為什麼大多數 SSL 密碼套件都使用 CBC？

我正在查看在 SSL 握手期間我的瀏覽器發送到伺服器的密碼套件的wireshark 擷取；然而，幾乎 90% 的人使用 CBC，其中 2 或 3 人使用 GCM。

為什麼CBC最常用？是否存在使 CBC 成為網路通信首選的特定屬性？

文獻還表明，非回饋模式（例如，計數器模式）在實踐中表現更好。但是 GCM 僅出現在少數密碼套件中。任何想法為什麼？

從歷史上看，CBC 長期以來一直是占主導地位的分組密碼模式，但近年來，基於兩個趨勢，有一個緩慢但堅定的遠離它：

1. 將認證加密作為實際應用的“首選”密碼；
2. 重新評估基於 CTR 的模式相對於 CBC 的優點，由多種因素驅動，例如：

• 針對基於 CBC 的密碼套件的攻擊激增；
• CTR 的簡單性和性能。

所以你會看到很多 CBC，因為它在很長一段時間裡都是王者，而且它只會慢慢消失。 Cloudfare 的這篇部落格文章有他們看到的 SSL 密碼套件的圖表，並顯示 AES-GCM 逐漸超越 AES-CBC。

我發現兩個有用的參考資料：

• Phillip Rogaway，“對一些 Blockcipher 操作模式的評估”
• Chris J. Mitchell，“CBC 模式下的 Oracle 錯誤攻擊：CBC 模式加密有前途嗎？”

引用自：https://crypto.stackexchange.com/questions/40350