使用隨機 IV 攻擊 AES/CCM

密碼系統在 CCM 模式下使用 AES-128 和隨機 IV。

假設攻擊者能夠：

• 要求密碼系統對單個明文進行任意多次加密；和
• 詢問密碼系統是否有任何密文有效（即，如果它解密為一些明文）

攻擊者知道他可以加密的單一明文是什麼，但他不能選擇不同的明文進行加密。明文很短——大約 50 個字節。

每次，密碼系統都會選擇一個隨機 IV 並使用它來加密明文，從而為攻擊者提供針對該單個明文的不同密文。

1. 在這種威脅模型中，攻擊者能否“輕鬆”獲得密鑰？
2. 攻擊者能否以某種方式修改密文以更改它將解密的明文？（他必須能夠生成一個有效的 MAC，因為密碼系統正確地檢查了 MAC 的有效性）

如果攻擊者能夠加密一些不同的明文，那麼同樣的問題呢？他無法選擇它們，但他會認識它們。假設他可以為 10 種不同的明文做到這一點。

不，攻擊者無法輕易恢復密鑰。攻擊者無法將密文修改為可以解密為其他明文的內容。即使攻擊者可以加密任意數量的選定明文，這仍然是正確的。

這被稱為“IND-CCA2 安全性”（針對自適應選擇明文/密文攻擊的安全性）。CCM 滿足該安全概念。其他經過身份驗證的加密方案也是如此，例如 EAX、GCM 等。

引用自：https://crypto.stackexchange.com/questions/8266