使用 XTS 再次應用調整有什麼好處?
我試圖了解 XTS 的內部工作原理。我的理解是它應用了兩次調整:一次在明文上,一次在輸出上。
對密文也進行調整有什麼好處?
XTS 通過使用 XEX 加密每個明文塊來工作,並指定要使用的調整。將調整應用於塊密碼輸出的好處是它使 XEX 免受選擇密文攻擊。
如果 T 是調整,E 是底層塊密碼,我們可以考慮 XEX 的變體,而無需第二次應用調整: $ \mathsf{XEX}\mathsf{weak}(T, X) = E(h(T) \oplus X) $ (在哪裡 $ h $ 是用於“散列”調整的鍵控函式,並且 $ E $ 是塊密碼)。然後解密將是 $ \mathsf{XEX}\mathsf{weak}^{-1}(T, Y) = E^{-1}(Y) \oplus h(T) $ . 但這意味著對於任何 T、Y 和 Y’, $ \mathsf{XEX}\mathsf{weak}^{-1}(T, Y’) \oplus \mathsf{XEX}\mathsf{weak}^{-1}(T, Y) = E^{-1}(Y) \oplus E^{-1}(Y) $ - - 這 $ h(T) $ 由於 XOR 的工作方式,術語取消了。這是一個問題,因為右側不依賴於調整;可調整密碼應該看起來像一系列不相關的隨機排列,每個調整都有一個排列,但上述等式是結構性的和可預測的。
因此,如果攻擊者將每個扇區的前兩個塊更改為 Y 和 Y’,他可以保證相應的兩個明文塊總是 XOR 到相同的常數。很難看出這將如何導致實際攻擊(儘管我相信富有想像力的人可以找到一個人為的例子)。話雖如此,在加密貨幣中,我們通常會盡量避免說“哦,那沒關係”之類的話,而是嘗試讓算法在任何情況下都保持安全。另外,除非您證明不存在任何攻擊,否則您無法確定您已找到所有攻擊。應用第二個調整讓我們證明不存在針對 XEX 的有效選擇密文或選擇明文攻擊。