具有已知明文的暴力破解分組密碼 (AES) + ECB 的快捷方式/實用性

我知道 ECB 模式下的分組密碼（懷疑是 AES）的明文（26 字節長）和密文。我可以生成成百上千個這樣的樣本，但這些樣本不是任意的。使用蠻力方法或使用蠻力 + 一些加密分析來恢復加密密鑰的機會有多大？

有沒有什麼好的指導來完成填充預言？

對於密鑰恢復攻擊，您基本上需要破壞 AES 本身。沒有已知的對 AES 的實際密鑰恢復攻擊（如果有，它不會被認為是安全使用的），所以你幾乎唯一的希望是找到某種對 AES 實現的側通道攻擊，或者它是整個加密框架的一部分。

或者，如果您懷疑密鑰空間足夠小（例如，如果密鑰是從可能沒有足夠熵的密碼中派生的），您可以通過蠻力攻擊找到它。這種攻擊成功的機會完全取決於兩件事：您需要測試的密鑰空間的大小，以及您可以嘗試密鑰的速度。後者又取決於您可用的計算硬體（當然還有您使用它的技能）以及密鑰派生過程的複雜性。

在任何情況下，填充預言攻擊都是特定於 CBC 模式的，並且不允許密鑰恢復。歐洲央行模式雖然在其他方面不安全，但不會受到它們的影響。

引用自：https://crypto.stackexchange.com/questions/3832