Регистрация Войти
Рейтинг:2
phantomcraft avatar Crypto

Повышает ли сохранение секретности IV безопасность режима CTR?

флаг pf
phantomcraft

Предположим, я что-то шифрую в режиме CTR и храню ключ и IV в секрете.

Повышает ли секретность IV вместе с ключом надежность шифрования?

309
0 + 0
ctr
Рейтинг:5
fgrieu avatar Crypto
флаг ng
fgrieu

Повышает ли секретность IV вместе с ключом надежность шифрования?

Очень мало. В частности, при атаке методом грубой силы по известному открытому тексту он усиливает ключ не более чем на 1 бит.

Аргумент: даны два последовательных блока зашифрованного текста. $C_0$, $C_1$ и их соответствующий открытый текст $P_0$, $P_1$, мы можем исключить ключ $К$ если $E_K(D_K(C_0\oplus P_0)+1)\ne C_1\oplus P_1$ (где сложение по модулю $2^б$ с $b$ размер блока). Блокировать расшифровку $Д$ примерно так же дорого, как блочное шифрование $Е$, эти две операции преобладают в стоимости, которая, таким образом, примерно удваивается по сравнению с атакой грубой силой с известным IV.

Хорошая причина не хранить IV в секрете состоит в том, что он должен быть известен получателю, поэтому нам нужно его зашифровать, что усложняет и затрудняет анализ.

0 + 0
poncho avatar
флаг my
poncho
На самом деле, в некоторых случаях добавление силы составляет менее одного бита. Если злоумышленник знает некоторые биты счетчика (например, для каждого сообщения вы начинаете счетчик с младших 32 битов как 0 для первого блока), тогда злоумышленник может проверить промежуточное значение $D_k(C_0 \ плюс P_0)$; этот тест устранит большинство неправильных ключей; остальная часть теста будет выполняться лишь небольшую часть времени.
1
Ответить
Рейтинг:5
kelalaka avatar Crypto
флаг in
kelalaka

Единственный секрет - это ключ. Режим CTR имеет безопасность Ind-CPA, и вы ничего не можете получить больше (Ind-CCAx,...) без целостности и аутентификации.

Если вы устанавливаете свою безопасность на секретность IV, вы на неправильном пути.. Просто убедитесь, что $(ключ,IV)$-пара не повторяется и подробнее читайте далее эта почта.

И с вашим подходом вам нужен дополнительный процесс для передачи IV для каждого сообщения;

  1. Вы как-то его шифруете, или
  2. Вы используете DHKE и получаете ключ и IV из обмена ключами с KDF.

Первое проблематично, второе может увеличить стоимость связи (новый DHKE на шифрование для нового IV или ключа в целом).

Не усложняйте процессы, просто придерживайтесь стандартов которые существуют уже много лет, разработаны и проанализированы серьезными криптографами.

0 + 0
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.