剝離消息身份驗證或簽名

如果攻擊者可以剝離 RSA / EC / -DSA 數字簽名並對 AES-CTR 或 CBC 有效載荷進行 CCA，為什麼他們不能對 AES-GCM 做同樣的事情？

如果攻擊者可以剝離 RSA / EC / -DSA 數字簽名並對 AES-CTR 或 CBC 有效載荷進行 CCA，為什麼他們不能對 AES-GCM 做同樣的事情？

您正在談論的場景是 iMessage 或 Signal Protocol 或其他協議，它們允許選擇性地對密文進行簽名，從而不會對其進行 MAC 處理。

這裡的問題是a）您可以用自己的簽名替換簽名（如果它有效且需要）或b）如果不需要，則將其完全剝離，這在我眼中將被視為協議缺陷。

AES-GCM 的情況有所不同，因為身份驗證是規範的強制性部分。如果標籤失去或只是最後一個密文塊（即基本上不相關），任何非愚蠢的實現都將返回“無效密文”，因此這甚至不允許您解密 CTR 流，從而利用其 CCA 弱點.

引用自：https://crypto.stackexchange.com/questions/34591