Шифрование канала связи AES без MAC — какие возможны проблемы?
Есть канал связи между двумя старенькими компьютерами (соответственно они маломощные) через L2TP/IPsec, для шифрования канала связи выбран алгоритм AES-128-CBC без проверки подлинности пакетов MAC (без md5, sha1, sha256 и т.д.), на сколько это безопасно? Я так понимаю, что проверка подлинности пакетов нужда только для того чтобы перед расшифровкой AES алгоритмом, проверить не изменили ли хакеры пакет, если все нормально, то происходит расшифровка и пакету доверяют. Допустим если нет MAC и пакет поменяли хакеры, то пакет расшифровывают и что с ним делают дальше мне не совсем понятно, по идеи если не знать ключа шифрования, то при изменении пакета там будет после расшифровки мешанина или мусор.
Обмен ключами при установлении связи через DH (Diffie-Hellman) и с авторизацией по RSA2048 ключам, узнать и перехватить ключ шифрования нереально.
Использовать MAC я не хочу т.к. скорость связи и так очень низкая, а если еще и подпись пакетов добавить так вообще скорость будет ниже плинтуса. Менять размер MTU или менять на шифрование AES-128-GCM или менять способ шифрования канала связи просьба не предлагать.
Вопрос: при использовании AES-128-CBC без проверки подлинности пакетов MAC какие возможны проблемы?
md5, sha1 - да они уязвимы, хотя для взлома sha1 требутся огромная вычислительная мощьность.
sha256 - нет не уязвимы, мне такая информация не попадалась. Есть информация что есть найденные коллизии (и то не для сертифицированных 64 итераций, а для 31 итерации максимум), но так чтобы был реальный экслоит для вкрытия данных я не видел. Если у вас есть данные по уязвимости sha256 дайте пожалуйста почитать.
Maxim_Q, года 3 назад была какая-то шумиха что нашли коллизии, мне пришло письмо от издаетля SSL сертификатов о том, что типа SHA256 ненадежен и ссылка для получения нового сертификата с хешем SHA512. Точнее не в курсе, получил новый серт и забыл.
Простой
