Điều gì sai với mã hóa XOR với PRNG an toàn?

Giả sử tôi muốn mã hóa một tin nhắn bằng mật khẩu.

Tôi không thể chỉ XOR các byte với byte từ trình tạo số giả ngẫu nhiên an toàn bằng mật mã (CSPRNG) với hạt giống là mật khẩu hoặc hàm băm của nó sao? Tôi không thể nhìn thấy bất cứ điều gì sai trái với điều này.

Hay CSPRNG quá chậm nên cần có các lược đồ mã hóa phức tạp hơn?

Có, bạn có thể; nó được gọi là một dòng mật mã. Nó có thể được xem như là một xấp xỉ của một đệm một lần, khi bạn không có đủ entropy để tạo khóa OTP (phải có cùng độ dài với văn bản gốc), nhưng lại có đủ để tạo PRNG.

Các lỗ hổng chung của mật mã dòng, độc lập với việc lựa chọn thuật toán tạo dòng khóa, là:

• Tái sử dụng phím tấn công. Nếu bạn có quyền truy cập vào hai tin nhắn được mã hóa, bạn có thể XOR hai tin nhắn đó để lấy XOR của hai tin nhắn văn bản gốc. câu trả lời này minh họa độc đáo làm thế nào điều này có thể không an toàn. Để tránh cuộc tấn công này, đừng bao giờ sử dụng lại mật khẩu của bạn và đảm bảo hàm băm tạo khóa của bạn có đủ khả năng chống va chạm.
• Tấn công lật bit. Giả sử rằng kẻ tấn công chặn một trong những tin nhắn được mã hóa của bạn và trong khi cô ấy không biết toàn bộ tin nhắn, thì bằng cách nào đó, cô ấy biết rằng chữ số 1 xuất hiện tại một vị trí cụ thể trong đó, được mã hóa trong bản mã là 0x2A. Thay đổi byte đó thành 0x22 (= 0x2A^('1'^'9')) sẽ thay đổi điều đó 1 đến một 9 trong văn bản gốc và âTôi nợ bạn \$100â bạn đã gửi được nhận là Tôi nợ bạn \$900â. Cuộc tấn công này có thể được giảm thiểu bằng cách bao gồm một MAC với tin nhắn của bạn để phát hiện các thay đổi.

Ngoài câu trả lời của "Maarten Bodewes" và "dan04":

Chương trình của bạn không cung cấp bất kỳ sự bảo vệ nào đối với sự chính trực. Nếu bạn sử dụng cùng một mật khẩu cho các tin nhắn khác nhau, thì byte thứ nhất sẽ giống hệt nhau trong tất cả các khóa được tạo, byte thứ 2 sẽ lại giống hệt nhau trong tất cả các khóa được tạo, v.v. Điều này có nghĩa là kẻ tấn công có thể thay thế bất kỳ byte nào trong tin nhắn được mã hóa bằng byte có cùng số từ một tin nhắn khác và bạn sẽ không thể phát hiện xem tin nhắn mã hóa của mình có bị sửa đổi hay không. Để làm điều đó, kẻ bị tấn công thậm chí không cần biết mật khẩu. Do đó, kẻ tấn công có thể thay đổi tin nhắn được mã hóa từ "Chuyển 1000 USD" thành "Chuyển 5000 USD" và không ai có thể phát hiện ra rằng tin nhắn được mã hóa đã bị sửa đổi.

Thuật toán mã hóa của bạn sẽ hoạt động rất kém trong một số trường hợp thực tế.Chẳng hạn, nếu bạn mã hóa một đĩa bằng nó, thì việc đọc một tệp từ cuối đĩa sẽ yêu cầu CSPRNG tạo ra hàng gigabyte/terabyte số ngẫu nhiên trước khi bạn nhận được các số được sử dụng để mã hóa tệp đó.

Bạn sẽ phải kết hợp một yếu tố ngẫu nhiên thực tế - nếu bạn không tạo trình tạo với các số ngẫu nhiên thì đầu ra cũng sẽ không ngẫu nhiên.Giải pháp bạn mô tả dễ bị:

1. Từ điển tấn công. Bạn có thể tạo các giá trị băm cho tất cả các mật khẩu phổ biến. Hoặc tải về nó.
2. Các cuộc tấn công bằng văn bản đã biết. Bởi vì hạt giống của bạn được cố định nên luồng ngẫu nhiên cũng được cố định. Nếu bạn biết bản rõ của một tin nhắn, giờ đây bạn có thể giải mã tất cả các tin nhắn khác có cùng độ dài. Tùy thuộc vào thông tin bạn gửi, có thể có nhiều văn bản gốc hơn bạn nghĩ (ví dụ: tệp có các dấu hiệu cụ thể, đối với thư, ngôn ngữ có thể dễ đoán hơn bạn nghĩ).

Thủ thuật XOR chỉ gây nhầm lẫn chứ không phổ biến và dễ bị tấn công thống kê. Ngay cả các miếng đệm dùng một lần chỉ với XOR cũng dễ bị tổn thương một phần. Ví dụ. đối với các tin nhắn rất dài, XOR theo thống kê cũng để lại 1/256 tin nhắn của bạn không được mã hóa vì XOR với 0 không làm gì cả và 1/256 bị đảo ngược vì XOR với 0xff giống như KHÔNG. Một lần nữa - tùy thuộc vào thông tin bạn gửi, tỷ lệ khớp 1/256 có thể đủ tốt cho kẻ tấn công (ví dụ: nếu kẻ tấn công muốn biết liệu bạn có chia sẻ một tệp cụ thể mà chúng biết ngữ cảnh hay không.)

Bạn có thể muốn thêm muối RNG của mình với tính ngẫu nhiên thực sự ngoài hàm băm. Và bạn cần đệm để đảm bảo rằng bạn không bị rò rỉ thông tin về độ dài.