Mode EAX

El mode EAX (encrypt-then-authenticate-then-translate ^[1]) és un mode d'operació per a xifratge de blocs criptogràfics. Es tracta d'un algorisme de xifratge autenticat amb dades associades (AEAD) dissenyat per proporcionar simultàniament l'autenticació i la privadesa del missatge (xifratge autenticat) amb un esquema de dues passades, una passada per aconseguir privadesa i una altra per a l'autenticitat per a cada bloc.

El mode EAX es va enviar el 3 d'octubre de 2003 a l'atenció del NIST per substituir CCM com a mode d'operació estàndard AEAD, ja que el mode CCM no té alguns atributs desitjables d'EAX i és més complex.

Xifratge i autenticació[modifica]

EAX és un esquema AEAD de dues passades flexible que no s'utilitza sense restriccions a la primitiva de xifrat de blocs que s'ha d'utilitzar, ni a la mida del bloc, i admet missatges de longitud arbitrària. La longitud de l'etiqueta d'autenticació és arbitràriament mida fins a la mida del bloc del xifrat utilitzat.

La primitiva de xifratge de blocs s'utilitza en el mode CTR per al xifratge i com a OMAC per a l'autenticació de cada bloc mitjançant el mètode de composició EAX, que es pot veure com un cas particular d'un algorisme més general anomenat EAX2 i descrit a El mode d'operació EAX ^[2]

La implementació de referència del document esmentat utilitza AES en mode CTR per a l'encriptació combinat amb AES OMAC per a l'autenticació.

Rendiment[modifica]

En ser un esquema de dues passades, el mode EAX és més lent que un esquema d'un pas ben dissenyat basat en les mateixes primitives.

El mode EAX té diversos atributs desitjables, en particular:

seguretat demostrable (depenent de la seguretat del xifrat primitiu subjacent);
L'expansió del missatge és mínima, limitada a la sobrecàrrega de la longitud de l'etiqueta;
utilitzar el mode CTR significa que el xifrat només s'ha d'implementar per al xifratge, per simplificar la implementació d'alguns xifratge (atribut especialment desitjable per a la implementació de maquinari);
l'algoritme és "en línia", és a dir, pot processar un flux de dades, utilitzant memòria constant, sense conèixer per endavant la longitud total de les dades;
l'algoritme pot processar prèviament les dades associades (AD) estàtiques, útils per a xifrar/desxifrar els paràmetres de sessió de comunicació (on els paràmetres de sessió poden representar les dades associades).

En particular, el mode CCM no té els darrers 2 atributs (CCM pot processar dades associades, no pot processar-les prèviament).

Ús[modifica]

Una modificació del mode EAX, anomenat EAX′ o EAXprime, s'utilitza a l'estàndard ANSI C12.22 per al transport de dades basades en comptadors a través d'una xarxa. El 2012 Kazuhiko Minematsu, Stefan Lucks, Hiraku Morita i Tetsu Iwata van publicar un article que demostra la seguretat del mode amb missatges més llargs que la clau, però demostra un atac trivial contra missatges curts utilitzant aquest mode. Els autors van afirmar que no sabien si els protocols ANSI C12.22 eren vulnerables a l'atac.^[3]

Referències[modifica]

↑ Bellare, M. «EAX: A Conventional Authenticated-Encryption Mode» (en anglès). IACR, 09-09-2003. [Consulta: 15 agost 2017].
↑ Bellare, Mihir. «The EAX Mode of Operation (A Two-Pass Authenticated Encryption Scheme Optimized for Simplicity and Efficiency)» (en anglès). Fast Software Encryption (FSE) 2004, April 2003. [Consulta: 15 agost 2017].
↑ Minematsu, Kazuhiko. «Attacks and Security Proofs of EAX-Prime» (en anglès). IACR, 14-05-2013. [Consulta: 15 agost 2017].

[1] Bellare, M. «EAX: A Conventional Authenticated-Encryption Mode» (en anglès). IACR, 09-09-2003. [Consulta: 15 agost 2017].

[2] Bellare, Mihir. «The EAX Mode of Operation (A Two-Pass Authenticated Encryption Scheme Optimized for Simplicity and Efficiency)» (en anglès). Fast Software Encryption (FSE) 2004, April 2003. [Consulta: 15 agost 2017].

[3] Minematsu, Kazuhiko. «Attacks and Security Proofs of EAX-Prime» (en anglès). IACR, 14-05-2013. [Consulta: 15 agost 2017].

[1]

[2]

[3]