Aes

密鑰送出 AES-GCM

  • June 21, 2022

少數針對 AEAD 的攻擊,尤其是 GCM,這表明它對攻擊者是可行的 $ \mathcal{A} $ 獲取密文 $ C $ 加密到多個密鑰/消息對 $ (k_i, M_i) $ . 這通常被稱為 AES-GCM not being key-committing。現在,我對可能的攻擊性質有點困惑,我是否理解正確 $ \mathcal{A} $ 需要能夠“修改”密文 $ C $ 能夠執行概述的攻擊?或者是否也有可能 $ \mathcal{A} $ ,給定一個固定的 $ C $ 加密 $ m_1 $ 在下面 $ k_1 $ , 獲得另一個解密 $ m_2 $ 產生 $ C $ 在另一個鍵下 $ k_2 $ ?

我理解正確嗎 $ \mathcal{A} $ 需要能夠“修改”密文 $ C $ 能夠執行概述的攻擊?

不,這些攻擊假定攻擊者生成 $ C $ ; 他拿了幾把鑰匙 $ k_1, k_2, …, k_n $ ,並使用這些,生成密文 $ C $ 在所有這些下成功“解密”(即完整性標籤檢查成功)。

或者是否也有可能 $ \mathcal{A} $ ,給定一個固定的 $ C $ 加密 $ m_1 $ 在下面 $ k_1 $ , 獲得另一個解密 $ m_2 $ 產生 $ C $ 在另一個鍵下 $ k_2 $ ?

我們不知道該怎麼做;我們所知道的攻擊要求攻擊者在選擇上有一定的靈活性 $ C $ . 現在,他不需要指定整個值;他確實需要指定至少 2 個 16 字節的塊來構造一個 $ C $ 這將在兩個不同的密鑰下解密)。

引用自:https://crypto.stackexchange.com/questions/100699