Hash
SIV 模式是否適用於非對稱加密?
在 ECIES 和類似的非對稱方案中,是否可以使用明文的雜湊作為 IV?
將消息的雜湊值作為 IV 並不安全,因為就像評論中提到的 Ricky Demer 一樣,它會使雜湊值公開並允許猜測。然而,這不是 SIV 模式所做的——它使用MAC作為 IV。
使用 ECIES 這樣做是可能的,但可能不是一個好主意:
- 普通 ECIES 具有一次性對稱密鑰,因此不需要 IV。
- 出於同樣的原因,ECIES+SIV 不會是確定性的,如果這是目標的話。
除非由於其他原因,SIV 恰好是可用的最佳加密類型,否則與其他形式的身份驗證加密相比沒有優勢,並且可能存在速度等缺點(因為它需要兩次傳遞數據)。
對於其他不對稱系統,這可能是另一回事。例如,Curve25519 對接收方和發送方都使用靜態 Diffie-Hellman 密鑰,因此使用 SIV 可以避免對 nonce 重用的完全破壞。