Block-Cipher

分組密碼中的定點;為什麼他們不指出漏洞?

  • September 5, 2015

我在這裡看到了一些關於密碼定點的問題,大多數是關於可能性和存在的問題。然而,大多數答案都指出,固定點並不完全是安全威脅。Google搜尋並沒有吸引我太多。我發現的只是這本書,它說得很好,但沒有繼續解釋為什麼!


我的想法(從攻擊者的角度)

如果我發現我擷取的塊是一個定點,我知道pTextas well as eTextfor this key。所以它肯定會幫助我更快地破解它(選擇明文攻擊和選擇密文攻擊)。此外,我知道導致這樣一個定點的鍵的數量非常少。所以也許有一種方法可以讓我在給定定點的情況下獲得可能的鍵。

我的假設攻擊者很容易發現擷取的塊是一個定點,因為它保留了所有原始消息的模式。我還假設定點到鍵的關係非常明顯


因此,這種攻擊似乎不被視為威脅,因為我的假設是錯誤的(一個或兩個)。我錯過了什麼?

直覺地說,固定點不是問題的原因與一次性填充中的零不是問題的原因相同。因為轉換應該是隨機的,所以看起來像明文的密文可能是那個明文……或者它可能是任何其他明文。通過適當的加密,它們都同樣可能。

如果我發現我擷取的塊是一個定點,我也知道pText這個eText鍵。

是的,但是你怎麼知道它一個不動點呢?通過知道明文和密文塊是相等的。即這不是附加資訊。

此外,我知道導致這樣一個定點的鍵的數量非常少。所以也許有一種方法可以讓我在給定定點的情況下獲得可能的鍵。

具有該特定固定點的鍵的數量取決於鍵和塊的大小。例如,您期望使用 AES-256 $ 2^{128} $ 具有您想要的任何固定點的鍵。在 AES-128 的情況下,一個固定點可能對於一個或兩個密鑰是唯一的。但是,沒有辦法利用這些知識。

如果你知道的話 $ E_k(x)=x $ ,您可以為此迭代所有鍵測試。但如果你知道,你也可以這樣做 $ E_k(x)=y $ 對於其他一些 $ y $ . 因此,它是一個固定點這一事實並沒有使密鑰恢復變得更簡單,除非密碼的內部結構在這個事實方面有些薄弱。

所以…

我的假設是攻擊者很容易發現擷取的塊是一個定點,因為它保留了所有原始消息的模式。

這個假設是錯誤的,因為應該有許多其他塊會產生原始消息*中沒有的模式。*的機率 $ D(x)=x $ 如果不應該更高 $ x $ 有圖案。

我還假設從定點到鍵的關係非常明顯。

這一點都不明顯。可能存在關係,但這應該被視為密碼中的一個弱點。

引用自:https://crypto.stackexchange.com/questions/28971