Passa al contenuto principale

Appendice B. Analisi Algoritmo AEAD (AEAD Algorithm Analysis)

Questa appendice include un'analisi degli algoritmi AEAD AEAD_AES_128_GCM, AEAD_AES_256_GCM e AEAD_AES_128_CCM. Questa analisi supporta i limiti di utilizzo definiti nella Sezione 6.6.

B.1. Analisi AEAD_AES_128_GCM e AEAD_AES_256_GCM

AEAD_AES_128_GCM e AEAD_AES_256_GCM appaiono robusti. I due algoritmi hanno limiti simili, quindi vengono descritti congiuntamente.

L'analisi di questi algoritmi deriva dai limiti descritti in [AEBounds]. Questi limiti sono:

Limite di Riservatezza (Confidentiality Limit):

  • Per AES-128-GCM e AES-256-GCM: 2^23 pacchetti crittografati

Questo limite garantisce che la probabilità che un attaccante possa distinguere l'output dell'AEAD da una permutazione casuale sia inferiore a 2^-57.

Limite di Integrità (Integrity Limit):

  • Per AES-128-GCM e AES-256-GCM: 2^52 tentativi di falsificazione

Questo limite garantisce che la probabilità che un attaccante possa falsificare con successo un pacchetto sia inferiore a 2^-57.

Gli endpoint che limitano le dimensioni dei pacchetti a valori piccoli possono utilizzare limiti più elevati. La relazione tra dimensione del pacchetto (l), numero di pacchetti (q) e probabilità di vantaggio (p) è descritta dalle formule di [AEBounds].

B.2. Analisi AEAD_AES_128_CCM

AEAD_AES_128_CCM è un algoritmo AEAD basato su AES con una modalità operativa diversa. L'analisi per questo algoritmo deriva da [CCM-ANALYSIS].

Limite di Riservatezza:

  • Per AES-128-CCM: 2^21.5 pacchetti crittografati

Limite di Integrità:

  • Per AES-128-CCM: 2^21.5 tentativi di falsificazione

Questi limiti sono più conservativi rispetto agli algoritmi GCM a causa delle differenze nella modalità operativa CCM.

Nota: Per l'analisi matematica completa, le formule dettagliate e le derivazioni, consultare il testo originale RFC 9001 Appendice B:
https://www.rfc-editor.org/rfc/rfc9001.html#appendix-B

Questa appendice fornisce:

  • Analisi dettagliata dei limiti di riservatezza e integrità
  • Formule per calcolare i limiti in base alle dimensioni dei pacchetti
  • Riferimenti alle analisi crittografiche sottostanti
  • Raccomandazioni per implementazioni con dimensioni di pacchetto limitate

Gli implementatori devono consultare questa appendice per comprendere i limiti teorici degli algoritmi AEAD e come applicarli correttamente nelle loro implementazioni QUIC.

Ultimo aggiornamento il