java - 密码分析 : XOR of two plaintext files

Question

我有一个文件，其中包含两个异或明文文件的结果。我如何攻击此文件以解密其中一个明文文件？我搜索了很多，但找不到任何答案。谢谢!

编辑:

好吧，我还有两个密文，我对它们进行异或运算以获得两个明文的异或。我问这个问题的原因是，根据 Bruce Schneier，pg 的说法。 198, Applied Cryptography, 1996 “......她可以将它们异或在一起并得到两个明文消息相互异或。这很容易破解，然后她可以将其中一个明文与密文进行异或以获得 key 流。” (这与简单的流密码有关)但除此之外，他没有提供任何解释。这就是为什么我在这里问。原谅我的无知。

另外，使用的算法比较简单，使用长度为3的对称 key 。

进一步编辑:

我忘了补充:我假设使用简单的流密码进行加密。

Answer 1

我不是密码分析师，但如果您对文件的特征有所了解，您可能就有机会。

例如，假设您知道两个原始明文:

• 包含纯 ASCII 英文文本
• 是关于体育(或其他)的文章

鉴于这 2 条信息，您可能采取的一种方法是使用您可能希望在密文中出现的词“解密”扫描密文，例如“足球”、“球员”、“得分”等. 用“football”在密文的位置0，然后在位置1，然后位置2，以此类推进行解密。

如果解密字节序列的结果看起来是一个单词或单词片段，那么您很有可能从两个文件中找到了明文。这可能会给你一些周围明文的线索，你可以看看这是否会导致合理的解密。等等。

用您可能希望出现在明文中的其他单词/短语/片段重复此过程。

---

针对您的问题的编辑:Schneier 所说的是，如果某人有 2 个使用相同 key 进行异或加密的密文，则对这些密文进行异或运算将“抵消” key 流，因为:

(A ^ k) - ciphertext of A
(B ^ k) - ciphertext of B

(A ^ k) ^ (B ^ k) - the two ciphertexts XOR'ed together which simplifies to:

A ^ B ^ k ^ k - which continues to simplify to
A ^ B ^ 0
A ^ B

所以现在，攻击者有了一个仅由两个明文组成的新密文。如果攻击者知道其中一个明文(假设攻击者可以合法访问 A，但不能访问 B)，则可以用来恢复其他明文:

A ^ (A ^ B)
(A ^ A) ^ B
0 ^ B
B

现在攻击者有了 B 的明文。

实际上比这更糟糕 - 如果攻击者拥有 A 和 A 的密文，那么他已经可以恢复 key 流。

但是，我上面给出的猜测方法是上面的变体，攻击者使用(希望是好的)猜测而不是已知的明文。显然这不是那么容易，但它是相同的概念，并且可以在不从已知明文开始的情况下完成。现在攻击者有一个密文，当他正确猜到一些明文时，它会“告诉”他(因为它会从解密中产生其他明文)。因此，即使原始 XOR 操作中使用的 key 是随机乱码，攻击者在进行有根据的猜测时也可以使用“删除”了该随机乱码的文件来获取信息。