我应该在AESGCM中使用迭代吗？

Question

读到RijndaelManaged是 aesgcm （在.net core 3.1中引入。优于，我正在尝试实现 aesgcm 使用此答案。

这是我的代码：

/// Perform AES Encryption, returning the result as a byte array.
/// </summary>
/// <param name="bytesToEncrypt">string, file or data represented as byte array</param>
/// <param name="passwordBytes">A unique password for the encryption (must be 32 bytes?)</param>
/// <returns>The data encrypted</returns>
public byte[] EncryptData(byte[] bytesToEncrypt, byte[] passwordBytes)
{
    // Based on https://stackoverflow.com/questions/60889345/using-the-aesgcm-class/60891115#60891115

    // Get parameter sizes
    int nonceSize = AesGcm.NonceByteSizes.MaxSize;
    int tagSize = AesGcm.TagByteSizes.MaxSize;
    int cipherSize = bytesToEncrypt.Length;

    // We write everything into one big array for easier encoding
    int encryptedDataLength = 4 + nonceSize + 4 + tagSize + cipherSize;
    Span<byte> encryptedData = encryptedDataLength < 1024
                             ? stackalloc byte[encryptedDataLength]
                             : new byte[encryptedDataLength].AsSpan();

    // Copy parameters
    BinaryPrimitives.WriteInt32LittleEndian(encryptedData.Slice(0, 4), nonceSize);
    BinaryPrimitives.WriteInt32LittleEndian(encryptedData.Slice(4 + nonceSize, 4), tagSize);
    var nonce = encryptedData.Slice(4, nonceSize);
    var tag = encryptedData.Slice(4 + nonceSize + 4, tagSize);
    var cipherBytes = encryptedData.Slice(4 + nonceSize + 4 + tagSize, cipherSize);

    // Generate secure nonce
    RandomNumberGenerator.Fill(nonce);

    // Encrypt
    using (var aes = new AesGcm(passwordBytes))
    {
      aes.Encrypt(nonce, bytesToEncrypt.AsSpan(), cipherBytes, tag);
    }
    


    return encryptedData.ToArray();

}


/// <summary>
/// Takes in an AES encrypted byte array, decrypts it and returns the resulting unencrypted byte array.
/// </summary>
/// <param name="encryptedBytes">A string, file or object represented as a byte array that's previously been encrypted.</param>
/// <param name="passwordBytes">The password used to encrypt the data. </param>
/// <returns></returns>
public byte[] DecryptData(byte[] encryptedBytes, byte[] passwordBytes)
{
    // Decode
    Span<byte> encryptedData = encryptedBytes.AsSpan();

    // Extract parameter sizes
    int nonceSize = BinaryPrimitives.ReadInt32LittleEndian(encryptedData.Slice(0, 4));
    int tagSize = BinaryPrimitives.ReadInt32LittleEndian(encryptedData.Slice(4 + nonceSize, 4));
    int cipherSize = encryptedData.Length - 4 - nonceSize - 4 - tagSize;

    // Extract parameters
    var nonce = encryptedData.Slice(4, nonceSize);
    var tag = encryptedData.Slice(4 + nonceSize + 4, tagSize);
    var cipherBytes = encryptedData.Slice(4 + nonceSize + 4 + tagSize, cipherSize);

    // Decrypt
    Span<byte> plainBytes = cipherSize < 1024
                          ? stackalloc byte[cipherSize]
                          : new byte[cipherSize];
    using (var aes = new AesGcm(passwordBytes))
    {
      aes.Decrypt(nonce, cipherBytes, tag, plainBytes);
    }
    

    // Convert plain bytes back into string
    return plainBytes.ToArray();
}

我注意到的一件事，似乎没有迭代的地方。

例如，在Aesmaned中，我总是像以下内容一样迭代，因为迭代使攻击变得更加复杂。我遵循了类似的模式，密码哈希：

// Set Symmetric encryption algorithm
// Based on http://stackoverflow.com/questions/27645527/aes-encryption-on-large-files
var AES = Aes.Create("AesManaged");
AES.KeySize = 256;
AES.BlockSize = 128;
AES.Padding = PaddingMode.PKCS7;

//http://stackoverflow.com/questions/2659214/why-do-i-need-to-use-the-rfc2898derivebytes-class-in-net-instead-of-directly
//"What it does is repeatedly hash the user password along with the salt." High iteration counts.
var key = new Rfc2898DeriveBytes(passwordBytes, salt, 100000);
AES.Key = key.GetBytes(AES.KeySize / 8);
AES.IV = key.GetBytes(AES.BlockSize / 8);
...

我感谢 nonce 会产生影响，但是我以前所做的一切都依赖多次迭代，所以似乎奇怪的是不在 AESGCM 。

AESGCM似乎没有迭代的手段。我应该在某个地方迭代一部分吗？如果我应该迭代，我该怎么做？

Answer 1

阅读了 rijndaelmanaged 已被弃用， aesgcm （.net core 3.1中引入）优于 aesmanaged ，我正在尝试尝试实施 AESGCM 使用本教程和此答案。

rijndaelmanaged 已弃用，但它是一个实现类。您应该一直使用 aes.create 而不是很长一段时间，更喜欢no-argument构造函数。通常，这将为您提供优化的C/C ++版本，该版本可以利用CPU的一部分（很可能）的AES_NI指令集。使用.NET实现“托管”类，并且狗慢> 。

AESGCM 可以并且应该直接使用，并在密码中添加了真实性和完整性。

 使用var aes = new aesgcm（passwordbytes）;
 

是的，不，那是不对的。密码不是密钥，AES在密钥上而不是密码。因此，缺少密钥（可能是IV）的部分（可能是IV）。这应该从您提到的上一个示例中复制。但是，您应该使用 int nonceize = aesgcm.noncebyize.maxsize ，因为gcm最适合96位/12个字节nonce（我想，我想给您的东西，原则上，GCM对于NONCE没有功能最大。

当然，如果允许性能，则​​可以增加迭代次数。只要您应该为每个新的密文更改盐，就可以计算nonce ，就可以计算nonce。当心，如果盐和nonce 重复< / strong>重复出现，您的方案将非常失败，因此请确保使用128位 / 16字节盐。

---

AESGCM似乎没有迭代的手段。我应该在某个地方迭代一部分吗？如果我应该迭代，我该怎么做？

没错，但这是因为它假定是一个完全随机的密钥。如果您有密码，则必须执行PBKDF2（ RFC2898DeriveBytes class insterments）或其他基于密码的键推导功能。

---

当心AES-GCM的上限为64 GIB（减去几个字节）。

更糟糕的是，它要求您将所有明文 /密文存储在缓冲区中。从这种意义上讲，它可能不是基于文件加密的最佳选择。您也可以使用GCM加密块，但是您需要在身份验证标签上执行HMAC，以确保未重新排序单独验证的块。

iv和ciphertext上的AES-CBC + HMAC可能是另一个选择。

Answer 2

第一个重要的一点是您的第二个样本从密码生成IV。 不要执行此操作！对于每个加密需要唯一的IV，尤其是在重复使用键时。您正在AES-GCM样本中正确执行此操作，在该样本中，您会生成一个随机的nonce，该nonce是在密文开始时发送的。

一个基本示例：想象一下您使用相同的共享键加密两条以同一文本开头的消息。如果您对两者都使用相同的IV，则两个密文也将相同。你不想要这个。

---

AES需要一个完全合适的键。 RFC2898DeriveBytes 用于将任意长度密码转换为具有正确数字字节数的密钥。在您的第二个示例中， passwordbytes 可能是任何长度。

在您的AES-GCM示例中， passwordBytes 直接传递给 aesgcm 构造函数。因此， passwordbytes 必须已经是正确的长度。

如果愿意，您可以在 rfc2898derivebytes 上使用 passwordbytes 之前，然后将结果键传递到 aesgcm constructor。这将使您使用任何长度的 passwordbytes 。

Answer 3

AES GCM 256在框架5及以上运行...
因此，首先使用框架5及以上编写程序
我已经写了一个示例类用来使用它和库
使用System.Security.Cryptography;
我在此类中添加了此类

 internal class class_Encrypt_Decrypt_AES_GCM
{

    public byte[] Encrypt(String key, string payload, byte[] header_aad, byte[] tag)
    {
        byte[] cipherText = new byte[payload.Length];
        try
        {
            //string key = "a05e19dc2682a72a8a9fe3d70707393e";Example
            // string payload = "Hello";Example
            //  byte[] tag = new byte[16];Example
            // byte[] header_aad = { 0x5a, 0xa5, 0x0, 0x6, 0x1a };Example
            int payload_len = payload.Length;

            byte[] bytes_key = Encoding.ASCII.GetBytes(key);

            byte[] bytes_IV = new byte[16];
            byte[] send_IV = new byte[12];
            bytes_IV = IV_generator();
            byte[] bytes_payload = new byte[payload.Length];
            byte[] bytes_payload1 = Encoding.ASCII.GetBytes(payload);
            Array.Copy(bytes_payload1, bytes_payload, bytes_payload1.Length);
            Array.Copy(bytes_IV, send_IV, bytes_IV.Length - 4);

           
            int num = payload.Length;
            header_aad[3] = (byte)(num & 0xff);
            //----------hi byte
            header_aad[2] = (byte)(num >> 8 & 0xff);
            //==========================================
            AesGcm aesGcm = new AesGcm(bytes_key);
            aesGcm.Encrypt(send_IV, bytes_payload, cipherText, tag, header_aad);

            // String IV_STR = Convert.ToString(send_IV);
            // String key_STR = Convert.ToString(bytes_key);
            // String RES = Convert.ToString(cipherText);
            //example for Decoder
            //  aesGcm.Decrypt(send_IV, cipherText, tag, bytes_payload, header_aad);
            //  string result = ASCIIEncoding.UTF8.GetString(bytes_payload);


        }
        catch (Exception e2)
        {

            int b = 0;
        }
        return cipherText;


    }

    private byte[] IV_generator()
    {
        byte[] byte_IV = new byte[16];
        Random rnt = new Random(DateTime.Now.Day);
        byte[] byte_time_rnd = new byte[16];
        rnt.NextBytes(byte_time_rnd);

        byte[] byet_sha384_date;
        SHA384 shaM = new SHA384Managed();
        byet_sha384_date = shaM.ComputeHash(Encoding.ASCII.GetBytes(DateTime.Now.Date.ToString()));


        for (int i = 0; i < byte_time_rnd.Length; i++)
        {
            byte_IV[i] = (byte)(byet_sha384_date[i] ^ byte_time_rnd[i]);
        }
        return byte_IV;

    }

，还有一个用于制作IV的函数，其中我使用了时间参数