Rsa

剝離消息身份驗證或簽名

  • April 16, 2016

如果攻擊者可以剝離 RSA / EC / -DSA 數字簽名並對 AES-CTR 或 CBC 有效載荷進行 CCA,為什麼他們不能對 AES-GCM 做同樣的事情?

如果攻擊者可以剝離 RSA / EC / -DSA 數字簽名並對 AES-CTR 或 CBC 有效載荷進行 CCA,為什麼他們不能對 AES-GCM 做同樣的事情?

您正在談論的場景是 iMessage 或 Signal Protocol 或其他協議,它們允許選擇性地對密文進行簽名,從而不會對其進行 MAC 處理。

這裡的問題是a)您可以用自己的簽名替換簽名(如果它有效且需要)或b)如果不需要,則將其完全剝離,這在我眼中將被視為協議缺陷。

AES-GCM 的情況有所不同,因為身份驗證是規範的強制性部分。如果標籤失去或只是最後一個密文塊(即基本上不相關),任何非愚蠢的實現都將返回“無效密文”,因此這甚至不允許您解密 CTR 流,從而利用其 CCA 弱點.

引用自:https://crypto.stackexchange.com/questions/34591