chacha20-ietf是否算在AEAD之中

NoBB

看http://shadowsocks.org/en/spec/AEAD-Ciphers.html之中只写出了chacha20-ietf-poly1305

kooneey

NoBB 发表于 2017-7-24 17:23
消息验证有何作用？单说安全性上，两者是否有区别。。。

防篡改和重放。

之前的算法都是只有加密而没有消息验证，这导致发送出去加密的数据被篡改，导致明文同样被篡改。

另外，最主要的是这几个AEAD算法提高了抗重放攻击的能力，之前55R作者放出来的SS嗅探脚本就是基于没有消息认证机制进行的，根据55的协议原理，对于之前的非AEAD算法只需要修改加密IV后面跟随的一个字节，最多256次就能判断出来这是不是一个SS服务器，包括后面SS出来的OTA也是为了试图解决这个问题，然而反而加深了坑。

vm.sg

不在。

kooneey

不算。
AEAD包含了消息验证，然而chacha20-ietf应该只有加密而不含消息验证。

NoBB

kooneey 发表于 2017-7-24 17:20
不算。
AEAD包含了消息验证，然而chacha20-ietf应该只有加密而不含消息验证。

消息验证有何作用？单说安全性上，两者是否有区别。。。

Yankee

I propose to introduce a per-session subkey derived from the pre-shared master key using HKDF, and use the subkey to encrypt/decrypt in both stream ciphers and AEAD ciphers. Essentially it means we are moving from (M+N)-bit (PSK, nonce) pair to (M+N)-bit (HKDF(PSK, salt), nonce) pair. Because HKDF is a PRF, the new construction significantly expands the amount of randomness (from N to at least M where M is much greater than N), thus correcting the previously mentioned design flaw.

Additionally, because the pre-shared key is usually generated from a human-chosen text password of insufficient entropy, the result is not very strong. HKDF gives us the benefit of producing cryptographically strong derived keys even if the input master key is weak.

参考：
https://shadowsocks.org/en/spec/AEAD-Ciphers.html
https://blessing.studio/why-do-shadowsocks-deprecate-ota/
https://github.com/shadowsocks/shadowsocks-org/issues/42

plyu007

不在，且 chacha20-ietf 是旧协议了

mjever

那么，怎么才能用chacha20-ietf-poly1305呢

NoBB

Yankee 发表于 2017-7-24 17:31
参考：
https://shadowsocks.org/en/spec/AEAD-Ciphers.html
https://blessing.studio/why-do-shadowsocks- ...

感谢感谢！

NoBB

plyu007 发表于 2017-7-24 17:35
不在，且 chacha20-ietf 是旧协议了

嗯嗯，这个还真没了解过，之前一直用的aes-256-cfb。。。感谢回复！