Что не так с шифрованием XOR с безопасным PRNG?

Предположим, я хочу зашифровать сообщение паролем.

Не мог бы я просто XOR байтов с байтами из криптографически безопасного генератора псевдослучайных чисел (CSPRNG), где seed является паролем или его хэшем? Я не вижу в этом ничего плохого.

Или CSPRNG настолько медленный, что необходимы более сложные схемы шифрования?

, кто знает цену $у$непосредственно, в наборе игроков. Из вышеизложенного это означает, что все игроки должны сотрудничать, включая игрока. $я$, восстановить

$у$

• . Но если все игроки решат сотрудничать, им не нужны секретные доли, так как игрок $я$имеет секретное значение. Вместо использования схемы обмена секретами игрок
• $я$может сначала ничего не отправлять, а потом когда все согласятся восстановить секретное значение 1$у$ , затем игрок$я$ 1можно просто отправить всем значение 9$у$ Обмен секретами Шамира может дать вам$t$

В дополнение к ответам "Мартен Бодевес" и "dan04":

Ваша схема не обеспечивает никакой защиты честность. Если вы используете один и тот же пароль для разных сообщений, то 1-й байт будет идентичен во всех сгенерированных ключах, 2-й байт снова будет идентичен во всех сгенерированных ключах и т. д. Это означает, что злоумышленник может заменить любой байт в зашифрованном сообщении на байт с тем же номером из другого сообщения, и вы не сможете определить, было ли изменено ваше зашифрованное сообщение. Для этого атакуемому даже не нужно знать пароль. Таким образом, злоумышленник может изменить зашифрованное сообщение с «Перевести 1000 долларов США» на «Перевести 5000 долларов США», и никто не сможет обнаружить, что зашифрованное сообщение было изменено.

Ваш алгоритм шифрования будет работать очень плохо в некоторых практических сценариях.Например, если вы зашифруете с его помощью диск, то чтение файла с конца диска потребует, чтобы CSPRNG сгенерировал гигабайты/терабайты случайных чисел, прежде чем вы получите числа, используемые для шифрования этого файла.

Вам придется добавить элемент фактической случайности - если вы не заполните генератор случайными числами, вывод также не будет случайным.Описанное вами решение уязвимо для:

1. Словарные атаки. Вы можете сгенерировать хэши для всех сидов для общих паролей. Или скачать его.
2. Атаки с известным открытым текстом. Поскольку ваше семя фиксировано, случайный поток фиксирован. Если вы знаете открытый текст одного сообщения, теперь вы можете декодировать все остальные сообщения до той же длины. В зависимости от информации, которую вы отправляете, может быть доступно гораздо больше открытого текста, чем вы думаете (например, файлы имеют определенные маркировки, поскольку язык сообщений может быть более предсказуемым, чем вы думаете).

Трюк XOR только запутывает, а не распространяет, и открыт для статистических атак. Даже одноразовые блокноты с XOR лишь частично уязвимы. Например. для очень длинных сообщений статистически XOR также оставляет 1/256 вашего сообщения незашифрованным, потому что XOR с 0 ничего не делает, а 1/256 инвертируется, потому что XOR с 0xff такое же, как NOT. Опять же - в зависимости от информации, которую вы отправляете, совпадение 1/256 может быть достаточно для злоумышленника (например, если злоумышленник хочет знать, предоставили ли вы общий доступ к определенному файлу, контекст которого им известен).

Возможно, вы захотите добавить в свой ГСЧ истинную случайность в дополнение к хешу. И вам нужно дополнение, чтобы гарантировать, что вы не утечете информацию о длине.