與歐洲央行相比，CBC 理論上更難暴力破解嗎？

理論上 – 與 ECB 相比，CBC 模式更難暴力破解，假設：

1. 我們忽略了 XOR 操作的計算成本，並且
2. IV公開？

正如 Maarten Bodewes 在評論中所寫的那樣，如果您忽略 XOR 的計算成本，那麼 CBC 和 ECB 對於暴力攻擊基本上沒有區別。

然而，問題實際上是混合了橙子和蘋果（這並不明顯），因為操作模式的安全弱點與底層對稱密碼無關 - 暴力攻擊與底層密碼有關。

問題是，蠻力攻擊與不同的操作模式試圖實現的情況完全不同。在蠻力中，您實際上會嘗試密鑰，直到找到正確的密鑰。在密碼分析中，這被稱為完全破解。與 CBC 相比，ECB 的弱點在於，您實際上可以實現更簡單的攻擊目標：區分攻擊對 ECB 有效，而對 CBC 無效（具有適當的隨機性等）——假設密碼是安全的。

順便說一句，你的 2. 假設是不需要的。IV 總是被假定為是公開的（並且為安全參數隨機生成）。

是的，關於蠻力存在顯著差異。

• 每當您加密相同的消息塊時，ECB 都會遭受多目標攻擊。

這在選擇明文攻擊中總是可能的，並且在實踐中對於已知明文攻擊通常是可能的。

• 對於 CBC，IV 意味著傳遞給塊密碼的明文幾乎肯定是唯一的（只要總消息大小保持在生日界限以下），因此只有一個目標。

對於 128 位和更小的密鑰，這可能會導致實際攻擊。使用 256 位密鑰，安全裕度如此之大，以至於即使是多目標攻擊也不再重要。

---

當然，我們不使用 ECB 的主要原因不是易受多目標攻擊，而是即使密鑰足夠大，它也會洩露大量資訊。

引用自：https://crypto.stackexchange.com/questions/24249