子项派生和 ASP.NET Core 中的经过身份验证的加密

密钥环中的大多数键将包含某种形式的平均信息量，也将具有算法信息指出"CBC 模式加密 + HMAC 验证"或"GCM 加密 + 验证"。 在这些情况下，我们称此密钥的主密钥密钥材料 （或公里） 为嵌入的平均信息量和密钥派生函数派生的密钥将用于实际加密操作，我们会执行。

更多的已经过身份验证的数据和子项派生

IAuthenticatedEncryptor接口充当所有经过身份验证的加密操作的核心接口。 其Encrypt方法采用两个缓冲区： 纯文本和 additionalAuthenticatedData (AAD)。 纯文本内容流保持不变的调用IDataProtector.Protect，但 AAD 由系统生成和三个组件组成：

1. 32 位神奇标头 09 F0 第 9 频道 F0 标识此版本的数据保护系统。

2. 128 位密钥 id。

3. 长度可变的字符串名称来形成创建用途链IDataProtector的执行此操作。

因为 AAD 是为所有三个组件的元组唯一的我们可以使用它从 KM 派生新的密钥，而不是使用密钥主机本身中所有的我们的加密操作。 每次调用IAuthenticatedEncryptor.Encrypt，发生以下密钥派生过程：

( K_E, K_H ) = SP800_108_CTR_HMACSHA512(K_M, AAD, contextHeader || keyModifier)

在这里，我们正在呼叫 NIST SP800 108 KDF 计数器模式中 (请参阅NIST SP800 108，秒 5.1) 使用以下参数：

• 密钥派生密钥 (KDK) = K_M

• PRF = HMACSHA512

• 标签 = additionalAuthenticatedData

• context = contextHeader || keyModifier

上下文标头的可变长度是并实质上是充当我们要为其派生 K_E 和 K_H 的算法的指纹。 键修饰符是随机生成的每次调用一个 128 位字符串Encrypt并提供以确保能通过庞大的概率 KE 和 KH 是唯一的此特定身份验证加密操作时，即使所有其他输入 KDF 是常量。

CBC 模式加密 + HMAC 验证操作 |K_E |是对称块加密密钥的长度和 |K_H |是的 HMAC 例程摘要的大小。 GCM 加密 + 验证操作 |K_H |= 0。

CBC 模式加密 + HMAC 验证

K_E 生成后通过上述机制，我们生成的随机初始化向量，并运行对称块加密算法来加密纯文本。 然后通过使用密钥 K_H 以生成 MAC 初始化 HMAC 例程将初始化向量和已加密文本运行 下面以图形方式表示此过程，并返回值。

output:= keyModifier || iv || E_cbc (K_E,iv,data) || HMAC(K_H, iv || E_cbc (K_E,iv,data))

Galois/计数器模式加密 + 验证

K_E 生成后通过上述机制，我们将生成随机的 96 位 nonce 和运行对称块加密算法来加密纯文本并生成 128 位的身份验证标记。

输出: = keyModifier | |nonce | |E_gcm （K_E，nonce，数据） | |authTag