消息验证码 (MAC) 是否确保所用密钥的真实性？

Question

我必须使用密码保护记录文件的机密性、完整性和真实性。记录的数量可能会超过 32^2，并且每个记录都可以独立访问。

实现它的一种方法是

1. 生成 256 位随机盐并将其存储在文件头中。
2. 使用 PBKDF2 和来自 PKCS #5 的 HMAC-SHA256 从密码和盐生成派生密钥。
3. 对于每个记录生成一个 96 位随机初始化向量。
4. 在 GCM 模式下使用派生密钥、初始化向量和（作为附加的经过身份验证的数据）记录在文件中的位置，使用 AES-256 加密每个记录的内容。
5. 因此，每条记录将存储一个初始化向量、一个加密内容和一个 MAC。

但是 NIST 特别出版物 SP800-38D 定义了 GCM 和 GMAC< /a> 要求记录数小于 32^2，初始化向量才能唯一。

因此我设计了另一个解决方案：使用 HMAC-SHA256 为每个记录创建一个密钥，使用派生密钥作为密钥，并将记录在文件中的位置作为要验证的消息（盐）。

所以问题是我是否需要将文件中记录的位置提供给经过身份验证的加密算法 作为附加的经过身份验证的数据，因为我在生成密钥时已经处理过它？

另外，我真的需要使用初始化向量吗，因为所有记录都将被加密并且 使用 HMAC-SHA256(PBKDF2(HMAC-SHA256, 密码, salt, iterationCount, 256), blockAddress) 生成的假定不同的密钥进行身份验证？

我不知道该文件的大小是多少，所以我认为它可能非常大。

Answer 1

如果我正确理解了你的意思（有点免责声明，抱歉）那么你应该没问题，无需在文件中的记录中添加位置。

不，如果您只使用（会话）密钥一次，则不需要随机 IV。使用由零组成的 IV 就足够了（确定性结构，使用一个设备和设置为零的计数器，如果我们遵循 NIST 命名法）。