Почему использованием является Неслучайный IV с Режимом CBC уязвимость?
Я понимаю цель IV. Конкретно в режиме CBC это обеспечивает, чтобы первый блок 2 сообщений, зашифрованных с тем же ключом, никогда не был идентичен. Но почему это - уязвимость, если IV последователен? Согласно Неслучайному IV CWE-329 допускают возможность атаки с подбором по словарю. Я знаю, что в протоколах практики как WEP не прилагают усилия для сокрытия IV. Если у взломщика есть IV и сообщение шифрованного текста затем, это открывает дверь для атаки с подбором по словарю против ключа. Я не вижу, как случайный iv изменяет это. (Я знаю, что нападения на wep более сложны, чем это.)
Какое преимущество безопасности рандомизированный iv имеет? Это - все еще проблема с "Идеальным Блочным шифром"? (Совершенно безопасный блочный шифр без возможных слабых мест.)
2 ответа
Предсказуемые IV могут быть использованы выбранным простым текстом.
Представьте, что Ева работает администратором баз данных в страховой компании. Компания собирает истории болезни от бенефициаров, которые включают множество правильных / ложных отметок о медицинских состояниях. Эта компания также работает со своим поставщиком медицинского страхования. Ева понимает, что Алису можно шантажировать, если она обнаружит, что у Алисы особенно неприятное заболевание. Однако значение в каждом из этих полей зашифровано, поэтому, хотя Ева является администратором баз данных, у нее есть доступ только к зашифрованному тексту.
В CBC IV подвергается операции XOR (обозначено «⊕» ниже) с открытым текстом, затем проходит через блочный шифр: C 1 = E k (IV ⊕ P 1 ).
Поскольку Ева является бенефициаром страховой компании, она может выбрать простой текст для своей медицинской карты, а поскольку она администратор базы данных, она может проверить любой зашифрованный текст.Помимо использования предсказуемых IV, небрежный разработчик приложения плохо справился с проверкой входных данных приложения. Если Ева может заранее предсказать IV, которые будут применены к ее записям (IV eve ) и Алисе (IV alice ), она может выбрать простой текст для своей собственной записи следующим образом : P eve = IV eve ⊕ IV alice ⊕ "false"
Приложение шифрует этот простой текст следующим образом:
C eve = E k (IV eve ⊕ P eve ) = E k (IV eve ⊕ (IV канун ⊕ IV alice ⊕ «ложь»))
IV канун ⊕ IV канун отменяется, что означает, что C eve = E k (IV alice ⊕ "false")
Теперь Ева может сравнить C eve и C Алиса . Если они разные, она знает, что Алиса, должно быть, вошла в «истину» для этого заболевания.
Создание непредсказуемых IV предотвращает эту атаку, и простой способ сделать их непредсказуемыми - выбрать их случайным образом после того, как будет предоставлен простой текст.
Я хочу объяснить ваш вопрос, используя уязвимый WEP, и теперь используются другие протоколы, такие как WPA2.
простое правило IEEE гласит:
Основное правило - никогда не использовать ключ + IV дважды, никогда
Одна из причин взлома WEP связана с причиной генерации IV.
Как видно на рисунке, когда впервые появился WEP, длина IV составляла 24 бита (позже она увеличивается на 48 бит), если злоумышленник знает, как генерируются IV, или в этой ситуации IV достаточно малы для атакующего. использовать сообщения.
Если кто-то знает о генерации IV или о его перекрытии (поскольку IV составляют 24 бита, это означает 2 ^ 24 IV) во время передачи пакетов, злоумышленник, перехватывающий трафик, может: если IV являются последовательными, это означает, что все еще существует вероятность того, что IV через некоторое время будут перекрываться.
предположим,
passphrase key Kp
initialization vector Ivi
plaintext data D1, D2 (for separateblocks)
Traffic Key:Kti=Kp||Ivi
Ciphertext: E(Kti,Di)=RC4(Kti) xor Di
и предположим, что
IV1=IV2 (created sequentially and from 0 to 2^24 again returns back)
Атакующий имеет,
(RC4(Kt1) xor D1) Xor (RC4(Kt1) xor D2) = D1 XOR D2
Это может быть взломано с помощью Aircrack-NG с использованием сетевых трассировок. Идея, которую я показал, является основной, можно сделать еще одно сложное предположение, снова никогда не используйте тот же IV, который будет перекрываться.