Режим CBC с предсказуемым IV подходит, если ключ используется только один раз?

Кто-то недавно сказал мне, что использование режима CBC с предсказуемым (например, все 0) IV достаточно безопасно, если ключ используется для шифрования только один раз. Я рассмотрел пару примеров атак с выбранным открытым текстом на режим CBC с предсказуемым IV, и кажется, что они предполагают, что ключ, используемый для зашифрованного текста злоумышленника, совпадает с ключом, используемым для зашифрованного текста атакуемого. . Кроме того, в этом случае злоумышленник не может контролировать весь зашифрованный простой текст, а только его небольшую часть.

Итак, прав ли этот человек, делает ли использование ключа для шифрования только один раз безопасным использование предсказуемого IV или есть проблема, которую я не вижу?

Итак, прав ли этот человек, делает ли использование ключа для шифрования только один раз безопасным использование предсказуемого IV?

Да, он прав.

Эта атака работает, когда злоумышленник получает зашифрованный текст в режиме CBC и хочет проверить содержимое открытого текста определенного блока открытого текста. Для этого он вычисляет, что ввод для блочного шифра был бы правильным, если бы это предположение было верным (и соответствующий вывод), и на основе этого создает открытое текстовое сообщение, которое с предсказуемым IV отправляет этот ввод в блочный шифр. . Затем он просит, чтобы это открытое текстовое сообщение было зашифровано тем же ключом. Если соответствующее зашифрованное сообщение имеет ожидаемый выходной блок, то он знает, что его предположение было правильным.

Если мы зашифруем только одно сообщение, то он не сможет провести эту атаку — он сможет узнать исходный шифротекст, но тогда он не сможет запросить шифрование второго сообщения тем же ключом.

Теперь это справедливо, если шифровальщик берет весь открытый текст и шифрует его полностью, и этот полный зашифрованный текст отправляется получателю (и противнику). Если вы запускаете режим CBC постепенно, например, вы берете первую часть открытого текста, шифруете ее, отправляете, а затем берете вторую часть открытого текста, а затем шифруете ее, то это небезопасно — если злоумышленник может прослушать первую часть зашифрованного текста, а затем (на основе этого) изменить вторую часть открытого текста, он может реализовать атаку «предсказуемый IV» - даже если это может не выглядеть так, как будто вы отправляете второй IV, из-за как работает режим CBC, вы фактически.

Кроме того, в этом случае злоумышленник не может контролировать весь зашифрованный простой текст, а только его небольшую часть.

Не имеет значения — это по-прежнему безопасно, даже если злоумышленник имеет произвольный контроль. Например, если злоумышленник может указать все сообщение целиком, кроме одного бита, он все равно не сможет узнать, что это за бит.

Итак, прав ли этот человек, делает ли использование ключа для шифрования только один раз безопасным использование предсказуемого IV?

Нет, он неверен как минимум академически. А в некоторых случаях практически.

Это связано с так называемыми многоцелевыми атаками. Предполагая $b$-битные ключи и $к$ используются случайные ключи (и, таким образом, $к$ зашифрованные тексты) для известного общего (или выбранного) первого блока $P_0$ открытого текста (например, одинаковое начало полезной нагрузки), существует так называемая многоцелевая атака с ожидаемой стоимостью $2^{b-1}/к$ шифрования, восстанавливающие один полный открытый текст, то есть $к$ раз быстрее, чем со случайным IV. Эта атака просто перечисляет ключи, шифрует известные фиксированные $\text{IV}\oplus P_0$, и ищет результат в таблице всех первых блоков зашифрованного текста (которые можно оптимизировать так, чтобы они стоили чуть больше одного доступа к памяти).

Даже когда «известный общий (или выбранный) первый блок открытого текста» условие выполняется, эта атака на практике редко приводит к катастрофе для случайных 128-битных или более ключей, даже для очень больших $к$ (что будет много миллионов в некоторых реалистичных сценариях, например, ключи сеанса). Это связано с тем, что хранение и доступ к необходимой таблице на самом деле требует значительных затрат (инвестиций и мощности). Трудно представить, что мы теряем более 20 бит защиты от злоумышленника, использующего ASIC, что является наиболее разумным способом проведения такой атаки против 128-битного ключа методом грубой силы. Но проблема могла бы стать разрушительной, если бы ключ был детерминистически получен из пароля, а использовалась даже тысяча паролей.