问如何选择AES-CCM和AES-GCM进行存储卷加密

EN

如果你在2020年阅读这篇文章，应用程序应该使用GCM模式。

CCM (CBC-MAC计数器)

• 消息认证(通过CBC)是在明文上进行的，而不是密文。(这通常不是一个可取的特性) 。
  • 在加密操作中，加密和MAC可以并行进行，但通常不会(通常是因为一个芯片中只有一个AES引擎，一次只有一个AES线程，等等)。类似的语句也适用于解密。

• 每个区块的性能成本实质上是2 x AES操作。
• 不能并行化
• 从TLS 1.3 (2018)开始，CCM密码就可以在OpenSSL中使用，但默认情况下是禁用的。

GCM (Galois计数器模式)

• GCM密码是目前世界上使用最广泛的分组密码。从TLS 1.2 (2008)开始强制执行，大多数客户默认使用。
• 消息认证(通过GMAC/GHASH)在密文上进行。(这在大多数情况下都是可取的。)注意，在大多数实现中，由于性能原因，auth检查和解密是并行进行的。
• 性能成本为1倍AES操作和每块1倍GHASH (GHASH一般比AES快，因此GCM更快)
• 多个块的加密/解密可以很好地并行化。

对于大多数需要认证加密的应用程序，GCM应该被认为优于CCM。由于所发生的身份验证，GCM不容易受到可以针对计数器模式或其他流模式进行的比特翻转和其他攻击。

在使用GCM之前，需要注意一些细微差别，涉及加密消息的最大大小和MAC大小。这些都是在标准(NIST SP800-38D)中列出的。