủ tục mã hóa

Bên gửi thực hiện các bước sau để bảo vệ chuỗi dữ liệu D.

a) Lựa chọn biến khởi tạo S n bit. Biến S là riêng biệt đối với mỗi bản tin được bảo vệ, phải sẵn sàng tại bên nhận bản tin. Tuy nhiên, S là không cần thiết khi giá trị này không suy đoán ra được hoặc mang tính bảo mật.

...

...

...

b) Chia D thành chuỗi các khối: D₁, D₂,..., D_m. D₁ chứa n bit đầu tiên của D, D₂ chứa n bit tiếp theo, cứ như thế cho đến D_m chứa r bit cuối cùng, trong đó 0 < r ≤ n. Do đó, len(D) = (m-1)n+r.

c) Đặt F = e_k(S) và H = 0ⁿ.

d) Với i = 1, 2 ..., m-1, thực hiện 3 bước:

1. Đặt F = M₂(F).

2. Đặt H = H Å D_i

3. Đặt C_i = F Å e_k(D_i Å F)

e) Đặt F = M₂(F).

f) Đặt Z = _ek(#_n(r) Å F)

g) Đặt C_m = D_m Å Z|_r

...

...

...

i) Đặt T= [e_k(H Å M₃(F))]|_t

j) Nếu len(A) > 0, thì đặt T = T Å J(A)|_t

Đầu ra của quá trình trên, hay bản mã hóa có sử dụng xác thực của D là chuỗi bit:

C = C₁||C₂||...||C_m||T

Hay C là một chuỗi (m-1)n+r+t bit, tức là C chứa nhiều hơn D t bit (mặc dù nó phải cần mang thêm n bit biến khởi tạo S và chuỗi A bit dữ liệu đã được xác thực bổ sung có độ dài thay đổi đến bên nhận).

6.8  Thủ tục giải mã

Bên nhận thực hiện các bước sau để giải mã và chứng nhận một chuỗi C đã được mã hóa có sử dụng xác thực.

a) Nếu độ dài của C nhỏ hơn t thì dừng, thông báo là INVALID (không hợp lệ).

b) Đặt m và r là các số nguyên duy nhất xác định sao cho C chứa tổng số (m-1)n+r+t bit, trong đó 0 < r ≤ n. Chia C thành một chuỗi các khối: C₁, C₂, ..., C_m, T. Đặt C₁ chứa n bit đầu tiên của C, C₂ chứa n bit tiếp theo, cứ như thế đến khi C_m chứa r bit tiếp theo của C. Cuối cùng đặt T là t bit cuối cùng của C.

...

...

...

d) Với i = 1, 2..., m-1, thực hiện 3 bước:

1. Đặt F = M₂(F).

2. Đặt D_i = F Å d_k (C_i Å F)

3. Đặt H = H Å D_i

e) Đặt F = M₂(F).

f) Đặt Z = e_k (#_n(r) Å F)

g) Đặt D_m = C_m Å Z|_r

h) Đặt H = H Å [D_m||(Z|^n-r)]

i) Đặt T' = [e_k(H Å M₃(F))]|_t

...

...

...

k) Nếu T = T' thì đầu ra là D và dữ liệu A đã được xác thực bổ sung. Ngược lại đầu ra là INVALID (không hợp lệ).

7  Cơ chế mã hóa có sử dụng xác thực 2 (Key Wrap)

7.1  Giới thiệu

Phần này trình bày về cơ chế mã hóa có sử dụng xác thực thường được biết đến với tên gọi là Key Wrap.

CHÚ THÍCH 1: Lược đồ này được thiết kế cơ bản cho mã hóa có sử dụng xác thực khóa và thông tin đi kèm. Nó được thiết kế để sử dụng với các chuỗi dữ liệu ngắn. Tuy nhiên, lược đồ có thể được sử dụng với các chuỗi dữ liệu có độ dài tùy ý (tối đa lên tới 2⁶⁷ bit), dù không đạt hiệu quả bảo vệ với các bản tin dài.

CHÚ THÍCH 2: Mô hình này được biết đến với tên gọi là AES Key Wrap khi mã khối AES được sử dụng, trong đó AES là chữ viết tắt của Advanced Encryption Standard (Chuẩn mã hóa nâng cao), một thuật toán mã khối được trình bày chi tiết trong TCVN 11367-3. AES Key Wrap cũng được trình bày chi tiết trong [10] và [12].

7.2  Ký hiệu riêng

C₀, C₁, ..., C_m

Chuỗi (m+1) khối 64 bit thu được như đầu ra quá trình mã hóa có sử dụng xác thực.

...

...

...

Chuỗi m khối 64 bit thu được qua việc phân chia D, tức là 64m = len(D).

R₁, R₂,..., R_m

Chuỗi m khối 64 bit được tính toán trong 1 quá trình mã hóa và giải mã.

Y

Z

Khối 64 bit được sử dụng trong quá trình mã hóa và giải mã.

Khối 128 bit được tính toán trong quá trình mã hóa và giải mã.

7.3  Yêu cầu riêng

Mã khối được sử dụng trong cơ chế này phải là mã khối 128 bit, tức là phải có n=128.

...

...

...

7.4  Thủ tục mã hóa

Bên gửi thực hiện theo các bước sau để bảo vệ chuỗi dữ liệu D:

a) Chia D thành một chuỗi m khối 64 bit D₁, D₂,..., D_m, do đó D₁ chứa 64 bit đầu tiên của D, D₂ chứa 64 bit tiếp theo của D và cứ thế.

b) Đặt Y là khối 64 bit biểu diễn theo hệ hexa A6A6A6A6A6A6A6A6 hoặc theo hệ nhị phân (10100110 10100110 ....10100110).

c) Với i = 1, 2,..., m

Đặt R_i = D_i

d) Với i = 1, 2,... 6m, thực hiện 4 bước:

1. Đặt Z = e_k(Y||R₁).

2. Đặt Y=Z|₆₄ Å #₆₄(i)

...

...

...

Đặt Rj = R_j+1

4. Đặt R_m = Z|⁶⁴

e) Đặt C₀ = Y.

f) Với i = 1,2..., m:

đặt C_i = R_i

Đầu ra của quá trình trên hay bản mã hóa có sử dụng xác thực của D là chuỗi bit:

C = C₀||C₁||...C_m

Hay C là một chuỗi 64(m+1) bit, nghĩa là C chứa nhiều hơn D 64 bit.

7.5  Thủ tục giải mã

...

...

...

a) Nếu len(C) không là một bội số của 64 hoặc nhỏ hơn 192, dừng và thông báo là INVALID (không hợp lệ).

b) Chia C thành chuỗi m+1 khối 64 bit C₀, C₁, ..., C_m do đó C₀ chứa 64 bit đầu của C, C₁ chứa 64 bit tiếp theo và cứ thế tiếp tục.

c) Đặt Y = C₀

d) Với i = 1, 2,..., m:

Đặt R_i = C_i

e) Với i = 6m, 6m-1, giảm đi 1, thực hiện các bước sau:

1. Đặt Z = d_k ([Y Å #₆₄ (i)]||R_m)

2. Đăt Y = Z|₆₄

3. Với j=m, m-1,..., 2:

...

...

...

4. Đặt R₁ = Z|⁶⁴

f) Nếu Y = (10100110 10100110 10100110 ... 10100110) thì đầu ra là D = R₁||R₂||...||R_m. Ngược lại đầu ra là INVALID.

8  Cơ chế mã hóa có sử dụng xác thực 3 (CCM)

8.1  Giới thiệu

Phần này trình bày về cơ chế mã hóa có sử dụng xác thực thường được biết đến với tên gọi là CCM (Counter with CBC-MAC).

CHÚ THÍCH CCM là do Whiting, Housley và Ferguson đề xuất [13]. Phiên bản CCM được trình bày trong tiêu chuẩn này là một trường hợp CCM đặc biệt được định nghĩa trong [11] và [13].

8.2  Ký hiệu riêng

Cơ chế này sử dụng các ký hiệu và chú giải sau:

B

...

...

...

C₁, C₂,..., C_m

Khối bit được sử dụng trong tính toán giá trị nhãn.

Chuỗi các khối bit (mỗi khối n bit) được sử dụng trong tính toán giá trị nhãn.

Chuỗi m khối 128 bit là thành phần đầu ra thu được của quá trình mã hóa có sử dụng xác thực.

D₁, D₂,..., D_m

F

L

r

...

...

...

Octet cờ.

Độ dài của D (tính theo octet), không bao gồm phần đệm và độ dài khối D₀.

Số lượng octet của D trong khối D_m.

S

T

T'

U

v

w

...

...

...

Y

Biến khởi tạo (trong 120-8w bit).

Giá trị nhãn bản mã (trong t bit).

Giá trị nhãn được tính toán lại, sinh ra trong quá trình giải mã.

Giá trị nhãn đã được mã hóa (trong t bit).

Biến được sử dụng trong tính toán giá trị nhãn.

Độ dài trường độ dài bản tin tính theo octet.

Khối 128 bit được tính toán trong quá trình mã hóa và giải mã.

Khối 128 bit được tính toán trong quá trình mã hóa và giải mã.

...

...

...

Trước khi bắt đầu sử dụng cơ chế này, bên gửi và bên nhận dữ liệu có áp dụng cơ chế mã hóa có sử dụng xác thực phải thỏa thuận:

a) t là độ dài nhãn tính theo bit; t phải được chọn từ tập hợp {32, 48, 64, 80, 96, 112, 128}.

b) w là độ dài trường độ dài bản tin tính theo octet; w được chọn từ tập hợp {2, 3, 4, 5, 6, 7, 8}.

CHÚ THÍCH Việc lựa chọn w ảnh hưởng đến độ dài bản tin lớn nhất có thể bảo vệ được. Độ dài bản tin lớn nhất là 2^8w+3, hay 2^8w octet.

Mã khối được sử dụng trong cơ chế này phải là mã khối 128 bit, tức mã khối phải có n=128.

Chuỗi dữ liệu D đã được bảo vệ qua áp dụng cơ chế này và chuỗi dữ liệu A được xác thực bổ sung, phải chứa toàn bộ số lượng octet, tức độ dài của chuỗi phải là một bội số của 8 bit (tức là cả hai len(D) và len(A) phải là bội số nguyên của 8).

8.4  Thủ tục mã hóa

Bên gửi thực hiện các bước sau để bảo vệ chuỗi dữ liệu D. Đặt L=len(D)/8, tức L là số lượng octet trong D.

a) Lựa chọn biến khởi tạo S chứa 15-w octet (hay 128-8W bit). Biến S là riêng biệt đối với mỗi bản tin được bảo vệ, phải sẵn sàng tại bên nhận bản tin. Tuy nhiên, S là không cần thiết khi giá trị này không suy đoán ra được hoặc có mang tính bí mật.

...

...

...

b) Đệm phải chuỗi dữ liệu D với 16-r octet 0 (tức là các bit 0 giữa 0 - 120) sao cho phần đệm của D chứa một bội số của 128 bit. Sau đó chia phần đệm của D thành chuỗi m khối 128 bit D₁, D₂, ..., D_m, sao cho D₁ chứa 128 bit đầu của D, D₂ chứa 128 bit tiếp theo của D và cứ thế tiếp tục.

CHÚ THÍCH Giá trị m phải thỏa mãn 16(m-1) < L < 16m.

c) Nếu len(A)= 0 thì đặt octet cờ F = 0²||#₃ ((t -16)/16)||#₃ (w -1)

d) Nếu len(A)> 0 thì đặt octet cờ F = 0||1||#₃ ((t -16)/16)||#₃ (w -1)

CHÚ THÍCH Bit trọng số cao (bit trái) của F là một bit ‘dự phòng’, tức là nó được đặt là 0 với phiên bản cơ chế được mô tả chi tiết ở đây, nhưng có thể được sử dụng trong tương lai sau này trong các phiên bản khác của cơ chế (chưa được mô tả). Tiếp đến bit trọng số cao F được đặt về 0 để chỉ thị rằng tất cả dữ liệu đang được bảo vệ bởi cơ chế là đã được mã hóa.

e) Đặt X = e_k(F||S||#_8w(L))

f) Nếu len(A) > 0 thì thực hiện 6 bước sau:

1. Nếu 0 < len(A) < 65280 thì đặt B = #₁₆ (len(A) / 8)|| A

2. Nếu 65280 ≤ len(A) < 2³² thì đặt B = 1¹⁵||0||#₃₂ len(A) / 8)|| A

...

...

...

4. Chia B thành chuỗi các khối: B₁, B₂,..., B_v, như vậy: đặt B₁ chứa n bit đầu tiên của B, B₂ chứa n bit tiếp theo của B và cứ thế tiếp tục, cho đến khi B_v chứa k bit sau cùng, trong đó 0 < k ≤ n; do đó, len(B) = (v-1)n+k;

5. Đệm phải B_v với n-k số 0, tức đặt B_v = B_v||0^n-k

6. Với i = 1, 2,..., v:      

Đặt X = e_k(X Å B_i)

g) Với i = 1, 2,..., m:

Đặt X = e_k(X Å D_i)

h) Đặt T = X|_t    

CHÚ THÍCH Nhãn bản gốc T tương đương với một MAC đã được tính toán trên chuỗi dữ liệu B₁, B₂,..., B_v, D₁, D₂,..., D_m bằng cách sử dụng một phiên bản sửa đổi nhỏ của thuật toán 1 MAC được trình bày chi tiết trong TCVN 11495-1.

i) Đặt cờ octet F = (0⁵|#₃(w - 1) và đặt Y = (F||S||0^8w)

...

...

...

i) Đặt U = TÅ[e_k(Y)]|_t

k) Với i = 1, 2,..., m-1, thực hiện 2 bước sau:

1. Đặt Y = (F||S||#_8w(i))

2. Đặt C_i = D_i Å e_i(Y)

l) Đặt Y = (F|S||#_8w(m)) và đặt C_m = [D_mÅe_k(Y)]|_8r

Đầu ra của quá trình trên, tức bản mã hóa có sử dụng xác thực của D là chuỗi bit:

C = C₁||C₂||...||C_m-1||C_m||U

Hay C là một chuỗi chứa 8L+t bit, nghĩa là chuỗi C chứa nhiều hơn chuỗi dữ liệu gốc D t bit (mặc dù nó phải cần mang thêm (128-8w) bit biến khởi tạo S và dữ liệu A đã được xác thực bổ sung có độ dài thay đổi đến bên nhận).

8.5  Thủ tục giải mã

...

...

...

a) Nếu C không chứa toàn bộ số lượng octet, dừng và đưa ra INVALID (không hợp lệ).

b) Nếu độ dài của C nhỏ hơn (t+8) bit, thì dừng và đưa ra INVALID (không hợp lệ).

c) Đặt m và r là các số nguyên duy nhất sao cho C chứa một tổng 128(m-1)+8r+t bit, trong đó 0 < r ≤ 16. Chia C thành một chuỗi các khối: C₁, C₂,..., C_m, U. Đặt C₁ chứa 128 bit đầu tiên của C, C₂ chứa 128 bit tiếp theo của C và cứ tiếp tục như vậy cho đến khi C_m chứa 8r bit tiếp theo của C.

Sau cùng, đặt U là t bit cuối cùng của C.

d) Đặt octet cờ F = (0⁵||#₃(w - 1) và đặt Y = (F||S||0^8w)

e) Đặt T = UÅ[e_k(Y)]|_t

f) Với i = 1, 2,..., m-1, thực hiện 2 bước sau:

1. Đặt Y = (F||S||#_8w(i))

2. Đặt D_i=C_iÅe_k(Y)

...

...

...

h) Đặt D = D₁||D₁||...||D_m-1||D_m và đặt L = 16m -16 + r.

i) Đệm phải D_m với 128-8r bit 0, tức đặt D_m = D_m||0^128-8r

j) Nếu len(A)= 0 thì đặt octet cờ F = 0²||#₃ ((t - 16) /16)||#₃ (w -1)

k) Nếu len(A) > 0 thì đặt octet cờ F = 0||1||#₃ ((t - 16) /16)||#₃ (w -1)

l) Đặt X = ek(F||S||#_8w(L))

m) Nếu len(A)> 0, thì thực hiện 6 bước sau:

1. Nếu 0 < len(A) < 65280 thì đặt B = #₁₆ (len(A) / 8)|| A

2. Nếu 65280 ≤ len(A) < 2³² thì đặt B = 1¹⁵||0||#₃₂ (len(A) / 8)|| A

3. Nếu 2³² ≤ len(A) < 2⁶⁴ thì đặt B = 1¹⁶||#₆₄ len(A) / 8)|| A

...

...

...

5. Đệm phải B_v, với n-k số 0, tức đặt B_v = B_v||0^n-k

6. Với i = 1, 2,..., v:

Đặt X = e_k (X Å B_i)

n) Với i = 1, 2,..., m:

Đặt X = e_k(X Å D_i)

o) Đặt T' = X|_t

p) Nếu T = T’, thì đầu ra D như đã được tính toán trong bước h) và a). Ngược lại đầu ra là INVALID (không hợp lệ).

9  Cơ chế mã hóa có sử dụng xác thực 4 (EAX)

9.1  Giới thiệu

...

...

...

CHÚ THÍCH EAX do Bellare, Rogaway và Wagner [3], EAX không phải là một từ viết tắt cụ thể nào.

9.2  Ký hiệu riêng

Với mục tiêu trình bày chi tiết về cơ chế này, các ký hiệu và chú giải sau được áp dụng:

C₁, C₂,..., C_m

Chuỗi các khối bit (mỗi khối n bit, có thể không bao hàm C_m) là thành phần đầu ra thu được của quá trình mã hóa có sử dụng xác thực.

D₁, D₂, ..., D_m

Chuỗi các khối bit (mỗi khối n bit, có thể không bao hàm D_m) thu được qua việc phân chia D.

E₀, E₁, E₂

M

...

...

...

T

T'

W

Các khối n bit được tính toán trong quá trình mã hóa và giải mã.

Hàm được sử dụng trong quá trình mã hóa và giải mã.

Biến khởi tạo (n bit).

Nhãn (t bit), đính kèm với một bản tin đã được mã hóa để bảo vệ tính toàn vẹn

Giá trị nhãn được tính toán lại, sinh ra trong quá trình giải mã.

Khối n bit được tính toán trong quá trình mã hóa và giải mã.

...

...

...

Trong bất kỳ trường hợp nào sử dụng cơ chế này, bên gửi và bên nhận dữ liệu có áp dụng cơ chế mã hóa có sử dụng xác thực, phải thỏa thuận:

a) t, độ dài nhãn bit, trong đó 0 < t ≤ n.

9.4  Định nghĩa hàm M

Định nghĩa các thủ tục mã hóa và giải mã yêu cầu định nghĩa hàm M nhận một chuỗi bit có độ dài tùy ý và một khóa mã khối ở đầu vào và đưa một khối n bit ở đầu ra. Định nghĩa hàm M như sau.

Nếu X là một chuỗi bit và K là một khóa cho mã khối được lựa chọn, thì M_k(X) bằng một mã xác thực bản tin (chưa bị cắt) được tính toán trên chuỗi X bằng cách sử dụng khóa K qua sử dụng thuật toán MAC 5 trong tiêu chuẩn TCVN 11495-1 (xuất bản lần thứ 4), trong đó mã khối được sử dụng trong thuật toán MAC sẽ giống như thuật toán mã khối được lựa chọn trong quá trình mã hóa có sử dụng xác thực.

CHÚ THÍCH Thuật toán MAC 5 trong tiêu chuẩn TCVN 11495-1 còn được biết đến với tên gọi OMAC.

9.5  Thủ tục mã hóa

Bên gửi thực hiện các bước sau để bảo vệ chuỗi dữ liệu D:

a) Lựa chọn biến khởi tạo S chứa n bit. Biến S là riêng biệt đối với mỗi bản tin được bảo vệ, phải sẵn sàng tại bên nhận bản tin. Tuy nhiên, S là không cần thiết khi giá trị này không suy đoán ra được hoặc có mang tính bí mật.

...

...

...

c) Đặt E₁ = M_k(0^n-1||1||A)

d) Đặt W = E₀

e) Chia D thành một chuỗi các khối: D₁, D₂,..., D_m, như sau: đặt D₁ chứa n bit đầu tiên của D, D₂ chứa n bit kế tiếp và cứ thế tiếp tục đến khi D_m chứa r bit sau cùng, trong đó 0 < r ≤ n; Do đó len(D) = (m-1)n+r.

f) Với i = 1, 2,..., m-1, thực hiện 2 bước:

1. Đặt C_i = D_i Å e_k(W)

2. Đặt W = #_n(#^-1(W) + 1 mod 2ⁿ)

g) Đặt C_m = D_m Å [e_k(W)]|_r

h) Đặt E₂ = M_k (0^n-2||1||0||C₁||C₂||...||C_m)

i) Đặt T = [E₀ Å E₁ Å E₂]|_t

...

...

...

C = C₁||C₂||...||C_m-1||C_m||T

Hay C là một chuỗi (m-1)n+r+t bit, nghĩa là chứa nhiều hơn so với chuỗi dữ liệu gốc D t bit (mặc dù nó phải cần mang n bit biến khởi tạo S và dữ liệu A đã được xác thực bổ sung có độ dài thay đổi đến bên nhận).

9.6  Thủ tục giải mã

Bên nhận thực hiện các bước sau để giải mã và xác nhận một chuỗi C đã được mã hóa có sử dụng xác thực.

a) Nếu độ dài của C nhỏ hơn t, dừng và thông báo INVALID (không hợp lệ).

b) Đặt m và r là các số nguyên duy nhất xác định sao cho C chứa một tổng (m-1)n+r+t bit, trong đó 0 < r ≤ n. Chia C thành một chuỗi các khối: C₁, C₂, ..., C_m, T. Đặt C₁ chứa n bit đầu tiên của C, C₂ chứa n bit kế tiếp và cứ như thế cho đến khi C_m chứa r bit kế tiếp của C. Sau cùng, đặt T là t bit cuối cùng của C.

c) Đặt E₀ = M_k(0ⁿ||S)

d) Đặt E₁= M_k(0^n-1||1||A)

e) Đặt E₂= M_k(0^n-2||1||0||C₁||C₂||...||C_m)

...

...

...

g) Nếu T ≠ T', thì dừng và đưa ra INVALID (không hợp lệ).

h) Đặt W=E₀

i) Với i = 1, 2,..., m-1, thực hiện 2 bước sau:

1. Đặt D_i =C_i Å e_k (W).

2. Đặt W = #_n(#^-1(W) + 1 mod 2ⁿ)

j) Đặt D_m = C_m Å [e_k (W)]|_r

k) Đầu ra là D và A.

10  Cơ chế mã hóa có sử dụng xác thực 5 (Mã hóa sau đó MAC - Encrypt-then-MAC)

10.1  Giới thiệu

...

...

...

CHÚ THÍCH Cơ chế Encrypt-then-MAC đã được phân tích bởi Bellare và Namprempre [3], là những người chứng minh sự an toàn của cơ chế này dựa trên giả thiết phương thức mã hóa và kỹ thuật MAC có các đặc tính an toàn nhất định.

10.2  Ký hiệu riêng

Với mục tiêu mô tả cơ chế này, các ký hiệu và chú giải sau được áp dụng:

C'

Chuỗi bit thu được qua việc mã hóa chuỗi dữ liệu D.

δ

Hàm giải mã, tức là một hàm với đầu vào là một khóa mã khối K₁, một biến khởi tạo S và một chuỗi dữ liệu đã được mã hóa C' và thông qua sử dụng chế độ hoạt động được chọn lựa, đầu ra là chuỗi dữ liệu đã được giải mã: đầu ra được viết là δ_k1,S(C') [2].

ε

Hàm mã hóa, tức là hàm với đầu vào là một khóa mã khối K₁, một biến khởi tạo S, một chuỗi dữ liệu D và thông qua sử dụng phương thức vận hành được lựa chọn, đầu ra là chuỗi dữ liệu đã được mã hóa: đầu ra được viết là ε_k1,S (D) [2].

...

...

...

Hàm MAC; Nếu X là chuỗi đầu vào và K₂ là khóa MAC, thì MAC đầu ra được viết là f_k2 (X)

K₁

K₂

S

T

T'

Khóa bí mật cho mã khối.

Khóa bí mật cho hàm MAC.

Biến khởi tạo (n bit).

...

...

...

Giá trị nhãn được tính toán lại, sinh ra trong quá trình giải mã.

10.3  Yêu cầu riêng

Trong bất kỳ trường hợp nào sử dụng cơ chế này, bên nhận và bên gửi dữ liệu áp dụng cơ chế mã hóa có sử dụng xác thực, phải thỏa thuận:

a) Phương thức vận hành mã khối từ các phương thức vận hành mã khối được mô tả chi tiết trong tiêu chuẩn ISO/IEC 10116 (Chế độ ECB không được sử dụng).

b) Cơ chế tính toán MAC phải được lựa chọn từ các kỹ thuật được trình bày chi tiết trong tiêu chuẩn TCVN 11495 (giả thiết rằng phương thức được chọn tạo ra nhãn độ dài t bit)

c) Cơ chế để trích xuất một cặp khóa bí mật (K₁, K₂) từ khóa bí mật K, trong đó K₁ là khóa cho mã khối được lựa chọn và K₂ là khóa cho cơ chế tính toán MAC được lựa chọn.

CHÚ THÍCH 1 K phải được lựa chọn sao cho số lượng các giá trị có thể có cho K ít nhất phải lớn hơn hoặc bằng số lượng các giá trị có thể có của khóa mã khối và ít nhất cũng phải lớn hơn hoặc bằng số lượng giá trị khóa MAC có thể có.

CHÚ THÍCH 2 Các cơ chế có thể trích xuất (K₁, K₂) từ khóa bí mật K bao gồm: (a) Đặt K = K₁||K₂ (trong đó K được lựa chọn với độ dài thích hợp) và (b) K₁ và K₂ được trích xuất bằng lấy các chuỗi bit (riêng biệt) từ h(K), trong đó h là hàm băm được chọn ra từ các hàm băm được trình bày chi tiết trong tiêu chuẩn ISO/IEC 10118 có độ dài đầu ra phù hợp.

10.4  Thủ tục mã hóa

...

...

...

a) Lựa chọn biến khởi tạo S thích hợp cho sử dụng với phương thức vận hành mã khối được lựa chọn. Biến S là riêng biệt đối với mỗi bản tin được bảo vệ theo khóa đã cho và phải sẵn sàng tại bên nhận bản tin. Các yêu cầu có thể có đối với S được mô tả chi tiết trong các phần tương ứng của tiêu chuẩn ISO/IEC 10116 và hướng dẫn được đưa ra trong A.7 [2].

CHÚ THÍCH Nếu biến khởi tạo được lựa chọn đồng nhất ngẫu nhiên từ không gian tất cả các biến khởi tạo có thể có (như được khuyến nghị - xem phụ lục A.7) và số lượng các bản tin đã được mã hóa bằng cách sử dụng một khóa duy nhất được bao bọc thích hợp, thì việc sử dụng các biến khởi tạo riêng biệt chiếm áp đảo, tức là biến khởi tạo có thể được coi như là khác biệt về mặt thống kê [2].

b) Đặt C' = ε_k1,S(D) sử dụng biến khởi tạo S [2].

c) Đặt T = f_k2(S||C') [2].

Đầu ra của quá trình trên, tức bản mã hóa có sử dụng xác thực của D là chuỗi bit:

C = C'||T, cùng với biến khởi tạo S [2].

10.5  Thủ tục giải mã

Bên nhận thực hiện các bước sau để giải mã và xác nhận chuỗi C, đi kèm biến khởi tạo S đã được mã hóa có sử dụng xác thực [2].

a) Nếu độ dài của C nhỏ hơn t thì dừng và thông báo là INVALID (không hợp lệ).

...

...

...

c) Đặt T' = f_k2(S||C') [2].

d) Nếu T ≠ T', thì dừng và đưa ra INVALID (không hợp lệ).

e) Đặt D=δ_k1,S(C'), bằng cách sử dụng biến khởi tạo S [2].

f) Đầu ra là D.

11  Cơ chế mã hóa có sử dụng xác thực 6 (GCM)

11.1  Giới thiệu

Phần này trình bày về cơ chế mã hóa có sử dụng xác thực thường được biết đến với tên gọi GCM (Galois/Counter Mode).

CHÚ THÍCH GCM là do McGrew và Viega đề xuất [9].

11.2  Ký hiệu riêng

...

...

...

Chuỗi m khối 128 bit (có thể không bao hàm C_m có thể chứa từ 1 đến 128 bit) là thành phần đầu ra thu được của quá trình mã hóa có sử dụng xác thực.

D₁, D₂, ..., D_m

Chuỗi m khối 128 bit (có thể không bao hàm D_m) thu được qua phân chia D.

G

H

inc

Hàm được sử dụng trong quá trình mã hóa và giải mã (11.5) [2].

Khối 128 bit được sử dụng trong quá trình mã hóa và giải mã.

Hàm nhận một khối 128 bit ở đầu vào và cho ra một khối 128 bit ở đầu ra, trong đó, nếu X là một khối 128 bit:

...

...

...

r

Số lượng bit trong khối cuối cùng của bản tin được bảo vệ, sau khi nó đã được phân chia thành các khối n bit, tức là bản tin chứa (m-1)n+r bit.

R

S

T

Khối 128 bit được sử dụng trong tính toán phép nhân GF(2¹²⁸).

Biến khởi tạo (độ dài thay đổi).

Nhãn (t bit), được đính kèm với bản tin đã được mã hóa để bảo vệ tính toàn vẹn.

T'

...

...

...

X₀, X₁, ..., X_k+l+1

Y₀, Y₁, ... Y_m

{}

•

Giá trị nhãn được tính toán lại, sinh ra trong quá trình giải mã.

Các khối 128 bit được sử dụng trong xác định tính toán phép nhân GF(2¹²⁸).

Các khối 128 bit được sử dụng trong tính toán hàm G.

Chuỗi các khối 128 bit được sử dụng trong quá trình mã hóa và giải mã.

Chuỗi bit với độ dài 0.

...

...

...

11.3  Yêu cầu riêng

Trong bất kỳ trường hợp nào sử dụng cơ chế này, bên gửi và bên nhận dữ liệu có áp dụng cơ chế mã hóa có sử dụng xác thực phải thỏa thuận:

a) Độ dài nhãn t bit, trong đó t phải là một bội số của 8 thỏa mãn 96 ≤ t ≤ 128 (t = 32 và t = 64 cũng được cho phép đối với các ứng dụng đặc biệt).

Mã khối được sử dụng với cơ chế này phải là mã khối 128 bit, tức là mã khối phải có n = 128.

11.4  Định nghĩa về phép nhân

Giả thiết U và V là các khối 128 bit; thì W = U.V được định nghĩa như sau, trong đó W cũng là một khối 128 bit. Lưu ý rằng, trong mô tả bên dưới đây, V_i biểu thị là bit thứ i của V, tức là V = v₀||v₁||...||v₁₂₇. Ngoài ra, Z₁₂₇ biểu thị là bit trọng số lớn nhất bên phải của Z.

a) Đặt R = 11100001||0¹²⁸

b) Đặt W = 0¹²⁸

c) Đặt Z = U

...

...

...

1. Nếu v_i = 1 thì đặt W = W Å Z

2. Nếu Z₁₂₇ = 0 thì đặt Z = Z>>1, ngược lại đặt Z = (Z>>1)ÅR

11.5  Định nghĩa hàm G

Các thủ tục mã hóa và giải mã quyết định hàm G, nhận đầu vào là khối 128 bit và hai chuỗi bit có độ dài tùy ý, cho ra một khối 128 bit ở đầu ra. Đặt H là một khối 128 bit, W và Z là hai chuỗi bit có độ dài tùy ý (có thể trống). Giả thiết rằng k và u là các số nguyên duy nhất sao cho len(W) = 128(k-1)+u và 0 < u ≤ 128; tương tự cũng giả thiết rằng I và v là các số nguyên duy nhất sao cho len(Z) = 128(l-1)+v và 0 < v ≤ 128. Đặt W₁, W₂, ...., W_k là chuỗi các khối 128 bit (có thể không bao hàm W_k chứa u bit sau cùng của W) thu được qua việc phân chia W; tương tự, đặt Z₁, Z₂,..., Z_l là chuỗi các khối 128 bit (có thể không bao hàm Z_l chứa v bit sau cùng của Z) thu được qua việc phân chia Z.

Thì G(H,W,Z) là giá trị X_k+l+1, 128 bit, trong đó X_i là xác định đệ quy với i = 0, 1,..., k+l+1, như sau:

a) Đặt X0 = 0¹²⁸

b) Đặt X_i = (X_i-1 Å W_i) ● H

c) Đặt X_k = (X_k-1 Å (W_k||0^128-u)) ● H

d) Đặt X_i = (X_i-1 Å Z_i-k) ● H

...

...

...

f) Đặt X_k+l+1 = (X_k+1 Å [#₆₄len(W))||#₆₄len(Z))]) ● H

1 ≤ i ≤ k-1 (bước này bỏ qua nếu k ≤ 1)

(bước này bỏ qua nếu k = 0)

k+1 ≤ i ≤ k+l-1 (bước này bỏ qua nếu I ≤ 1)

(bước này bỏ qua nếu I = 0)

11.6  Thủ tục mã hóa

Bên gửi thực hiện các bước sau để bảo vệ chuỗi dữ liệu D và đảm bảo tính toàn vẹn của chuỗi dữ liệu đã được xác thực bổ sung A.

a) Lựa chọn biến khởi tạo S có độ dài tùy ý. Giá trị biến S phải là riêng biệt đối với mỗi bản tin được bảo vệ và phải sẵn sàng tại bên nhận bản tin. Tuy nhiên, S là không cần thiết khi giá trị này không suy đoán ra được hoặc có mang tính bí mật.

...

...

...

b) Chia tách D thành một chuỗi các khối 128 bit: D₁, D₂,..., D_m. Đặt D₁ chứa 128 bit đầu tiên của D, D₂ chứa 128 bit kế tiếp và cứ thế tiếp tục cho đến khi D_m chứa r bit sau cùng của D, trong đó 0 < r ≤ 128. Do đó, D chứa tổng số (m-1)n+r bit.

c) Đặt H = e_k(0¹²⁸)

d) Nếu len(S) = 96 thì đặt Y₀ = S||0³¹||1. Ngược lại đặt Y₀ =G(H,{},S)

e) Với i = 1, 2,..., m-1, thực hiện 2 bước:

1. Đặt Y_i = inc(Y_i-1)

2. Đặt C_i = D_i Å e_k(Y_i)

f) Đặt Y_m = inc(Y_m-1)

g) Đặt C_m = D_m Å (e_k(Y_m))|_t

h) Đặt T = (G(H, A, C₁||C₂||...||C_m-1||C_m) Å e_k(Y₀)|_t [2].

...

...

...

C = C₁||C₂||...||C_m-1||C_m||T

Hay C là một chuỗi (m-1)n+r+t, nghĩa là chuỗi C chứa nhiều hơn so với chuỗi dữ liệu gốc D t bit (mặc dù nó phải cần mang thêm n bit biến khởi tạo S và dữ liệu A đã được xác thực bổ sung có độ dài thay đổi đến bên nhận).

11.7  Thủ tục giải mã

Bên nhận thực hiện các bước sau để giải mã và xác nhận một chuỗi C đã được mã hóa có sử dụng xác thực và xác nhận dữ liệu A đã được xác thực bổ sung.

a) Nếu độ dài của C nhỏ hơn t thì dừng và đưa ra INVALID (không hợp lệ)..

b) Đặt m và r là các số nguyên duy nhất xác định sao cho C chứa một tổng (m-1)n+r+t bit, trong đó 0 < r ≤ n. Chia C thành một chuỗi các khối: C₁, C₂, …, C_m, T. Đặt C₁ chứa n bit đầu tiên của C, C₂ chứa n bit kế tiếp và cứ như thế cho đến khi C_m chứa r bit tiếp theo của C. Cuối cùng, đặt T là t bit cuối cùng của C.

c) Đặt H = e_k(0¹²⁸)

d) Nếu len(S) = 96 thì đặt Y₀ = S||0³¹||1. Ngược lại đặt Y₀ =G(H,{},S)

e) Đặt T' = (G(H, A, C₁||C₂||...||C_m-1||C_m) Å e_k(Y₀)|_t [2].

...

...

...

g) Nếu T ≠ T', dừng và đưa ra INVALID (không hợp lệ).

h) Với i = 1, 2,..., m-1, thực hiện 2 bước sau:

1. Đặt Y_i = inc(Y_i-1)

2. Đặt D_i = C_i Å e_k (Y_i)

i) Đặt Y_m = inc(Y_m-1)

j) Đặt D_m = C_m Å (e_k(Y_m))|_t

k) Đầu ra là D và dữ liệu đã được xác thực bổ sung A.

Phụ lục A

...

...

...

Hướng dẫn sử dụng các cơ chế

A.1. Giới thiệu

Mục đích của phụ lục này là nhằm cung cấp hướng dẫn sử dụng các cơ chế đã được định nghĩa trong tiêu chuẩn. Việc sử dụng mỗi cơ chế đòi hỏi cần lựa chọn các tham số cụ thể cho mỗi cơ chế, lựa chọn các tham số đánh giá khuyến nghị được đưa ra trong các phần tử A.3 đến A.8. Phần còn lại là các khuyến nghị liên quan đến các yêu cầu áp dụng tất cả các cơ chế trong tiêu chuẩn này (điều 5).

Tất cả các cơ chế yêu cầu lựa chọn một mã khối từ tập hợp các mã khối đã được tiêu chuẩn hóa trong TCVN 11367-3. Độ dài khối n của mã khối nhỏ nhất là 64, khuyến nghị có thể sử dụng mã khối với n = 128. Việc sử dụng mã khối với n = 128 là yêu cầu bắt buộc đối với các cơ chế 2, 3 và 6.

Tất cả các cơ chế cũng yêu cầu bên gửi và bên nhận dữ liệu đã được bảo vệ phải chia sẻ một khóa bí mật K. Khóa bí mật này chỉ được hai bên biết và có thể có thêm bên thứ ba có sự tin tưởng của cả bên gửi và bên nhận. Có nhiều phương thức để thiết lập khóa bí mật này; tuy nhiên, khuyến nghị nên sử dụng cơ chế thiết lập khóa được trình bày chi tiết trong tiêu chuẩn ISO/IEC 11770-2 hoặc tiêu chuẩn ISO/IEC 11770-3.

Cả sáu cơ chế yêu cầu chọn lựa một độ dài nhãn. Việc lựa chọn tham số này ảnh hưởng đến mức độ đảm bảo được cung cấp để bên nhận đánh giá tính toàn vẹn và nguồn gốc của bản tin được bảo vệ. Các tùy chọn khác được trình bày trong phần Phụ lục C của TCVN 11495-1.

A.2  Lựa chọn cơ chế

Tất cả các cơ chế được trình bày trong tiêu chuẩn này được tin tưởng sẽ cung cấp mức độ bảo mật cao. Tuy nhiên, một số cơ chế phù hợp hơn những cái khác trong các ứng dụng cụ thể. Việc chọn lựa cơ chế sử dụng như thế nào, cụ thể được đưa ra trong Bảng A.2 và danh sách liệt kê dưới đây cần được chú ý xem xét.

Bảng A.1 - Thuộc tính các cơ chế

...

...

...

1

2

3

4

5

6

Số lần thực hiện mã khối được yêu cầu để mã hóa bản tin q bit

q/n

12[q/n]

...

...

...

2q/n

Phụ thuộc vào cơ chế mã hóa và MAC sử dụng

q/n

Yêu cầu cấp phép

Có

Không

Không

Không

Phụ thuộc vào cơ chế mã hóa và MAC sử dụng

...

...

...

Thiết kế sử dụng với các bản tin ngắn

Không

Có

Không

Không

Không

Không

Độ dài bản tin phải được nhận diện trước khi bắt đầu mã hóa

Không

...

...

...

Có

Không

Không

Không

Yêu cầu giá trị khởi đầu

Có

Không

Có

Có

...

...

...

Có

Trước đây đã được chuẩn hóa

Không

Có

Có

Không

Không

Có

a) Cơ chế 3 và 4 là các phương thức kết hợp mã hóa mã khối theo mô hình CTR (ISO/IEC 10116) với một mã xác thực bản tin.

...

...

...

c) Cơ chế 6 thích hợp cho các thực thi phần cứng lưu lượng lớn, vì nó có thể thực hiện mà không làm dừng kênh liên lạc.

A.3  Cơ chế 1 (OCB 2.0)

Cơ chế này yêu cầu sự lựa chọn tham số độ dài nhãn t (t ≤ n). Việc chọn lựa độ dài nhãn t phụ thuộc vào môi trường sử dụng cơ chế này; tuy nhiên, trừ khi vì nguyên nhân bắt buộc nào đó phải chọn lựa độ dài nhãn khác, còn lại khuyến nghị nên chọn lựa độ dài nhãn t thỏa mãn t ≥ 64.

A.4  Cơ chế 2 (Key Wrap)

Cơ chế này yêu cầu phải sử dụng mã khối có n = 128. Bắt buộc phải sử dụng một trong các mã khối được trình bày chi tiết trong tiêu chuẩn TCVN 11367-3 (điều 5).

A.5  Cơ chế 3 (CCM)

Cơ chế này yêu cầu phải sử dụng mã khối có n = 128. Bắt buộc phải sử dụng một trong các mã khối được trình bày chi tiết trong tiêu chuẩn TCVN 11367-3 (điều 5).

Cơ chế này yêu cầu sự lựa chọn tham số độ dài nhãn t (từ tập hợp {32, 48, 64, 80, 96, 112, 128}). Việc chọn lựa độ dài nhãn t phụ thuộc vào môi trường sử dụng cơ chế này; tuy nhiên, trừ khi vì một số nguyên nhân bắt buộc nào đó mà phải chọn lựa độ dài nhãn khác, còn lại khuyến nghị nên chọn lựa độ dài nhãn t thỏa mãn t ≥ 64.

Cơ chế này yêu cầu sự lựa chọn độ dài trường bản tin w (tính theo octet) (từ tập hợp {2, 3, 4, 5, 6, 7, 8}). Việc chọn lựa độ dài octet của trường độ dài bản tin w cũng phụ thuộc vào môi trường sử dụng cơ chế này. Việc chọn lựa w không ảnh hưởng đến mức an toàn mà cơ chế cung cấp. Giá trị w càng lớn càng cho phép độ dài bản tin dài hơn, mặc dù chúng cũng làm giảm đi độ dài phần còn lại của biến khởi tạo. Tuy nhiên, ngay cả khi w được chọn bằng giá trị lớn nhất có thể, tức là w = 8, 56 bit của biến khởi tạo S có thể được lựa chọn để đảm bảo rằng một biến khởi tạo S khác được sử dụng cho mỗi bản tin, phải đủ cho phần lớn, nếu không đủ cho tất cả, các ứng dụng thiết thực. Với phần lớn các ứng dụng có giá trị w = 4, tức là cho một độ dài bản tin lớn nhất 2³² ≈ 4 x 10⁹ octet, như vậy là đủ.

...

...

...

Cơ chế này yêu cầu sự lựa chọn tham số độ dài nhãn t (t ≤ n). Việc chọn lựa độ dài nhãn t phụ thuộc vào môi trường sử dụng cơ chế này; tuy nhiên, trừ khi vì một số nguyên nhân bắt buộc nào đó mà phải chọn lựa độ dài nhãn khác, còn lại khuyến nghị nên chọn lựa độ dài nhãn t thỏa mãn t ≥ 64.

A.7  Cơ chế 5 (Encrypt-then-MAC)

Cơ chế này yêu cầu sự chọn lựa phương thức vận hành và cơ chế tính toán MAC. Độ an toàn được cung cấp qua kết quả lược đồ mã hóa có sử dụng xác thực phụ thuộc vào mức độ an toàn của hai yêu cầu trên.

Bất kể phương thức mã hóa nào được lựa chọn, sử dụng biến khởi tạo nào được lựa chọn đồng nhất ngẫu nhiên từ tập hợp biến khởi tạo có thể được khuyến nghị. Nếu không tuân theo khuyến nghị này thì kết quả của Bellare và Namprempre (tham chiếu theo ghi chú trong 10.1) sẽ không được áp dụng. Hơn nữa, trong một số trường hợp có thể có các cuộc tấn công. Trong kết nối đó cần lưu ý rằng, đối với chế độ CBC, phụ lục B.2.1 của bộ ISO/IEC 10116 đưa ra “khuyến nghị lựa chọn ngẫu nhiên biến khởi tạo đồng nhất về mặt thống kê” [2].

Việc chọn lựa kỹ thuật MAC phải xem xét đến bối cảnh sử dụng kỹ thuật mã hóa có sử dụng xác thực, cần phải chú ý theo các khuyến nghị được đưa ra trong tiêu chuẩn TCVN 11495. Đặc biệt, nếu lựa chọn một mã khối dựa trên MAC từ TCVN 11495-1, thì: (a) thuật toán MAC 1 chỉ được sử dụng nếu độ dài bản tin là cố định; (b) Cơ chế đệm 1 chỉ được sử dụng nếu độ dài bản tin là cố định [2].

A.8  Cơ chế 6 (GCM)

Cơ chế này yêu cầu phải sử dụng mã khối có n = 128. Bắt buộc phải sử dụng một trong các mã khối có đặc tính này được trình bày chi tiết trong tiêu chuẩn TCVN 11367-3 (điều 5).

Độ dài biến khởi tạo có thể thay đổi, S, phải được lựa chọn sao cho 1 ≤ len(S) ≤ 2⁶⁴. Yêu cầu biến khởi tạo không bao giờ được tái sử dụng lại trong toàn bộ vòng đời của khóa là rất quan trọng đối với sự an toàn của cơ chế này.

Độ dài nhãn t phải được lựa chọn ra sao cho t là một bội số của 8 thỏa mãn 96 ≤ t ≤ 128 (t = 32 và t = 64 cũng được cho phép với các ứng dụng đặc biệt, mặc dù các tùy chọn này chỉ nên được sử dụng cực kỳ thận trọng - hướng dẫn chi tiết về sử dụng các độ dài nhãn đó được đưa ra trong phần Phụ lục C của [8]).

...

...

...

len(D) ≤ 2³⁹ - 256

và chuỗi dữ liệu đã được xác thực bổ sung phải thỏa mãn len(A) ≤ 2⁶⁴. Tổng số các khối dữ liệu và các khối dữ liệu đã được xác thực bổ sung khi áp dụng GCM với một khóa K được ấn định phải ở mức tối đa 2⁶⁴. Ngoài ra, tổng số viện dẫn thủ tục mã hóa đối với bất kỳ khóa nào được đưa ra phải ở mức tối đa 2³², trừ khi len(S) = 96 đối với mọi trường hợp sử dụng khóa đó.

Phụ lục B

(Tham khảo)

Ví dụ

B.1  Giới thiệu

Phụ lục bao hàm các ví dụ về vận hành các cơ chế được trình bày chi tiết trong tiêu chuẩn này.

B.2  Cơ chế 1 (OCB 2.0)

...

...

...

K: 000102030405060708090A0B0C0D0E0F

S: 000102030405060708090A0B0C0D0E0F

D₁: 0001020304050607

C₁: C636B3A868F429BB

T₁: A45F5FDEA5C088D1D7C8BE37CABC8C5C

D₂: 000102030405060708090A0B0C0D0E0F

C₂: 52E48F5D19FE2D9869F0C4A4B3D2BE57

...

...

...

D₃: 000102030405060708090A0B0C0D0E0F

1011121314151617

C₃: F75D6BC8B4DC8D66B836A2B08B32A636

CC579E145D323BEB

T₃: A1A50F822819D6E0A216784AC24AC84C

D₄: 000102030405060708090A0B0C0D0E0F

101112131415161718191A1B1C1D1E1F

...

...

...

CEC3C555037571709DA25E1BB0421A27

T₄: 09CA6C73F0B5C6C5FD587122D75F2AA3

D₅: 000102030405060708090A0B0C0D0E0F

101112131415161718191A1B1C1D1E1F

2021222324252627

C₅: F75D6BC8B4DC8D66B836A2B08B32A636

9F1CD3C5228D79FD6C267F5F6AA7B231

C7DFB9D59951AE9C

T₅: 9DB0CDF880F73E3E10D4EB3217766688

...

...

...

Ví dụ về vận hành cơ chế này với mã khối AES được đưa ra trong tiêu chuẩn IETF RFC 3394[12].

B.4. Cơ chế 3 (CCM)

Sáu ví dụ về bộ ba bản tin (D_i), bản mã (C_i) và nhãn (T_i) được tạo ra bằng cách sử dụng mã khối AES, trong mỗi trường hợp sử dụng t = 128 và w = 2 (và vì vậy S phải chứa 104 bit). Tất cả các ví dụ đều được biểu diễn theo ký hiệu hệ hexa. Khóa K và biến khởi tạo S được sử dụng trong 6 ví dụ:

K: 000102030405060708090A0B0C0D0E0F

S: 000102030405060708090A0B0C0D0E0F

D₁: Chuỗi trống (tức là m = 0)

C₁: Chuỗi trống

T₁: 1CE10D3EFFD4CADBE2E44B58D60AB9EC

...

...

...

D₂: 0001020304050607

C₂: 29D878D1A3BE857B

T₂: 9E1F336E2D9058EE57BF181EDF49395B

D₃: 000102030405060708090A0B0C0D0E0F

C₃: 29D878D1A3BE857B6FB8C8EA5950A778

T₃: BD55E38C169E77135C2AE42309004C04

D₄: 000102030405060708090A0B0C0D0E0F

...

...

...

C₄: 29D878D1A3BE857B6FB8C8EA5950A778

331FBF2CCF33986F

T₄: 7E72C073D72CB70D1129C56FA0794573

D₅: 000102030405060708090A0B0C0D0E0F

101112131415161718191A1B1C1D1E1F

C₅: 29D878D1A3BE857B6FB8C8EA5950A778

331FBF2CCF33986F35E8CF121DCB30BC

T₅: EF07F23F26E1DC3BEEFF83B18A9E2687

...

...

...

D₆: 000102030405060708090A0B0C0D0E0F

101112131415161718191A1B1C1D1E1F

2021222324252627

C₆: 29D878D1A3BE857B6FB8C8EA5950A778

331FBF2CCF33986F35E8CF121DCB30BC

5C87F59B057A40E9

T₆: A0FA15E39A14811AE5AC0E7353C2BAB6

CHÚ THÍCH Các ví dụ khác về vận hành cơ chế này với mã khối AES được đưa ra trong IETF RFC 3610[13]

B.5  Cơ chế 4 (EAX)

...

...

...

K: 000102030405060708090A0B0C0D0E0F

S: 000102030405060708090A0B0C

D₁: Chuỗi trống (tức là L = 0)

C₁: Chuỗi trống

T₁: 54C92FE45510D6B3B0D46EAC2FEE8E63

D₂: 0001020304050607

C₂: 1635B68B570CFC85

...

...

...

D₃: 000102030405060708090A0B0C0D0E0F

C₃: 1635B68B570CFC85529E39AC913910D7

T₃: C7C5C394B685B08B3F00DCD81256F0D0

D₄: 000102030405060708090A0B0C0D0E0F

1011121314151617

C₄: 1635B68B570CFC85529E39AC913910D7

F3111631623867F1

...

...

...

D₅: 000102030405060708090A0B0C0D0E0F

101112131415161718191A1B1C1D1E1F

C₅: 1635B68B570CFC85529E39AC913910D7

F3111631623867F134E6E441904FD504

T₅: C80A98AAFDFF79C23FB4D775A71C29D0

D₆: 000102030405060708090A0B0C0D0E0F

101112131415161718191A1B1C1D1E1F

...

...

...

C₆: 1635B68B570CFC85529E39AC913910D7

F3111631623867F134E6E441904FD504

F5746D6BF189815F

T₆: 1A6F75C612B703E25E47260BABCCB06E

CHÚ THÍCH Các ví dụ khác về vận hành cơ chế này với mã khối AES được đưa ra trong [3]

B.6  Cơ chế 5 (Encrypt-then-MAC)

Tham khảo trong tiêu chuẩn TCVN 11495 và ISO/IEC 10116.

B.7  Cơ chế 6 (GCM)

Hai ví dụ tiếp theo về bộ ba: bản tin (D_i), bản mã (C_i) và nhãn (T_i) được tạo ra bằng cách sử dụng mã khối AES, trong mỗi trường hợp sử dụng t = 128 và dữ liệu xác thực bổ sung bao hàm chuỗi trống. Tất cả các ví dụ dưới đều được biểu diễn theo ký hiệu hệ hexa. Khóa K và biến khởi tạo S được sử dụng trong 2 ví dụ:

...

...

...

S: 000000000000000000000000

D₁: Chuỗi trống (tức là L = 0)

C₁: Chuỗi trống

T₁: 58e2fccefa7e3061367f1d57a4e7455a

D₂: 00000000000000000000000000000000

C₂: 0388dace60b6a392f328c2b971b2fe78

T₂: ab6e47d42cec13bdf53a67b21257bddf

...

...

...

Phụ lục C

(Quy định)

Mô đun ASN.1

C.1  Định nghĩa định dạng

AuthenticatedEncryption {

iso(1) standard(0) authenticated-encryption(19772) asn1-module(0)

authenticated-encryption-mechanisms(0) }

DEFINITIONS EXPLICIT TAGS ::= BEGIN

...

...

...

OID ::= OBJECT IDENTIFIER

AuthenticatedEncryptionMechanism ALGORITHM ::= {

ae-mechanism1 |

ae-mechanism2 |

ae-mechanism3 |

ae-mechanism4 |

ae-mechanism5 |

ae-mechanism6

}

...

...

...

is19772 OID ::= {iso(1) standard(0) authenticated-encryption(19772) }

mechanism OID ::= { is19772 mechanisms(1) }

ae-mechanism1 OID ::= { mechanism 1 }

ae-mechanism2 OID ::= { mechanism 2 }

ae-mechanism3 OID ::= { mechanism 3 }

ae-mechanism4 OID ::= { mechanism 4 }

ae-mechanism5 OID ::= { mechanism 5 }

ae-mechanism6 OID ::= { mechanism 6 }

END -- AuthenticatedEncryption --

...

...

...

Mỗi một cơ chế xác thực được trình bày trong tiêu chuẩn này sử dụng thuật toán mã khối, trong trường hợp sử dụng cơ chế mã hóa có sử dụng xác thực 5, sử dụng mô hình vận hành tương tự và sử dụng thuật toán MAC. Ngoài ra, bộ nhận diện đối tượng cơ chế mã hóa có sử dụng xác thực phải đi kèm với một trong các bộ nhận diện thuật toán cơ chế mã hóa mã khối được trình bày chi tiết trong tiêu chuẩn TCVN 11367-3 và một số tham số tương đương. Đối với trường hợp cơ chế 5, có thể cũng phải cung cấp bộ nhận diện thuật toán cho lựa chọn mô hình vận hành mã khối (từ ISO/IEC 10116) và thuật toán MAC.

Thư mục tài liệu tham khảo

[1] ISO/IEC 19772:2009 Information technology - Security techniques - Authenticated encryption (Công nghệ thông tin - Các kỹ thuật an toàn - Mã hóa có sử dụng xác thực)

[2] ISO/IEC 19772:2009/Corrigendum 1(2014): Information technology - Security techniques - Authenticated encryption (ISO/IEC 19772:2009/Bản đính chính 1(2014): Công nghệ thông tin - Các kỹ thuật an toàn - Mã hóa có sử dụng xác thực)

[3] M. Bellare và C. Namprempre, 'Mã hóa có sử dụng xác thực: Mối tương quan giữa các khái niệm và các phân tích mô hình kết hợp chung'. Trong: T. Okamoto (ed.), Cải tiến về mã hóa - ASIACRYPT 2000, Hội thảo quốc tế lần thứ 6 về lý thuyết và ứng dụng Mật mã học và An toàn thông tin, Kyoto, Nhật Bản, từ 03 đến 07 tháng 12 năm 2000, Báo cáo chuyên đề. Các chú thích diễn giải trong tài liệu Khoa học máy tính 1976, Springer-Verlag (2000) Trang. 531-545 (M. Bellare and C. Namprempre, 'Authenticated encryption: Relations among notions and analysis of the generic composition paradigm'. In: T. Okamoto (ed.), Advances in Cryptology - ASIACRYPT 2000, 6th International Conference on the Theory and Application of Cryptology and Information Security, Kyoto, Japan, December 3-7, 2000, Proceedings. Lecture Notes in Computer Science 1976, Springer-Verlag (2000) pp. 531-545)

[4] M. Bellare, P. Rogaway và D. Wagner, 'Mô hình vận hành EAX'. Trong: B. K. Roy, W. Meier (eds.): Phần mềm mã hóa nhanh, Hội thảo quốc tế lần thứ 11, FSE 2004, Delhi, Ấn Độ, từ 05 - 07 tháng Hai, 2004, Tài liệu sửa đổi. Các chú thích diễn giải trong tài liệu Khoa học máy tính 3017, Springer-Verlag (2004) Trang. 389-407 (M. Bellare, P. Rogaway and D. Wagner, 'The EAX mode of operation'. In: B. K. Roy, W. Meier (eds.): Fast Software Encryption, 11th International Workshop, FSE 2004, Delhi, India, February 5-7, 2004, Revised Papers. Lecture Notes in Computer Science 3017, Springer-Verlag (2004) pp.389-407 TCVN 9801-3:2014/ ISO/IEC 27033-3:2010 Công nghệ thông tin - Kỹ thuật an toàn - An toàn mạng - Phần 3: Các kịch bản kết nối mạng tham chiếu - Nguy cơ, kỹ thuật thiết kế và các vấn đề kiểm soát

[5] TCVN 11816 (tất cả các phần) Công nghệ thông tin - Các kỹ thuật an toàn - Hàm băm

[6] TCVN 7817 (tất cả các phần) Công nghệ thông tin - Kỹ thuật an ninh - Quản lý khóa

...

...

...

[8] T. Krovetz và P. Rogaway, Thuật toán mã hóa có sử dụng xác thực OCB, Dự thảo IETF draft-krovetz-ocb-00.txt, Tháng 3 năm 2005⁽²⁾ (T. Krovetz and P. Rogaway, The OCB Authenticated-Encryption Algorithm, IETF draft draft-krovetz-ocb-00.txt, March 2005⁽²⁾)

[9] Viện Tiêu chuẩn và Công nghệ Quốc gia, Tài liệu chi tiết kỹ thuật NIST 800-38D: Khuyến nghị về mô hình vận hành mã khối: Mô hình Galois/Counter (GCM) và GMAC. Tháng 11 năm 2007 (National Institute of Standards and Technology, NIST Special Publication 800-38D: Recommendation for Block Cipher Modes of Operation: Galois/Counter Mode (GCM) and GMAC. November 2007)

[10] Viện Tiêu chuẩn và Công nghệ Quốc gia, Đặc tả chi tiết khóa Wrap AES. NIST, tháng 11 năm 2001 (National Institute of Standards and Technology, AES Key Wrap Specification. NIST, November 2001)

[11] Viện Tiêu chuẩn và Công nghệ Quốc gia, Tài liệu chi tiết kỹ thuật NIST 800-38C: Khuyến nghị về mô hình vận hành mã khối: Mô hình CCM cho xác thực và bảo mật. Tháng 5 năm 2004 (National Institute of Standards and Technology, NIST Special Publication 800-38C: Recommendation for Block Cipher Modes of Operation: The CCM Mode For Authentication and Confidentiality. May 2004)

[12] J. Schaad và R. Housley, RFC 3394: Chuẩn mã hóa tiên tiến (AES): Thuật toán khóa Wrap. IETF, tháng 9 năm 2002 (J. Schaad and R. Housley, RFC 3394: Advanced Encryption Standard (AES): Key Wrap Algorithm. IETF, September 2002)

[13] D. Whiting, R. Housley và N. Ferguson, RFC 3610: Bộ đếm với CBC-MAC (CCM). IETF, tháng 9 năm 2003 (D. Whiting, R. Housley and N. Ferguson, RFC 3610: Counter with CBC-MAC (CCM). IETF, September 2003)

[14] TCVN 11495 (Tất cả các phần) Công nghệ thông tin - Các kỹ thuật an toàn - Mã xác thực thông điệp (MAC).

MỤC LỤC

...

...

...

2  Tài liệu viện dẫn

3  Thuật ngữ và định nghĩa

4  Ký hiệu

5  Yêu cầu

6  Cơ chế mã hóa có sử dụng xác thực 1 (OCB 2.0)

6.1  Giới thiệu

6.2  Ký hiệu riêng

6.3  Yêu cầu riêng

6.4  Định nghĩa hàm M₂

...

...

...

6.6  Định nghĩa hàm J

6.7  Thủ tục mã hóa

6.8  Thủ tục giải mã

7  Cơ chế mã hóa có sử dụng xác thực 2 (Key Wrap)

7.1  Giới thiệu

7.2  Ký hiệu riêng

7.3  Yêu cầu riêng

7.4  Thủ tục mã hóa

7.5  Thủ tục giải mã

...

...

...

8.1  Giới thiệu

8.2  Ký hiệu riêng

8.3  Yêu cầu riêng

8.4  Thủ tục mã hóa

8.5  Thủ tục giải mã

9  Cơ chế mã hóa có sử dụng xác thực 4 (EAX)

9.1  Giới thiệu

9.2  Ký hiệu riêng

9.3  Yêu cầu riêng

...

...

...

9.5  Thủ tục giải mã

9.6  Thủ tục giải mã

10  Cơ chế mã hóa có sử dụng xác thực 5 (Mã hóa sau đó lấy MAC - Encrypt-then-MAC)

10.1  Giới thiệu

10.2  Ký hiệu riêng

10.3  Yêu cầu riêng

10.4  Thủ tục mã hóa

10.5  Thủ tục giải mã

11  Cơ chế mã hóa có sử dụng xác thực 6 (GCM)

...

...

...

11.2  Ký hiệu riêng

11.3  Yêu cầu riêng

11.4  Định nghĩa về phép nhân

11.5  Định nghĩa hàm G

11.6  Thủ tục mã hóa

11.7  Thủ tục giải mã

Phụ lục A  (Tham khảo) Hướng dẫn sử dụng các cơ chế

Phụ lục B  (Tham khảo) Ví dụ

Phụ lục C  (Quy định) Mô đun ASN.1

...

...

...