gpt4 book ai didi

security - 为什么使用具有 CBC 模式的非随机 IV 会存在漏洞?

转载 作者:行者123 更新时间:2023-12-02 16:08:24 25 4
gpt4 key购买 nike

我了解 IV 的目的。特别是在 CBC 模式下,这可以确保使用相同 key 加密的 2 条消息中的第一个 block 永远不会相同。但如果 IV 是连续的,为什么它是一个漏洞呢?根据CWE-329非随机 IV 允许字典攻击的可能性。我知道在实践中,像 WEP 这样的协议(protocol)不会努力隐藏 IV。如果攻击者拥有 IV 和密文消息,那么这就为针对 key 的字典攻击打开了大门。我不明白随机 iv 如何改变这一点。 (我知道针对 wep 的攻击比这更复杂。)

随机静脉注入(inject)有什么安全优势?这仍然是“理想分组密码”的问题吗? (一个完全安全的分组密码,没有可能的弱点。)

最佳答案

可以通过选择的纯文本来利用可预测的 IV。

假设 Eve 是一家保险公司的 DBA。该公司从受益人那里收集病史,其中包括许多有关医疗状况的真/假复选框。这家公司也恰好有自己的健康保险公司。伊芙意识到,如果她发现爱丽丝患有特别令人尴尬的健康状况,她可能会受到勒索。然而,每个字段中的值都是加密的,因此即使 Eve 是 DBA,她也只能访问密文。

在 CBC 中,IV 与纯文本进行异或(下面用“⊕”表示),然后运行分组密码:C1 = Ek( IV ⊕ P1)。

由于 Eve 是保险公司的受益人,所以她可以为自己的病历选择明文,而由于她是 DBA,所以她可以检查任何人的密文。除了使用可预测的 IV 之外,草率的应用程序开发人员在验证应用程序输入方面也做得很差。如果 Eve 可以提前预测将应用于她的 (IVeve) 和 Alice 的 (IValice) 记录的 IV,她就可以为自己的记录选择纯文本像这样: Peve = IVeve ⊕ IValice ⊕ "false"

应用程序像这样加密这个纯文本:

Ceve = Ek(IVeve ⊕ Peve) = Ek(IVeve ⊕ (IVeve ⊕ IValice ⊕ "false"))

IVeve ⊕ IVeve 抵消,这意味着 Ceve = Ek(IV 爱丽丝 ⊕“假”)

现在 Eve 可以比较 Ceve 和 Calice。如果它们不同,她就知道爱丽丝一定为该健康状况输入了“true”。

使 IV 变得不可预测可以阻止这种攻击,而使 IV 变得不可预测的一个简单方法是在提供纯文本后随机选择它们。

关于security - 为什么使用具有 CBC 模式的非随机 IV 会存在漏洞?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3008139/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com