POLY1305-AES — код аутентификации сообщения (англ. MAC) ,разработанный Даниэлем Дж. Бернштейном[англ.]. Является комбинацией POLY-1305 и AES-128 , и как любой код аутенфикации, POLY1305-AES[1] можно использовать для проверки целостности данных и подлинности сообщения.
Poly1305-AES вычисляет 16-байтовый аутентификатор сообщения любой длины, используя 16-байтовый одноразовый номер (уникальный номер сообщения) и 32-байтовый секретный ключ.
AES используется для шифрования одноразового номера, чтобы получить уникальную (и секретную) 128-битную строку, но при желании AES-128 можно заменить любой другой функцией c гарантией безопасности, например ChaCha20.
Poly1305-AES получает на вход[2]
и вычисляет 16-байтовый аутентификатор .
Ключ представляет собой 128-битное целое число r с прямым порядком байтов от младшего к старшему (англ. little-endian ), т.е. . При этом ключ должен соответствовать определённым требованиям: у , , и первые 4 из 8 битов должны быть равны 0, а у , и последние 2 бита должны быть равны 0. Таким образом может принять различных значений
Изначально для деления по модулю рассматривались простые числа больше (128 битов – длина фрагмента сообщения). Для простоты вычислений было решено выбрать простое число .
Причин, по которым алгоритм использует однократно используемое число несколько: Во-первых, вероятность взлома протоколов, не использующих такие числа можно выразить формулой: , где количество сообщений, – количество попыток взлома, -максимальная длина сообщения. А с однократно используемым числом вероятность будет такая: . Во-вторых, одноразовые номера позволяют проводить выполнение алгоритма AES-128 параллельно с другими операциями Poly1305-AES, что уменьшает общее время вычисления аутентификатора. В-третьих, большинство протоколов так или иначе имеют такие одноразовые номера для более безопасного шифрования.
Длина дополнительного ключа была ограничена 16-ю байтами для ускорения вычислений. При этом возможен ключ длинее для усиления безопасности, но текущая вероятность взлома достаточно низкая, чтобы считать алгоритм при текущей длине ключа безопасным. Но при увеличении длины ключа, общее время вычисления будет слишком долгим, что лишит POLY1305-AES преимущества перед другими алгоритмами. Так же для ключа был выбран прямой порядок байтов, вместо обратного (англ. Big-endian), так как он экономит время на самых популярных процессорах.
clamp(r): r &= 0x0ffffffc0ffffffc0ffffffc0fffffff poly1305_mac(msg, key): r = le_bytes_to_num(key[0..15]) clamp(r) s = le_bytes_to_num(key[16..31]) a = 0 /* a is the accumulator */ p = (1<<130)-5 for i=1 upto ceil(msg length in bytes / 16) n = le_bytes_to_num(msg[((i-1)*16)..(i*16)] | [0x01]) a += n a = (r * a) % p end a += s return num_to_16_le_bytes(a) end— ChaCha20 and Poly1305 for IETF Protocols, IRTF
Принято считать, что безопасность POLY1305-AES гарантирована, если можно гарантировать безопасность алгоритма AES. Если у злоумышленника есть зашифрованных сообщений и он совершает D попыток взлома сообщений длиной не больше байтов, - вероятность взлома AES, то вероятность взлома POLY1305-AES будет Рассмотрим случай, когда сообщения представляют из себя пакеты длиной до 1536 байт, злоумышленник имеет сообщений зашифрованных POLY1305-AES и совершает попыток взломать, а вероятность взлома . В таком случае вероятность, что злоумышленник не сможет взломать код аутентификации послания [4]. Для сравнения, при таких параметрах можно легко взломать другие 16-байтные MAC, например CBC-AES, HMAC-MD5 и DMAC-A.
Poly1305-AES можно вычислять с чрезвычайно высокой скоростью, например для AMD Athlon требуется менее 3.1n + 780 циклов для сообщения длиной n байт. Даниэль Дж. Бернштейн опубликовал исходный код на SPARC, AIX, macOS, Pentium Pro/II/III/M и Athlon. А также эталонную реализацию алгоритма на C, C++, Python и Perl[5].
Ниже представлен список криптографических библиотек, в которых есть реализация Poly1305: