认证加密算法兼具加密算法和消息鉴别码的功能,能够同时保护数据机密性、完整性、以及数据源认证。认证加密算法的研究始于上世纪末,早期的算法多采用组合方式设计,人们凭直觉组合加密算法和消息鉴别码算法设计了三种认证加密算法: 先加密后认证(EtM)、先认证后加密(MtE)、加密认证同时进行(E&M),这三种构造方式的优势在于通用性,它们广泛适用于常见的加密算法和消息鉴别码算法,但其没有令人信服的安全性。Bellare和Rogaway 等分析了EtM、MtE、E&M 的安全性,正式提出认证加密的概念。
目前的认证加密算法可以归纳为两类,一是分组密码工作模式类;另一类是直接设计的认证加密算法。分组密码工作模式类的认证加密算法又称分组密码认证加密模式,它以黑盒调用分组密码,优点是可以方便替换底层分组密码算法,比较典型的算法有OCB 、GCM、CCM、EAX等,这方面的研究始于十几年前NIST 对AES 认证加密工作模式的征集,基于成熟的分组密码,安全性分析采用可证明安全理论。
早期认证加密工作模式所面对的应用场景是一些比较宽泛的通用性场景,在软硬件资源方面没有严格限制, 对算法功能也很少有特别需求。近些年随着信息产业的迅猛发展,需要密码保护的范围更为广阔,人们却发现以往的通用性算法不再适用。最常见原因是某些应用中软硬件资源极其受限(比如RFID),没有足够的电池容量、电路门数、内存容量以运行传统算法。
此外,新的应用环境对算法的安全强度、算法功能提出了新的指标,也导致了传统算法在新环境下“水土不服”。在认证加密算法方面,最近几年不断涌现出专注于降低实现代价和优化效率的直接设计,比如AEGIS、ALE 等算法。借助Intel近几年推出的新款CPU中的AESNI 指令,它们可以达到极高的运行速度。
而在内存方面,FIDES等算法几乎精简到极致,以及基于置换的轻量化APE ,这使得它们在一些资源受限环境中拥有其他算法无可比拟的优势。直接设计的认证加密算法一般实现代价低、速度快,通常利用消息更新密码算法的状态,消息认证的代价很少;但问题在于安全性不能从理论上证明,只能评估其针对各种分析方法的安全性。
近年的研究发现,标准GCM存在弱密钥而且最初的安全证明存在缺陷,打破了人们对GCM 的安全性预期。考虑到GCM在全球通信系统中的广泛应用,NIST专门资助展开CAESAR 竞赛,旨在用五年时间推动认证加密算法的研究和标准化。该竞赛自2013年初正式发布以来,在2014 年3月的第一轮中收到了来自全球的57 个算法, 集中体现了认证加密算法的设计趋势。更加注重具体应用需求,比如预计算少、有效处理短消息、适宜嵌入式处理器或资源受限环境等。 努力提高算法的健壮性,尽量避免因算法实现者或使用者操作不当而导致的安全漏洞,比如抗Nonce 重用、健壮性认证加密等。分组密码、流密码和杂凑函数等对称密码设计理念在认证加密算法中得到了充分融合,许多候选算法以加密算法和认证算法作为基本单元或借鉴其设计理念。一些候选算法存在严重的安全漏洞, 一方面在于设计者经验不足,过于注重速度、延迟等算法实现性能,而相对忽视了安全方面的考虑;另一方面在于大家对认证加密的安全模型认识不够深刻。事实上,认证加密是一个成长中的概念,不同阶段、不同的环境对它有着不同的要求,目前人们还没有给出一个最终定论。直接设计的认证加密算法,种类多,效率高,是未来发展的趋势,但是安全性基础不够坚固,安全性分析评估有待深入研究。
