您应该验证 ipsec 中的初始化向量吗？

Question

根据 RFC4106，我正在尝试在传输模式下以 ESP 的形式实现 IPSEC，并在伽罗瓦/计数器模式下使用 aes。

我应该将初始化向量放在转换后的数据包中的密文之前。

它应该是经过身份验证（但未加密）数据的一部分吗？ （我假设你没有加密它......）

我看不到 RFC 在哪里指定了这一点。它应该是显而易见的吗？如果是的话，为什么？

Answer 1

据我理解 GCM 定义，不需要在中包含初始化向量相关数据 - 使用不同的初始化向量将给出不同的加密结果以及不同的完整性检查值。

这就是使用组合认证加密模式的优点，您不必关心在 MAC 中包含初始化向量。

因此，要使用 GCM 对 ESP 数据包进行编码，请执行以下操作：

• 获取密钥
• 生成 IV
• 计算关联数据（根据 SPI 和序列号）
• 获取明文
• 将 IV、关联数据、密钥、明文传递给 GCM 算法
• 获取密文和ICV从GCM算法
• 发送IV、密文和ICV

Answer 2

对于 AES-GCM-ESP，IV（尤其是 8 字节的 iv）不是 AAD 的一部分。 AAD 只是 ESP 标头。
请注意，传递给 AES_GCM 的 IV 是 salt(fourbytes) + iv(esp iv of 8bytes) 的串联。一些硬件加密引擎将 IV 视为 16 字节，在这种情况下，您需要将最后四个字节填充为 0x0。

检查这个文档，它非常简洁
http://csrc.nist .gov/groups/ST/toolkit/BCM/documents/proposemodes/gcm/gcm-revised-spec.pdf

Answer 3

不，你不应该。

应该是显而易见的吗？
通常是的。许多其他 ESP 机制的 RFC 都包含测试向量来消除此类问题。
RFC4106 没有。在讨论期间注意到了这一点，但他们没有将其写入文本： https://www.ietf.org/mail-archive/text/ipsec/2005-08.mail

不过，有一个包含测试向量的草稿文档：https://datatracker.ietf.org/doc/html/draft- mcgrew-gcm-test-01 。您会注意到 IV（“nonce”的字节 4-11，第一个示例中的 4956ed...）包含在数据包数据中明文。它们不包含在“明文”中，也不包含在“aad”中，“aad”是通过 GCM 密码验证的数据总量。

还要考虑 GCM 密码本身的 IV 是盐和 ESP IV 的串联 - 称为“随机数”以避免歧义。盐是从 IKE 期间协商的密钥材料中获得的，因此它在两个端点之间达成一致，并且在 SA 生命周期内保持不变。

Answer 4

显然这两个显而易见的答案都是正确的。

根据 RFC 4543 指定 ENCR_NULL_AUTH_AES_GMAC（无需加密的身份验证），您可以包含 IV。

然而，同一个 RFC 说，对于 AES-GCM-ESP（加密和身份验证），您没有。

有了这些信息，现在很清楚，这就是 RFC 4106 （实际上指定了 AES -GCM-ESP）也这么说，尽管我一开始并不是这么解释的。