c++ - 如何使用 openssl 获取 AES-CCM 解密的标签信息

CCM（带有 CBC-MAC 的计数器）在RFC3610中定义。EVP_Authenticated_Encryption_and_Decryption中描述的带有 EVP 的 CCM 实现如下：

• 加密：在加密期间生成标签：

   int ccm_encrypt(...){
       ...
       /* Set tag length */
       EVP_CIPHER_CTX_ctrl(ctx, EVP_CTRL_CCM_SET_TAG, 14, NULL);
       ...
       /* Get the tag */
       EVP_CIPHER_CTX_ctrl(ctx, EVP_CTRL_CCM_GET_TAG, 14, tag);   // tag is generated here
       ...
   }
  

• 然后，标签连同密文一起传送给接收者。

• 解密：在解密期间，接收到的标签用于身份验证：

   int ccm_decrypt(...){
       ...
       /* Set expected tag value. */
       EVP_CIPHER_CTX_ctrl(ctx, EVP_CTRL_CCM_SET_TAG, 14, tag);   // tag is provided here
       ...
       /* ...obtain the plaintext output...*/
       ret = EVP_DecryptUpdate(ctx, plaintext, &len, ciphertext, ciphertext_len);   // tag is verified here
       ...
   }
  

仅当解密中使用的标签与加密期间创建的标签相同时，解密才有效。否则EVP_DecryptUpdate返回 0 并为解密数据提供一个零值数组。

我不知道图像来自哪里，但是 IMO 使用的 AES-CCM 解密EVP_aes_256_ccm()没有正确描述。

编辑：

使用 时EVP_aes_256_ccm()，必须知道加密标签才能进行解密（如上所述），因为解密和身份验证是一步完成的。

当然，解密和认证也可以分两步进行：第一步，使用AES-CTR进行解密，即确定明文和标签（CBC-MAC 1）。在第二步中，使用 CBC-MAC 从明文再次计算标签（CBC-MAC 2）（就像在加密过程中所做的那样）。如果两个标签（CBC-MAC 1 和 CBC-MAC 2）相同，则验证成功。

然而，据我所知，没有直接支持这种方法的 EVP 方法。但是，CCM 只是 AES-CTR 和 CBC-MAC 的组合，它们是根据RFC3610组合的。为此，您也可以通过这种方式实现 CCM，并使用 AES-CTR 和 CBC-MAC 所需的 EVP_methods：

• 对于 AES-256-CTR，有EVP_aes_256_ctr().
• 对于 CBC-MAC，需要 AES-256-CBC。为此，有EVP_aes_256_cbc().
• 以下是使用 EVP 方法的CBC 加密和CBC 解密的示例。当EVP_aes_256_cbc()替换为时，CTR 结果的相应 EVP 方法EVP_aes_256_ctr()。
• CBC-MAC 的确定本质上是一种 CBC 加密，因此EVP_aes_256_cbc()这里不需要其他 EVP 方法。

由于 AES-CTR 和 AES-CBC 已经在各自的 EVP 方法中实现，因此两种机制的输入格式都需要付出最大的努力。NIST 特别出版物 800-38C中有很好的描述。应该注意的是，今天AES-GCM已成为最流行的 AE(AD) 模式，请参见例如这篇文章。