Рейтинг:0

Можно ли выполнить CPA-атаку против CBC, меняющую IV по последнему блоку зашифрованного текста?

флаг fr

Я пытался провести простую CPA-атаку против этой схемы, чтобы лучше понять концепцию.

Вместо того, чтобы каждый раз использовать новый, мы решаем использовать последний блок предыдущего зашифрованного текста в качестве вектора инициализации. Докажите, что эта новая схема уязвима для атака с выбранным открытым текстом.

Итак, в этом случае

  • претендент выбирает «игру» и ключ.
  • После этого отправляем $(0\ldots 0,1\ldots 1)$
  • и мы получаем $(IV, в)$.
  • Теперь мы отправляем $(0\ldots 0, 0\ldots 0)$
  • и мы получаем $(IV'=с, с')$.
  • Так что если $с$ равно $IV'$ тогда претендент играет в левую игру, в противном случае — в правую.

Я прав? Я путаю понятия? Когда мы говорим о блоке, это весь шифр или только последний бит?

kelalaka avatar
флаг in
Эта игра проблематична, так как первое поколение IV не ясно. В любом случае, предполагая, что это случайно в первый раз, вам нужно отправить $(1\ldots 1)$ в качестве первых данных со второй попытки. Написать уравнения CBC и лучше видеть? (обратите внимание, что вы, кажется, отправляете два блока)
Aleix Martí avatar
флаг fr
Я действительно не вижу связи, чтобы угадать игру. В первый раз, когда я отправлю сообщение, я получу (IV, F(k,mi xor ci-1)), второй раз ( F(k,mi xor ci-1), F(k,mi' xor ci-1). ')). Я предполагаю, что мне не хватает чего-то необходимого для решения атаки.
Aleix Martí avatar
флаг fr
может быть, я просто понял, если я сделаю шифр второй попытки XOR с IV первой попытки, я получу сообщение второй попытки?
kelalaka avatar
флаг in
Отправить $((c \oplus IV), (1\ldots 1)$ во второй раз?
kelalaka avatar
флаг in
Если это не домашнее задание, можете написать ответ на свой вопрос?
Aleix Martí avatar
флаг fr
Предположим, что я играю в «левую игру», так что в этом случае, если с первой попытки я делаю (0..0,0..0), а со второй попытки (с IV), (1 ¦ 1), то если оба шифра равны, то левая игра, иначе правая?
Aleix Martí avatar
флаг fr
Да, нет проблем, после решения я загружаю ответ
fgrieu avatar
флаг ng
Примечание: здесь CPA означает атаки по выбранному открытому тексту (а не анализ мощности корреляции). Подсказка: можно ли в стандартном CBC выбрать открытый текст, зная IV? А как насчет модифицированного CBC?
Рейтинг:0
флаг fr

Атака проходит следующим образом, сначала противник запрашивает шифрование $(0…0,0…0)$. Затем он получает $c_1=(c_{11},c_{12})=(IV,F_{K}(m_{\gamma_1}\oplus IV))=(IV,c=F_{K}(IV))$, поскольку $m_{\gamma_1}=0***0$ вне зависимости от стоимости $\гамма$. Затем он просит зашифровать $(m_{L_2}=0–0,m_{R_2}=c_{12}\oplus IV)$, и получает $c_2=(c_{21},c_{22})=(F_{K}(IV),F_{K}(F_{K}(IV)\oplus m_{\gamma_2}))$. Если $\гамма=L$, он получает $(F_{K}(IV),F_{K}(F_{K}(IV))$ и если $\гамма=R$ он получает $(F_{K}(IV),F_{K}(F_{K}(IV)\oplus c_{12}\oplus IV)=(F_{K}(IV),F_{K}(IV)) $ поскольку $c_{12}=F_{K}(IV)$. Таким образом, если $c_{21}=c_{22}$ он говорит $\гамма=R$ и он говорит $\гамма=L$ в противном случае.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.