それらのどれがどのような状況で好まれますか？

さまざまなモードの評価基準のリストと、各基準の適用可能性についての説明をご覧ください。

たとえば、基準の1つは暗号化と復号化の「コードのサイズ」であると思います。これは、802.11ネットワークアダプターなどのマイクロコード組み込みシステムにとって重要です。CBCの実装に必要なコードがCTRに必要なコードよりもはるかに小さい場合（これが本当かどうかはわかりませんが、これは単なる例です）、小さいコードのモードが望ましい理由を理解できました。しかし、サーバーで実行するアプリを作成していて、使用しているAESライブラリがいずれにせよCBCとCTRの両方を実装している場合、この基準は無関係です。

「評価基準と各基準の適用可能性のリスト」の意味を参照してください??

これは実際にはプログラミング関連ではありませんが、アルゴリズム関連です。

• 同じキーで複数のデータブロックを暗号化する場合は、ECBを使用しないでください。

• CBC、OFB、CFBは似ていますが、暗号化のみが必要であり、復号化は必要ないため、コードスペースを節約できるため、OFB / CFBの方が優れています。

• CTRは、CBC / OFB / CFBではなく、適切な並列化（速度）が必要な場合に使用されます。

• XTSモードは、ランダムアクセス可能なデータ（ハードディスクやRAMなど）をエンコードする場合に最も一般的です。

• OCBは、単一のパスで暗号化と認証を行うことができるため、断然最良のモードです。しかし、米国ではそれに関する特許があります。

あなたが本当に知っておくべき唯一のことは、あなたが1ブロックだけを暗号化しているのでない限り、ECBは使用されないということです。ストリームではなくランダムにアクセスされるデータを暗号化する場合は、XTSを使用する必要があります。

• 暗号化するたびに常に一意のIVを使用する必要があり、それらはランダムである必要があります。それらがランダムであることを保証できない場合は、OCBを使用してください。これは、IVではなくナンスのみが必要であり、明確な違いがあるためです。ナンスは、人々は、次のいずれかを推測することができれば、セキュリティが低下しないIVは、この問題を引き起こす可能性があります。

独自の暗号化の実装を回避できない場合は、長くて難しいことを考慮してください

問題の醜い真実は、あなたがこの質問をしているなら、おそらく安全なシステムを設計して実装することができないだろうということです。

私の要点を説明します。Webアプリケーションを構築していて、セッションデータを保存する必要があるとします。各ユーザーにセッションIDを割り当て、セッションデータをセッションデータにマッピングするハッシュマップにサーバー上のセッションデータを格納できます。しかし、サーバーでこの厄介な状態に対処する必要があり、ある時点で複数のサーバーが必要になると、事態が複雑になります。そのため、代わりに、クライアント側のCookieにセッションデータを保存するという考えがあります。もちろん暗号化して、ユーザーがデータを読み取ったり操作したりできないようにします。それでは、どのモードを使用する必要がありますか？ここに来ると、あなたはトップの答えを読みます（myforwikを1つにまとめてごめんなさい）。最初に取り上げた-ECB-はあなたには向いていません、複数のブロックを暗号化したい、次は-CBC-いいですね、CTRの並列処理は必要ありません、ランダムアクセスは必要ありません。つまり、XTSと特許はPITAではないため、OCBはありません。暗号ライブラリーを使用すると、暗号化できるのはブロックサイズの倍数に限られるため、いくつかのパディングが必要であることがわかります。選んでPKCS7は、いくつかの深刻な暗号化規格で定義されているためです。CBCはおそらく安全であることをどこかで読んだ後ランダムIVと安全なブロック暗号で使用された場合、クライアント側に機密データを格納していても安心できます。

サービスが実際にかなりの規模に成長した数年後、ITセキュリティの専門家が責任ある開示について連絡します。彼女はパディングオラクル攻撃を使用してすべてのCookieを復号化できるとあなたに言っていますパディングが何らかの形で壊れている場合、コードがエラーページを生成するため。

これは架空のシナリオではありません。 。Microsoftには、数年前までASP.NETにこの正確な欠陥がありました。

問題は、暗号化に関して多くの落とし穴があり、素人には安全に見えるが、知識豊富な攻撃者にとっては破りやすいシステムを構築することは非常に簡単であるということです。

データを暗号化する必要がある場合の対処法

ライブ接続の場合はTLSを使用します（証明書のホスト名と発行者チェーンを確認してください）。TLSを使用できない場合は、システムがタスクに提供する必要がある最高レベルのAPIを探し、それが提供する保証を理解し、保証されていないことがより重要であることを確認してください。上記の例のように、Playのようなフレームワークはクライアント側のストレージ機能を提供しますが、しばらくしても保存されたデータを無効にしません。また、クライアント側の状態を変更した場合、攻撃者は気付かずに以前の状態を復元できます。

高レベルの抽象化が利用できない場合は、高レベルの暗号化ライブラリを使用します。顕著な例はNaClであり、多くの言語バインディングを備えた移植可能な実装はSodiumです。です。このようなライブラリーを使用すると、暗号化モードなどを気にする必要はありませんが、nonceを2回使用しないなど、より高いレベルの抽象化よりも使用法の詳細にさらに注意する必要があります。

何らかの理由で、たとえば既存のシステムと特定の方法でやり取りする必要があるために、高レベルの暗号化ライブラリを使用できない場合、徹底的に教育する方法はありません。Ferguson、Kohno、Schneierによる暗号工学を読むことをお勧めします。必要なバックグラウンドがなくても安全なシステムを構築できると信じ込んでください。暗号化は非常に微妙であり、システムのセキュリティをテストすることはほぼ不可能です。

モードの比較

暗号化のみ：

• パディングを必要とするモード：この例のように、パディングはオラクル攻撃のパディングの可能性を開くため、一般に危険な場合があります。最も簡単な防御策は、復号化する前にすべてのメッセージを認証することです。下記参照。
  • ECBはデータの各ブロックを個別に暗号化し、同じ平文ブロックは同じ暗号文ブロックになります。これが深刻な問題である理由を確認するには、ECBウィキペディアのページで ECB暗号化されたTuxイメージを見てください。ECBが受け入れられるユースケースは知りません。
  • CBCにはIVがあるため、メッセージが暗号化されるたびにランダム性が必要です。メッセージの一部を変更すると、変更後にすべてを再暗号化する必要があります。1つの暗号文ブロックの送信エラーにより、平文が完全に破壊され、次のブロックの復号化が変更され、復号化されます。並列化できる/暗号化できない、プレーンテキストはある程度柔軟である- これは問題になる可能性がある。
• ストリーム暗号モード：これらのモードは、プレーンテキストに依存する場合としない場合がある、データの疑似ランダムストリームを生成します。ストリーム暗号一般と同様に、生成された疑似ランダムストリームはプレーンテキストとXORされて、暗号テキストが生成されます。ランダムストリームのビットを好きなだけ使用できるので、パディングはまったく必要ありません。この単純さの欠点は、暗号化が完全に順応性があることです、つまり、平文p1、暗号文c1、および疑似ランダムストリームrのように、攻撃者が好きな方法で復号化を変更できることを意味し、攻撃者は、暗号文c2 =c1⊕dの復号化となるように差分dを選択できます。 p2 =c2⊕r=（c1⊕d）⊕r = d⊕（c1⊕r）なので、p2 =p1⊕dです。また、2つの暗号文c1 =p1⊕rとc2 =p2⊕rの場合と同じ擬似ランダムストリームを2回使用することはできません。攻撃者は、2つの平文のxorをc1⊕c2=p1⊕r⊕p2⊕r=として計算できます。 p1⊕p2。また、元のメッセージが攻撃者によって取得された可能性がある場合、メッセージの変更には完全な再暗号化が必要であることも意味します。次のSteam暗号モードはすべて、ブロック暗号の暗号化操作のみを必要とするため、暗号によっては、非常に制限された環境で（シリコンまたはマシンコード）スペースを節約できる場合があります。
  • CTRはシンプルで、プレーンテキストから独立した疑似ランダムストリームを作成します。異なる疑似ランダムストリームは、最大のメッセージ長を掛けた異なるnonces / IVからカウントアップすることで取得され、noncesメッセージの暗号化を使用して、オーバーラップが防止されます。メッセージごとのランダム性なしで可能、復号化と暗号化は並列化可能、伝送エラーは間違ったビットにのみ影響し、それ以上は影響しません
  • OFBは、平文から独立した疑似ランダムストリームも作成します。メッセージごとに異なるノンスまたはランダムIVで開始することにより、異なる疑似ランダムストリームが取得されます。ノンスメッセージを使用するCTRはメッセージごとに暗号化できないため、暗号化も復号化も並列化できません。 CTR送信エラーと同様に、ランダム性は間違ったビットにのみ影響し、それ以上は影響しません
  • CFBの疑似ランダムストリームは平文に依存し、メッセージごとに異なるノンスまたはランダムIVが必要です。たとえば、CTRやOFBを使用すると、メッセージごとのランダム性なしでメッセージの暗号化が可能で、復号化は並列化可能/暗号化は不可能で、伝送エラーは完全に次のブロックを破棄しますが、現在のブロックの誤ったビットにのみ影響します
• ディスク暗号化モード：これらのモードは、ファイルシステムの抽象化以下のデータの暗号化に特化しています。効率上の理由から、ディスク上の一部のデータを変更するには、最大で1つのディスクブロック（512バイトまたは4kib）の再書き込みのみが必要です。使用シナリオが他と大きく異なるため、この回答の範囲外です。ブロックレベルのディスク暗号化以外には使用しないでください。一部のメンバー：XEX、XTS、LRW。

認証された暗号化：

オラクル攻撃のパディングや暗号文の変更を防ぐために、暗号文のメッセージ認証コード（MAC）を計算し、改ざんされていない場合にのみ復号化できます。これは、encrypt-then-macと呼ばれ、他のどの順序よりも優先されます。ごく少数の使用例を除いて、信頼性は機密性と同じくらい重要です（後者は暗号化の目的です）。認証された暗号化スキーム（関連データ（AEAD）付き）は、暗号化と認証の2つの部分のプロセスを1つのブロック暗号モードに結合し、そのプロセスで認証タグも生成します。ほとんどの場合、これにより速度が向上します。

• CCMは、CTRモードとCBC-MACの単純な組み合わせです。ブロックごとに2つのブロック暗号化暗号化を使用すると、非常に遅くなります。
• OCBはより高速ですが、特許によって妨げられています。ただし、無料（自由の場合と同様）または非軍事ソフトウェアの場合、特許権者は無料のライセンスを付与しています。
• GCMは非常に高速ですが、CTRモードと2 ^ 128要素のガロア体上のMACであるGHASHの間違いなく複雑な組み合わせです。TLS 1.2などの重要なネットワーク標準で広く使用されていることは、GHASHの計算を高速化するためにIntelが導入した特別な指示に反映されています。

勧告：

認証の重要性を考慮すると、ほとんどのユースケース（ディスク暗号化の目的を除く）では、次の2つのブロック暗号モードをお勧めします。

ここで、2011年にPhil Rogawayが正式な分析を行いました。セクション1.6では、私がここに書き写した要約を示し、自分自身を太字で強調します（せっかちな場合は、CTRモードを使用することをお勧めしますが、メッセージの整合性と暗号化の比較については、以下の段落をお読みになることをお勧めします）。

これらのほとんどはIVをランダムにする必要があることに注意してください。これは予測不可能であるため、暗号化セキュリティで生成する必要があります。ただし、一部には「ノンス」のみが必要であり、そのプロパティを要求せず、再利用しないことのみが必要です。したがって、ナンスに依存する設計は、ノンスに依存する設計よりもエラーが発生しにくい（そして、私を信じて、CBCが適切なIV選択で実装されていない多くのケースを見てきました）。したがって、Rogawayが「IVがnonceの場合、機密性は達成されない」と言っている場合は、太字を追加したことがわかります。つまり、IVを暗号的に安全（予測不可能）に選択した場合、問題はありません。しかし、そうしないと、優れたセキュリティ特性が失われます。 これらのモードでIVを再利用しないでください。

また、メッセージの整合性と暗号化の違いを理解することも重要です。暗号化はデータを隠しますが、攻撃者は暗号化されたデータを変更できる可能性があり、メッセージの整合性を確認しないと、結果がソフトウェアに受け入れられる可能性があります。開発者は「しかし、変更されたデータは復号化後にガベージとして返されます」と言いますが、優れたセキュリティエンジニアは、そのガベージがソフトウェアに悪影響を与える可能性を見つけ、その分析を実際の攻撃に変えます。暗号化が使用された多くのケースを見てきましたが、メッセージの完全性は暗号化よりも本当に必要でした。必要なものを理解します。

GCMは暗号化とメッセージの整合性の両方を備えていますが、非常に壊れやすい設計であると言う必要があります。IVを再利用すると、ねじ込まれます-攻撃者はキーを回復できます。他のデザインは壊れにくいので、私は実際に私が実際に見た貧しい暗号化コードの量に基づいてGCMを勧めることを恐れています。

メッセージの整合性と暗号化の両方が必要な場合は、2つのアルゴリズムを組み合わせることができます。通常、CBCとHMACが使用されますが、CBCに縛られる理由はありません。知っておくべき重要なことは、最初に暗号化し、次に暗号化されたコンテンツにMACを適用することです。また、IVはMAC計算の一部である必要があります。

IPの問題を認識していません。

ロガウェイ教授からの良いものに：

暗号モードをブロックし、メッセージの整合性は暗号化しない

ECB：ブロック暗号。モードは、nビットの各部分を個別に暗号化することにより、nビットの倍数であるメッセージを暗号化します。セキュリティのプロパティは弱く、ブロックの位置と時間の両方でブロックの等価性がリークします。かなりのレガシーな価値があり、他のスキームのビルディングブロックとして価値がありますが、モード自体は一般的に望ましいセキュリティ目標を達成しないため、十分に注意して使用する必要があります。ECBは「汎用」の機密保持モードと見なされるべきではありません。

CBC：IVベースの暗号化スキーム。このモードは確率論的暗号化スキームとして安全であり、ランダムIVを想定して、ランダムビットと区別がつかないようにします。IVが単なるnonceである場合や、標準で誤って提案されているように、スキームで使用されているのと同じ鍵で暗号化されたnonceである場合、機密性は達成されません。暗号文は非常に順応性があります。暗号文攻撃（CCA）のセキュリティは選択されていません。多くのパディング方法の正しいパディングオラクルが存在する場合、機密性は失われます。暗号化は本質的にシリアルであるため非効率的です。広く使用されているこのモードのプライバシーのみのセキュリティプロパティは、頻繁に誤用されます。CBC-MACアルゴリズムのビルディングブロックとして使用できます。CTRモードに勝る重要な利点は特定できません。

CFB：IVベースの暗号化スキーム。このモードは確率論的暗号化スキームとして安全であり、ランダムなIVを想定して、ランダムなビットと区別がつかないようにします。IVが予測可能である場合、またはスキームで使用されているのと同じキーで暗号化されたナンスによって機密性が作成されている場合は、標準で誤って行われているように、機密性は達成されません。暗号文は順応性があります。CCAセキュリティーはありません。暗号化は本質的にシリアルであるため非効率的です。スキームは、パラメーターs、1≤s≤nに依存します。通常はs = 1またはs = 8です。sビットのみを処理するために1つのブロック暗号呼び出しを必要とするのは非効率的です。このモードは、興味深い「自己同期」プロパティを実現します。暗号文に任意の数のsビット文字を挿入または削除しても、正しい解読が一時的に中断されるだけです。

OFB：IVベースの暗号化スキーム。このモードは確率論的暗号化スキームとして安全であり、ランダムIVを想定して、ランダムビットと区別がつかないようにします。IVがナンスの場合、機密性は達成されませんが、IVの固定シーケンス（カウンターなど）は正常に機能します。暗号文は非常に順応性があります。CCAセキュリティーはありません。暗号化と復号化は、本質的にシリアルであるため効率が悪い。任意のビット長の文字列をネイティブに暗号化します（パディングは不要）。CTRモードに勝る重要な利点は特定できません。

CTR：IVベースの暗号化スキーム。このモードでは、ナンスIVを想定したランダムビットと区別がつきません。安全なnonceベースのスキームとして、このモードはランダムIVを伴う確率的暗号化スキームとしても使用できます。nonceが暗号化または復号化で再利用される場合、プライバシーの完全な失敗。多くの場合、モードの並列化可能性により、他の機密性モードよりも、一部の設定でははるかに高速になります。認証された暗号化スキームのための重要なビルディングブロック。全体として、通常、プライバシーのみの暗号化を実現するための最良かつ最新の方法です。

XTS：IVベースの暗号化スキーム。このモードは、調整可能なブロック暗号（強力なPRPとして安全）を各nビットチャンクに適用することで機能します。nで割り切れない長さのメッセージの場合、最後の2つのブロックは特別に扱われます。このモードを使用できるのは、ブロック構造のストレージデバイス上のデータを暗号化する場合のみです。基礎となるPRPの幅が狭いことと、最終ブロックの断片の扱いが悪いことが問題です。（ワイドブロック）PRPセキュアブロック暗号よりも効率的ですが、望ましくありません。

MAC（メッセージの整合性はあるが暗号化は不可）

ALG1–6：MACのコレクション。すべてCBC-MACに基づいています。スキームが多すぎます。VIL PRFとして証明できるほど安全であるもの、FIL PRFとして証明されるもの、証明可能なセキュリティを持たないものもあります。一部のスキームでは、有害な攻撃を認めています。一部のモードには日付が付いています。鍵の分離は、それを備えているモードでは不十分です。まとめて採用するべきではありませんが、「最良の」スキームを選択的に選択することは可能です。CMACを支持して、これらのモードをどれも採用しないことも問題ありません。一部のISO 9797-1 MACは、特に銀行業務で広く標準化され使用されています。標準の改訂版（ISO / IEC FDIS 9797-1：2010）がまもなくリリースされます[93]。

CMAC：CBC-MACに基づくMAC。モードは（VIL）PRFとして（誕生日の境界まで）証明できるほど安全です（基礎となるブロック暗号が優れたPRPであると想定）。CBCMACベースのスキームでは、本質的に最小限のオーバーヘッド。一部のアプリケーションドメインでは本質的にシリアルな性質の問題があり、64ビットブロック暗号で使用すると、時々再キーイングが必要になります。MACのISO 9797-1コレクションよりもクリーンです。

HMAC：ブロック暗号ではなく暗号ハッシュ関数に基づくMAC（ほとんどの暗号ハッシュ関数自体はブロック暗号に基づいています）。メカニズムは、好ましい仮定からではないが、強力な証明可能なセキュリティ限界を享受します。文献に密接に関連する複数のバリアントは、何が知られているのかを理解することを複雑にします。有害な攻撃は提案されていません。広く標準化され使用されています。

GMAC：GCMの特殊なケースであるnonceベースのMAC。GCMの良い特徴と悪い特徴の多くを継承します。ただし、MACではnonce要件は不要であり、ここではほとんどメリットがありません。タグが64ビット以下に切り捨てられ、復号化の範囲が監視および削減されていない場合の実用的な攻撃。nonce-reuseの完全な失敗。とにかくGCMが採用されている場合、使用は暗黙的です。個別の標準化にはお勧めしません。

認証された暗号化（暗号化とメッセージの整合性の両方）

CCM：CTRモードの暗号化と生のCBC-MACを組み合わせたnonceベースのAEADスキーム。本質的にシリアルであり、状況によっては速度が制限されます。基盤となるブロック暗号が優れたPRPであると想定して、十分に安全であることが証明されています。明らかに仕事をしている不合理な建設。GCMよりも実装が簡単です。nonceベースのMACとして使用できます。広く標準化され使用されています。

GCM：CTRモードの暗号化とGF（2128）ベースのユニバーサルハッシュ関数を組み合わせたノンスベースのAEADスキーム。一部の実装環境に適した効率特性。最小限のタグの切り捨てを想定した、証明可能な安全な結果。大幅なタグの切り捨てが存在する場合の攻撃と証明可能なセキュリティの限界。GMACと呼ばれるnonceベースのMACとして使用できます。96ビット以外のノンスを許可する疑わしい選択。nonceを96ビットに、タグを少なくとも96ビットに制限することをお勧めします。広く標準化され使用されています。

1. ECB以外。
2. CTRを使用する場合は、メッセージごとに異なるIVを使用する必要があります。そうしないと、攻撃者は2つの暗号文を取得し、暗号化されていない平文を組み合わせて取得できます。その理由は、CTRモードは基本的にブロック暗号をストリーム暗号に変換するためです。ストリーム暗号の最初のルールは、同じKey + IVを2回使用しないことです。
3. モードの実装がどれほど難しいかについては、それほど大きな違いはありません。一部のモードでは、暗号化の方向で動作するためにブロック暗号のみが必要です。ただし、AESを含むほとんどのブロック暗号は、復号化を実装するのにそれほど多くのコードを必要としません。
4. すべての暗号モードで、メッセージの最初の数バイトが同一である可能性があり、攻撃者がこれを知られたくない場合は、メッセージごとに異なるIVを使用することが重要です。

ウィキペディアのブロック暗号モードの動作に関するこの情報を読むことから始めましたか？次に、ウィキペディアのNIST：ブロック暗号モードの運用に関する推奨事項への参照リンクをたどってください。

広く入手できるものに基づいて選択することもできます。私は同じ質問をしました、そして、これは私の限られた研究の結果です。

ハードウェアの制限

STM32L (low energy ARM cores) from ST Micro support ECB, CBC,CTR GCM
CC2541 (Bluetooth Low Energy) from TI supports ECB, CBC, CFB, OFB, CTR, and CBC-MAC

オープンソースの制限

Original rijndael-api source  - ECB, CBC, CFB1
OpenSSL - command line CBC, CFB, CFB1, CFB8, ECB, OFB
OpenSSL - C/C++ API    CBC, CFB, CFB1, CFB8, ECB, OFB and CTR
EFAES lib [1] - ECB, CBC, PCBC, OFB, CFB, CRT ([sic] CTR mispelled)  
OpenAES [2] - ECB, CBC 

[1] http://www.codeproject.com/Articles/57478/A-Fast-and-Easy-to-Use-AES-Library

[2] https://openaes.googlecode.com/files/OpenAES-0.8.0.zip

私は1つの側面を知っています。CBCはブロックごとにIVを変更することでセキュリティを向上させますが、ランダムにアクセスされる暗号化されたコンテンツ（暗号化されたハードディスクなど）には適用できません。

したがって、シーケンシャルストリームにはCBC（およびその他のシーケンシャルモード）を使用し、ランダムアクセスにはECBを使用します。