Điểm:1

AES GCM không có GMAC có dễ bị tấn công bằng văn bản gốc đã biết không?

lá cờ in

AES GCM không có GMAC có dễ bị tấn công bit-flip không? Giả sử vì một lý do nào đó mà bản rõ được biết đến (ví dụ: có thể đoán được). Theo ý kiến ​​của tôi, tôi có thể lật các bit trong các khối được mã hóa và do đó có thể tạo ra một bản rõ, văn bản này được lật ở cùng một vị trí.Vì vậy, sẽ dễ dàng thay đổi 0x01 thành 0x00 trong văn bản gốc, ngay cả khi tôi không biết khóa hoặc vectơ Khởi tạo.

Tôi đã giám sát một cái gì đó? nhập mô tả hình ảnh ở đây

Martin Thompson avatar
lá cờ za
Ý của bạn là "Giả sử * bản rõ * đã được biết"?
Marc Ilunga avatar
lá cờ tr
HMAC đảm bảo tính toàn vẹn, nếu không có HMAC thì không có cách nào để người nhận kiểm tra xem bản mã có bị giả mạo hay không. Do đó, một số cuộc tấn công được áp dụng và đặc biệt là các bitflips đơn giản.
MichaelW avatar
lá cờ in
Xin lỗi, ý tôi là "Giả sử bản rõ đã được biết"
MichaelW avatar
lá cờ in
Tôi nói về GMAC, không phải HMAC.
Martin Thompson avatar
lá cờ za
Theo như tôi hiểu, chế độ GCM được * xác định * để bao gồm mã xác thực - từ thông số kỹ thuật "Hai chức năng bao gồm GCM được gọi là mã hóa được xác thực và giải mã được xác thực"... vì vậy nếu không có GMAC, nó có khả năng dễ bị tấn công bởi tất cả các loại tấn công. Nhưng bạn không được phép làm điều đó :)
MichaelW avatar
lá cờ in
Tôi làm việc cho một dự án thế giới thực.Ở đó, nó có thể được chọn chỉ sử dụng mã hóa (GCM) hoặc mã hóa + xác thực (GCM/GMAC). Đã có một cuộc thảo luận để sử dụng GCM mà không có GMAC, nhưng tôi nghĩ vì những lý do trên, điều này khá nguy hiểm.
Marc Ilunga avatar
lá cờ tr
Có vẻ như tính năng tự động sửa lỗi của tôi thích HMAC hơn GMAC. Dù sao, tuyên bố vẫn nên giữ. Một bổ sung có thể là nếu không có GMAC, chúng tôi dự phòng CTR.
poncho avatar
lá cờ my
Nếu họ đang thảo luận 'hãy thực hiện GCM mà không cần chuyển hoặc xác thực thẻ', thì họ đang nói một cách hiệu quả là 'hãy sử dụng phiên bản GCM bị hỏng'. Nếu họ không/không thể sử dụng băng thông để gửi thẻ GCM, thì họ hoàn toàn không nên sử dụng GCM.
Điểm:2
lá cờ in

Là Mã hóa được xác thực với dữ liệu được liên kết, AES-GCM sử dụng chế độ CTR trong nội bộ và GCM bổ sung tính xác thực và tính toàn vẹn. Nếu không có GCM, người ta chỉ có thể có bảo mật Ind-CPA.

CTR trong AES-GCM bắt đầu tăng IV ($inc_{32}(J_0)$ ở định dạng NIST và nếu kích thước IV không phải là 96-bit thì IV sẽ được xử lý). ban đầu $J_0$ được sử dụng trong tính toán thẻ xác thực.

Phần còn lại là chế độ CTR thông thường. Nếu một người biết tin nhắn, họ có thể thay đổi tin nhắn thành bất kỳ tin nhắn nào họ muốn. Chỉ cần x-or (tấn công lật bit) các bit cần thiết.

nhập mô tả hình ảnh ở đây

Hãy xem xét mã hóa. Một người không kiểm soát được luồng đầu ra. Mặt khác, nếu bản mã bị sửa đổi thì chỉ có bản rõ bị thay đổi. Hoặc xem trong phương trình;

$$C_i = O_i \oplus P_i$$ luồng đầu ra $O_i$ được cố định bằng mã hóa mật mã khối do đó thay đổi $C_i$ sửa đổi $P_i$.

Tuy nhiên, đây không phải là một cuộc tấn công bằng văn bản đã biết! Trong một cuộc tấn công bằng văn bản rõ đã biết, người ta có các cặp văn bản gốc đã biết và cố gắng xác định khóa. Chế độ CTR an toàn trước các cuộc tấn công KPA và trên thực tế, đó là một cuộc tấn công ít hơn so với Ind-CPA.

MichaelW avatar
lá cờ in
À... và kiểu tấn công nào sẽ là lật bit làm thay đổi một bản rõ đã biết bằng cách lật các bit trong bản mã? Hay đây không phải là một cuộc tấn công, bởi vì nó tầm thường?
kelalaka avatar
lá cờ in
Nói chung, đó là một cuộc tấn công tích cực làm thay đổi bản mã. Cụ thể, đó là một cuộc tấn công lật bit ngay cả [Chế độ CBC có tấn công lật bit](https://crypto.stackexchange.com/a/66086/18298)
MichaelW avatar
lá cờ in
Nhưng dù sao đi nữa, về mặt thực tế, tôi có thể nói rằng GCM không có GMAC không an toàn khi có thể đoán được văn bản thuần túy? Đúng?
kelalaka avatar
lá cờ in
Hãy nhớ rằng, mục tiêu chính của những kẻ tấn công trong quá trình mã hóa là truy cập vào thư, điều đó không có nghĩa là kẻ tấn công đã đạt được khóa bằng vũ lực hoặc các phương tiện khác. Nói chung, nó được tiết lộ với chìa khóa. Trong trường hợp của bạn, khi bạn tiết lộ thông báo, bây giờ bạn có một cặp văn bản gốc đã biết để tấn công với ít nhất KPA. Hãy nhớ chế độ CTR Ind-CPA an toàn.
kelalaka avatar
lá cờ in
Đoán tin nhắn làm cho cuộc tấn công dễ dàng hơn trong trường hợp sử dụng lại IV dưới cùng một khóa. Điều này sẽ tiết lộ thông báo khác không phải là chìa khóa.
MichaelW avatar
lá cờ in
Giả sử có một lệnh được truyền đến một nhà máy điện, lệnh này có thể là "Đặt Trạng thái=0" và "Đặt Trạng thái=1". Nếu Mallory ở giữa có thể đoán rằng lệnh đầu tiên được truyền đi, thì anh ta có thể, chỉ bằng cách lật bit, thay đổi 0 thành 1 mà không cần biết phím và không cần sử dụng lại IV. Ví dụ, nếu "1" có nghĩa là "tắt nhà máy điện", Mallory có thể dễ dàng gây ra tác hại lớn. Tuy nhiên, khi lệnh được bảo vệ bổ sung bởi thẻ xác thực và mỗi IV chỉ được sử dụng một lần, trường hợp này không thể xảy ra. Đây là một phiên bản đơn giản của vấn đề trong thế giới thực của tôi. Bạn có nghĩ rằng nỗi sợ hãi của tôi là thực tế?
kelalaka avatar
lá cờ in
[Các trò chơi chúng tôi chơi trong Ind-CPA, Ind-CCAx](https://crypto.stackexchange.com/q/26689/18298) chúng tôi nói về một bit duy nhất với nhiều lần thử của đối thủ. Chúng tôi hy vọng rằng lợi thế của đối thủ là $1/2+\epsilon$ trong đó $\epsilon$ là một lượng không đáng kể. Vì vậy, đối thủ chỉ có một cơ hội thành công không đáng kể.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.