CTR 模式和選擇的明文攻擊
Cryptography Engineering 的 P.71 指出“CTR 加密模式中的任何弱點都會立即暗示對分組密碼的選擇明文攻擊。” 在我看來,“任何弱點”都是模糊的。我不太明白作者的想法。有人可以詳細說明嗎?
編輯:
該聲明的目的似乎是強調分組密碼的安全性與 CTR 模式之間的關係——CTR 的中斷意味著底層分組密碼的中斷(資訊洩漏和流量分析除外)。我不明白 CTR 的中斷如何意味著分組密碼的中斷必然是所選的明文種類。
假設您知道一種區分形式的消息加密方案的方法
$$ \operatorname{CTR}[E_k](n, m) = (E_k(f(n, 0)) \oplus m_0) \mathbin\Vert (E_k(f(n, 1)) \oplus m_1) \mathbin\Vert \cdots $$對於未知 $ k $ 從一個均勻的隨機字元串中獲得比 CTR 模式更好的機率 $ \operatorname{CTR}[\pi](n, m) $ 的均勻隨機排列。 這裡 $ f $ 是從隨機數/計數器對到密碼塊的標準注入(例如, $ (n, i) \mapsto n \mathbin\Vert i $ 在 96 位隨機數和 32 位計數器上), $ n $ 是一個隨機數,並且 $ m $ 是一條消息 $ m_0 \mathbin\Vert m_1 \mathbin\Vert \cdots $ . 請注意,在 CTR 模式下始終存在通用生日攻擊,因此前提是對於相同數量的預言機查詢,您有一個比通用生日攻擊成功機率更高的區分器。
你怎麼能用這個來區分 $ E_k $ 對於均勻隨機 $ k $ 從均勻隨機排列 $ \pi $ ? 您可以餵食 $ f(n, 0) $ 並拋出 $ m_0 $ 如果你知道一些的話 $ n $ 和 $ m_0 $ 讓你打破 $ \operatorname{CTR}[E_k] $ ,例如——它是一種選擇明文攻擊。