認証付き暗号(AEAD)の必要性を調べて分かったところ
#認証付き暗号 #AEAD #セキュリティ
秘匿性と完全性の両立
暗号化されたストリームを復号するときにデータの末端にハッシュがあるとストリームの復号において完全性を保証するために末端まで待たないといけない。
関連: 「OpenPGP.js: デフォルトだと復号がストリーミングされない理由と解決策」
選択暗号文攻撃に対して安全になる。
秘匿性と完全性の保護に加えて、認証付き暗号は平文既知性 (PA: plaintext awareness) を備えており、選択暗号文攻撃に対して安全である。この種の攻撃で敵は、よく考えられた暗号文を "復号オラクル" に渡して復号結果を分析することで、暗号システムの攻略ヒント (たとえば秘密鍵に関する情報など) を得ようとする。認証付き暗号システムは不適切に細工された暗号文を識別して復号を拒否することができる。
引用元: 認証付き暗号 - Wikipedia
なぜ選択暗号文攻撃かは上記のWikipediaの認証付き暗号の暗号化の手法(Encrypt-then-MACなど)を見て復号するするときの処理を考えればわかりそう。
完全性が保証できることは真先に思いつく。だが特定の攻撃に対して耐性を持つのは個人的に学びだった。