分組密碼的明文分組連結（PBC）模式的解密公式

考慮到 $ C_n = E_k(M_n) \oplus M_{n-1} $ 公式用於這種分組密碼模式的加密側，並且知道在明文塊連結模式中使用隨機選擇的初始化向量（IV）代替M 0 。

解密方面的公式是什麼？

1. $ M_n = D_k(C_n) \oplus M_{n-1} $
2. $ M_n = D_k(C_n \oplus M_{n-1}) $

實際上，我認為由於算法無法訪問 $ M $ 解密方面的位，儘管我通過以下方式接受 $ M $ 位，我會去 $ M_0 $ 最後是 IV 並且可以從該點反向求解方程，最好將上述方程寫為：

1. $ M_n = D_k(C_n) \oplus D_k(C_{n-1}) $
2. $ M_n = D_k(C_n \oplus D_k(C_{n-1})) $

但我的主要問題是，如果我們要表示解密方的公式，哪個等式是正確的？

讓$$ C_n = E_k(M_n) \oplus M_{n-1} $$是 PBC 模式的加密 $ M_0 = IV $

然後使用的屬性 $ \oplus $ 以及加密的正確性要求；對於任何鍵 $ k $ 以及每一條資訊 $ m $ 在它必須持有的消息空間中；

$$ m = D_k(E_k(m)) $$

$$ \begin{align} C_n &= E_k(M_n) \oplus M_{n-1}\ C_n \oplus M_{n-1} &= E_k(M_n) \oplus M_{n-1} \oplus M_{n-1} & &;\text {x-or both sides with } M_{n-1} \ C_n \oplus M_{n-1} &= E_k(M_n) & &;\text{cancel}\ D_k(C_n \oplus M_{n-1}) &= D_k(E_k(M_n)) & &;\text{decrypt both sides} \ D_k(C_n \oplus M_{n-1}) &= M_n\ \end{align} $$

因此解密你需要 $ M_n = D_k(C_n \oplus M_{n-1}) $

引用自：https://crypto.stackexchange.com/questions/87633