我正在使用的应用程序允许用户加密文件。文件可以是任何格式(电子表格,文档,演示文稿等)。
对于指定的输入文件,我创建了两个输出文件-加密的数据文件和密钥文件。您需要这两个文件来获取原始数据。密钥文件只能在相应的数据文件上工作。它不能在来自同一用户或任何其他用户的任何其他文件上工作。
AES算法需要两个不同的参数进行加密,分别是密钥和初始化向量(IV)。
我看到创建密钥文件的三个选择:
请注意,它是由不同客户使用的同一应用程序。
看来这三个选择都可以达到相同的最终目标。但是,我想就正确的方法获得您的反馈。
Answers:
从其他答案中可以看出,每个加密文件具有唯一的IV至关重要,但这为什么呢?
首先-让我们回顾一下为什么每个加密文件唯一的IV很重要。(IV上的维基百科)。IV为您的加密过程的开始增加了随机性。当使用链接块加密模式(其中一个加密数据块合并了先前的加密数据块)时,我们会遇到关于第一个块的问题,这是IV的所在。
如果您没有IV,并且仅使用密钥使用链接块加密,则两个以相同文本开头的文件将产生相同的第一个块。如果输入文件在中途更改,则两个加密文件从此时开始直到加密文件的末尾将看起来不同。如果有人在一开始就注意到了相似之处,并且知道其中一个文件是从哪个开始的,那么他可以推断出另一个文件是从哪个开始的。了解明文文件的开头和对应的密文是什么,可以使该人确定密钥,然后解密整个文件。
现在添加IV-如果每个文件使用随机IV,则它们的第一个块将不同。上面的情况已被阻止。
现在,如果每个文件的IV相同怎么办?好吧,我们又遇到了问题。每个文件的第一块将加密为相同的结果。实际上,这与完全不使用IV没什么不同。
现在,让我们进入您建议的选项:
选项1.将硬编码的IV嵌入应用程序中,并将密钥保存在密钥文件中。
选项2.将硬编码的密钥嵌入应用程序中,并将IV保存在密钥文件中。
这些选项几乎相同。如果两个以相同文本开头的文件生成了以相同密文开头的加密文件,那么您将被束缚。这两种情况都会发生。(假设有一个主密钥用于加密所有文件)。
选项3.将密钥和IV保存在密钥文件中。
如果对每个密钥文件使用随机IV,那很好。没有两个密钥文件是相同的,并且每个加密文件都必须具有它的密钥文件。其他密钥文件将不起作用。
PS:一旦您选择了选项3和随机IV,请开始研究如何确定解密是否成功。从一个文件中获取一个密钥文件,然后尝试使用它来解密另一个加密文件。您可能会发现解密继续进行并产生垃圾结果。如果发生这种情况,请开始研究经过身份验证的加密。
关于IV的重要一点是,您绝不能对两个消息使用相同的IV。其他所有事情都是次要的-如果您可以确保唯一性,那么随机性就不那么重要了(但仍然是一件非常好的事情!)。IV不必是秘密的(实际上,在CBC模式下不能)。
因此,您不应将IV与密钥一起保存-这意味着您对每条消息都使用相同的IV,这使获得IV毫无意义。通常,您只需将IV直接添加到加密文件中即可。
如果要像这样滚动自己的密码模式,请阅读相关标准。NIST在此处提供了有关密码模式的出色文档:http : //dx.doi.org/10.6028/NIST.SP.800-38A附录C中记录了IV代。密码术是一种微妙的艺术。不要试图在普通密码模式上产生变化;99%的时间,您将创建看起来更安全但实际上不安全的东西。
使用IV时,最重要的是IV应该尽可能唯一,因此在实践中您应该使用随机IV。这意味着无法将其嵌入到您的应用程序中。我将IV保存在数据文件中,因为只要IV是random / unique,它就不会损害安全性。
