Надежное шифрование небольших непоследовательных кусков данных от 1 до 2¹⁶ байт

думаю CTR лучше чем CBC

Я ещё обратил внимание на гомоморфное шифрование, только не уверен, применимо ли оно здесь.

Олсо, вот http://besecure.bms-consulting.com/2013/12/blog-post_23.html

но я не уверен, смогу ли сделать уникальный счётчик

Как-то совсем непонятно, что за проблемы у тебя со счётчиком.

что за проблемы у тебя со счётчиком

потому что — куски не последовательные!

(но правда я не очень понимаю как они могут быть непоследовательными :) .. ведь даже непоследовательность — можно пронумеровать как последовательность)

[cast prischeyadro]

Данные генерируются на нескольких устройствах независимо, шифруются общим для устройств ключом и отправляются на сервер.

Сервер предоставляет возможность синхронизации зашифрованных данных.

Единственное, что я могу придумать в качестве счётчика - это какой-то хэш ещё не зашифрованных данных SHA1 (SHA256?) с солью. Соль можно генерировать из пароля, но не сообщать серверу, так как пароль одинаковый, то и соль на всех девайсах будет совпадать.

Такой хэш я использую для того, чтобы сервер мог отправить только список уникальных идентификаторов для клиента, а клиент сам мог запросить нужные данные для синхронизации (или наоборот, неважно), и при этом сервер вообще не может узнать, что за данные и что скрывается под этими идентификаторами.

Так вот, тут последовательно пронумеровать нельзя :( А можно ли использовать длинные числа (16 байт или больше) в качестве счётчика в прикладных реализациях AES-CTR я ещё не узнавал.

то есть суть в том что сервер сам этого ключа НЕ знает?

он принимает куски данных и хранит их (при желании выдаёт, клиенту) — но сам не знает что именно он хранит?

верно понял? :-)

[если это НЕ так — то сервер мог бы заняться сортировкой и перешифрованием того что получил ранее от источников.. а связывался бы с каждым источниками данных — через индивидуальные ключи (а не через общий ключ) для каждого из источников]

где-то что-то такое я уже читал на ЛОР.. кто-то отписывался что мол хочет организовать систему бэкапов из разных серверов, но так чтобы «левая рука не знала бы ни чего о правой руке» (орбазно выражаясь :))

Данные генерируются на нескольких устройствах независимо

IV разный на устройствах?
если да, то и счетчик нужно делать независимым на каждом устройстве.
если нет и устройств мало (гораздо меньше, чем размер IV и счетчика), то можно для каждого устройства выделить свой диапазон счетчика. тут главное убедиться, что количество сообщений, которые нужно шифровать меньше, чем период счетчика.
если нет и устройств много, то кажется ты делаешь что-то не так.

наиболее надежным я на свой профанский взгляд назвал бы свой IV на каждом устройстве и независимые счетчики.

А устройства случайно не поддерживают AES аппаратно?

IV разный на устройствах?
если да, то и счетчик нужно делать независимым на каждом устройстве.

а в CTR — IV это и есть часть счётчика... :)

то есть сам счётчик состоит из IV+i , где i=i+1 на каждом следующем блоке

а в CTR — IV это и есть часть счётчика... :)

судя по вики - нет, IV - это IV, а счетчик - это счетчик. там где в ECB передают IV в CTR передают IV+счетчик.

The IV/nonce and the counter can be combined together using any lossless operation (concatenation, addition, or XOR) to produce the actual unique counter block for encryption.

может ты хотел сказать, что счетчик является частью IV?
тогда ты в каком-то смысле прав (если считать CTR модификацией ECB с вычисляемым для каждого блока IV)

может ты хотел сказать, что счетчик является частью IV?

на каждую порцию данных (порция данных — это несколько блоков) — используется уникальный IV..

а на каждый блок — используется уникальное значение счётчика...

а вот теперь подумай что является частью чего :-)

и что же является частью чего, посвяти меня?
IV и счетчик задаются отдельно, а дальше вместе используются вычисления числа, который подается на вход алгоритму шифрования, я не знаю, что нужно курить чтобы два независимых числа оказались частью друг друга.

Нужно иметь возможность расшифровать любой без обработки соседних, так что шифровать все подряд CBC не получится.

Если у тебя проблема именно в расшифровке произвольного блока, то CBC как раз подойдет:блок шифротекста расшифровывается ключом шифрования, результат складывается по модулю 2 с предыдущим блоком шифротекста (либо вектором инициализации в случае самого первого блока).

Если тебе требуется как шифрование, так и расшифрование произвольного блока, то вариантов у тебя немного.

Ну у тебя стандартная задача же. К каждому блоку прикладываем известный уникальный псевдорандомный IV, тогда блок можно расшифровать независимо от остальных блоков, что с CBC, что с CTR. Единственное, в чём отличие от стандартной задачи — сделать так, чтобы независимо генерируемые на несвязанных серверах IV не совпали. Можно для генерации IV использовать независимые счётчики, но каждый со своим диапазоном+какая-нибудь общая для всех рандомная соль, и шифровать их дополнительным общим ключом.

Возможно я не совсем понял проблему, но могу вам предложить повысить энтропию данных перед шифрованием, таким образом что даже один и тотже блок данных будет иметь обсалютно отличную сигнатуру. Для этого можно данные в каждом блоке шифровать дважды. Например нужно передать блок из 16 байт, в начале мы генерируем случайный ключ (пусть будет 4 байта) и криптуем наши 16 байт этим ключем (например делаем простой XOR со здвигом, для больших блоков можно применить чтото по серьезней вроде 3DES/AES), далее формируем промежуточный блок из 20 байт (ключ + зашифрованые данные) - после все шифруем с помощью секретного ключа и отправляем в сеть.

При таком подходе злоумышленик не сможет вычислить секретный ключ по закриптованому блоку, даже если будет знать какие именно данные в нем находятся - поскольку ему нужно знать промежуточные данные для взлома, а они по своей структуре случайны.

В принципе идея схожа с вашей, только для тогоже XOR нужно меньше оверхеда при более высокой конечной энтропии. Также можно использовать ключи различной длинны + различные методы рандомизации данных в зависимости от размера блока.

то есть суть в том что сервер сам этого ключа НЕ знает?

он принимает куски данных и хранит их (при желании выдаёт, клиенту) — но сам не знает что именно он хранит?

Именно. Что-то похожее на Firefox Sync (с точки зрения пользователя), только у меня суммарный объем данных может достигать сотен мегабайт.

А устройства случайно не поддерживают AES аппаратно?

Некоторые - да, некоторые нет. Только я не пойму, как аппаратная поддержка AES может мне помочь.

К каждому блоку прикладываем известный уникальный псевдорандомный IV

Может ли этим служить 16-байтное число?

Это наверное наглость с моей стороны, но я хотел попросить потом выложить сравнение скорости работы на сравнимых девайсах с ним и без него.

Клиенты - это десктопы (Linux/Windows/BSD/MacOS), мобильные платформы (пока только Android, остальные в планах). Речь не идет об узкоспециализированных железках.

Или даже лучше 20[32]-байтное. Тогда можно в качестве уникального IV использовать хэш данных, который гарантирует приемлемую защиту от коллизий. Я что-то забыл, что SHA1 - 20 байт занимает. А меньший размер хэша мне кажется небезопасным.

Допустим, data - мой кусок данных. passwd - пароль, известный только клиентам, но не серверу.

salt - генерируется первым клиентом (при регистрации на сервере), случайных 16 байт, шифруется и передается на хранение на сервер. Сервер не знает salt, но может передать его другим клиентам в зашифрованном виде.

IV = hash(hash(data) + salt)

Так можно?

Или даже лучше 20[32]-байтное

Размер IV у тебя зависит от размера элементов блока. Ты его вряд ли сможешь свободно менять.

Тогда можно в качестве уникального IV использовать хэш данных, который гарантирует приемлемую защиту от коллизий.

И получить одинаковые IV и, в конечном счёте, полностью одинаковые шифротексты для двух одинаковых исходных блоков (например, кусков данных, забитых нулями). IV придумывалось ровно для того, чтобы этого не было.

и, в конечном счёте, полностью одинаковые шифротексты для двух одинаковых исходных блоков

Верно... спасибо.

А метод одноразового шифроблокнота не пойдёт? С ключом размером с входные данные