AES

• 共通鍵暗号の１つ
• NISTで標準化されているアルゴリズムの１つ
• 現在暗号と言ったら、ほぼこれが使用されている

  • TLS1.3の暗号アルゴリズムは、AESとchacha20しかない
  • wifiの通信暗号化もAES
  • 暗号化zipもAES
  • gpgではデータそのものはAESで暗号化している。公開鍵はAESの鍵を暗号化している。

鍵導出関数

AESに限った話ではないが、現代の共通鍵暗号ではパスワードをそのまま暗号鍵にしているわけではない。人の考えたパスワードは暗号鍵としては脆弱なので、パスワードが漏洩しなくても暗号データの解析から鍵を取得されてしまう恐れがある。よってパスワードから推測の難しいデータを導出して暗号鍵として使用する

以下のような鍵導出関数がある

• bcrypt
• argon2
• pbkdf2

暗号利用モード

• 暗号利用モード - Wikipedia

鍵よりも長いメッセージを暗号化する方式のこと。代表的なものを挙げる

• ECB (非推奨)
• CBC
• CTR
• GCM

ECBはブロック長ごとに同じ鍵でxorを取るというシンプルだが非常に脆弱な方式なので使用を避けるべき（ただし他の方式も初期化ベクトルを使い回すなどすると脆弱になるので注意）

CBC、CTRは今日よく使われている方式

GCMは暗号化に加えてメッセージ認証（改ざん検知）機能も併せ持っている。TLS v1.3で利用できるAES暗号は全てGCMである

コード例

Rubyでのコード例を示す。RubyはOpenSSLライブラリが添付されており、これを利用すると簡単にAES暗号が使える

暗号化

#
# usage:
#   ruby enc.rb plain_text password
#
 
require "openssl"
require "base64"
 
msg = ARGV[0]
pass = ARGV[1]
salt = OpenSSL::Random.random_bytes(8)
 
aes = OpenSSL::Cipher.new("AES-256-GCM")
aes.encrypt
 
iv = OpenSSL::Random.random_bytes(aes.iv_len)
 
aes.key = OpenSSL::PKCS5.pbkdf2_hmac_sha1(pass, salt, 2000, aes.key_len)
aes.iv = iv
# aes.auth_data = "secret"
 
encrypted = ""
encrypted << aes.update(msg)
encrypted << aes.final
 
 
puts [salt, iv, encrypted, aes.auth_tag].map { |d| Base64.urlsafe_encode64(d, padding: false) }.join(".")

復号

#
# usage:
#   ruby dec.rb encrypted_text password
#
 
require "openssl"
require "base64"
 
data = ARGV[0]
pass = ARGV[1]
 
salt, iv, encrypted, auth_tag = data.split(".").map{ |d| Base64.urlsafe_decode64(d) }
 
aes = OpenSSL::Cipher.new("AES-256-GCM")
aes.decrypt
 
aes.key = OpenSSL::PKCS5.pbkdf2_hmac_sha1(pass, salt, 2000, aes.key_len)
aes.iv = iv
aes.auth_tag = auth_tag
# aes.auth_data = "secret"
 
decrypted = ""
decrypted << aes.update(encrypted)
decrypted << aes.final
 
puts decrypted

auth_tag, auth_dataはAES-256-GCM、AES-128-GCMアルゴリズムで使用するメッセージ認証（データ改竄の検出）を行うためのデータ。auth_dataはオプショナルなので未指定でも可。これらはメッセージ認証機能のないAES-256-CBCなどを選択した場合は設定できない。