為什麼合成 IV (SIV) 模式被視為確定性認證加密 (DAE)?
我剛剛複習 Coursera 的 Cryptography I 課程中的(舊)筆記,我對 SIV 提供確定性身份驗證加密 (DAE) 的描述感到困惑。所示的一般 SIV 結構是首先使用安全 PRF 在明文上計算 MAC,然後使用 MAC 標記作為 IV 和獨立密鑰在 CTR 模式下使用安全塊密碼對明文進行加密。然後輸出IV和密文。
據我所知,這本質上是一種加密和 MAC 方案,在我看來,它似乎對與 SSH 相同類型的選擇密文攻擊持開放態度?SIV 的某些方面是否排除了此類攻擊?或者確定性密文完整性的定義是否排除了此類攻擊?
來自http://cseweb.ucsd.edu/~mihir/papers/oem.pdf第 17 頁:
E&M 不提供 INT-CTXT。E&M 也無法提供密文的完整性。這是因為有安全加密方案具有可以修改密文而不更改其解密的屬性。當這種加密方案用作基本對稱加密方案時,攻擊者可以查詢加密預言機,修改部分響應,仍然將結果作為有效密文送出給驗證預言機。
這是否因為 SIV 僅在 CTR 模式上定義而排除了此類加密方案而被排除?
DAE 安全性的定義,如 Rogaway 和 Shrimpton 的原始論文(既定義了安全概念並證明 SIV 模式滿足它)中給出的,確實有效地要求 DAE 方案必須保護密文完整性。
具體來說,DAE 安全性的定義(論文中的定義 1)表明,如果對手無法以不可忽略的優勢判斷它是在與真正的加密和解密預言機對話,還是與假的加密預言機為每個不同的查詢返回一個與真實加密預言機返回的長度相同的隨機位串,以及一個將所有密文視為無效的假解密預言機,其限制是對手可能不會送出先前返回的字元串由加密預言機到解密預言機,反之亦然。
至關重要的是,雖然該定義禁止對手將加密預言機先前返回的密文送出給解密預言機(從而微不足道地獲勝),但它並沒有禁止對手向解密預言機送出先前獲得的有效密文的*修改版本。*因此,如果攻擊者可以修改有效密文的方式幾乎不會使其無效,他們可以通過從加密預言機請求密文,以某種方式修改它以獲得另一個不同的有效密文,從而贏得“DAE遊戲” ,並將其送出給解密預言機(如果對手確實在與真正的預言機而不是假的預言機交談,那麼它將成功解密)。
特別是,由於 SIV 結構僅直接驗證明文完整性,這意味著,根據 Rogaway 和 Shrimpton 的定義,要使 SIV 風格的加密方案是 DAE 安全的,加密層必須不允許以以下方式修改密文:保持明文不變。
幸運的是,CTR 模式確實滿足了這個特性(事實上所有的長度保持經典加密模式,例如 OFB、CFB 甚至是帶有密文竊取的 CBC)。特別是,一個簡單的計數論證表明,對於任何密文(不包括IV!)長度等於明文長度的加密模式,沒有兩個具有相同IV的密文可以對應相同的明文。因此,對於這些模式,驗證明文完整性等同於驗證密文完整性,假設 IV 不變。
有待證明的是,對手也無法以無法檢測到的方式更改 SIV 模式下的合成 IV(可能與密文一起)。
事實上,對於純 CTR 模式,這將是微不足道的:給定兩個 CTR 模式加密消息 $ m_1 = (iv_1, c_1) $ 和 $ m_2 = (iv_2, c_2) $ 長度相同,對應的明文 $ p_1 $ 和 $ p_2 $ , 可以構造一個新消息 $ m’ = (iv_1, c_1 \oplus p_1 \oplus p_2) \notin {m_1, m_2} $ 這也解密為 $ p_2 $ .
但是,在 SIV 模式下,IV 也可以作為明文的認證標籤。因此,實際上,攻擊者不可能找到兩個對同一個 IV 有效的明文,因此將檢測到任何類似於上述的修改嘗試。
此外,SIV 構造要求用於導出合成 IV 的(鍵控)函式必須是 PRF。這是一個比僅僅要求它是一個防偽 MAC(甚至是一個保護隱私的 MAC)要強得多的要求,並且本質上要求攻擊者不能找到任何有效的 IV / 明文對,除了由加密預言機。因此,對於除預言機返回的 IV 之外的任何 IV,攻擊者無法產生任何有效消息;對於預言機確實返回的IV,對手只有一個有效的明文,因此,由於保長加密,只有一個有效的密文。
簡而言之,使 SIV 模式下的加密和 MAC 構造可證明 DAE 安全的關鍵屬性是:
- 加密層是保持長度的(因此,對於每個 IV,都是雙射的),
- 加密層IV也作為明文認證標籤,以及
- 用於從明文導出 IV 的函式是 PRF。
附言。如需進一步閱讀,您可能還對以下論文感興趣:
- Namprempre、Rogaway 和 Shrimpton。“重新考慮通用組合”。密碼學 ePrint 存檔,2014/206 年報告,2014 年。