Warum wird die IV im Klartext übergeben, wenn sie leicht verschlüsselt werden kann?

  • Der Initialisierungsvektor (IV) ist vor der Verschlüsselung für den ersten gesendeten Block ausschließlich oder gegen den Klartext gerichtet, um zu verhindern, dass ein Angreifer erfährt, dass doppelte Nachrichtenblöcke gesendet werden. Diese Technik wird häufig bei Streaming-Modi wie CBC verwendet.

    Ich habe einige der Fragen untersucht, die gefragt wurden, ob es sicher ist, die IV im Klartext zu passieren. Der allgemeine Konsens scheint zu sein, dass die IV sicher im Klartext übergeben werden kann, aber die IV sollte zufällig sein, um bestimmte Arten von Angriffen zu verhindern. Die Verwendung eines Zählers für die IV wird ebenfalls als anfällig angesehen und es sollten nur zufällig generierte IVs verwendet werden. Ich verstehe das nicht wirklich, da der Grund für das Bestehen einer zufälligen IV darin besteht, dass es nicht leicht erraten werden kann.

    In jedem Fall lautet meine Frage wie folgt:

    Es sollte relativ einfach sein, den ersten Block einer Nachricht verschlüsselt zu senden, jedoch ohne IV-Verarbeitung. Dieser erste Block könnte die IV enthalten, die dann für alle verbleibenden Blöcke der Nachricht verwendet würde. Da die IV in der verschlüsselten Nachricht zufällig ist, sollten keine ersten Blöcke doppelt vorhanden sein. Wie kommt es, dass dies nicht getan wird, und ist es nicht wenigstens ein bisschen sicherer, als die IV in den freien Raum zu schicken?

    05 April 2012
    Hobo
2 answers
  • Werfen wir einen Blick auf die Verschlüsselung im CBC-Modus:

    Warum wird die IV im Klartext übergeben, wenn sie leicht verschlüsselt werden kann?

    Wie Sie sehen, wird IV als Initialisierungsvektor bezeichnet, da er der erste Vektor ist, der mit gemischt wird der Klartext vor der Verschlüsselung. Die nächsten Vektoren sind der Chiffretextblock vor dem verschlüsselten. Alle Geheimtextblöcke werden natürlich in Klartext gesendet. Aus diesem Grund macht es keinen Sinn, den ersten zu verschlüsseln - Sie würden nur einen der vielen Vektoren schützen.

    Was Sie tun können Für die CBC-Modusverschlüsselung ist die Verwendung eines PRP (Block Cipher) oder eines PRF (kryptografisch sicherer Hash, um die IV von zufälliger Unterscheidung zu unterscheiden.) Die IV für die CBC-Modusverschlüsselung muss für einen Gegner nicht vorhersagbar sein. In diesem Fall entschlüsseln Sie jedoch niemals die IV. Sie verwenden die Blockchiffre einfach als anfängliche Transformation.

    Wenn Sie tun Halten Sie die IV geheim, dann können Sie einen einzelnen Block verwenden, der mit einem anderen - möglicherweise abgeleiteten - Schlüssel verschlüsselt wird.

    27 April 2016
    e-sushiMaarten Bodewes
  • Mit den früheren Antworten stimmt nichts wirklich, aber ich denke, dass sie die Chance verpasst haben, eine grundlegendere Begründung für die Sicherheit des Passierens von IVs im Klartext zu formulieren. Welches ist das:

    • Wenn das IV einem Gegner, der den Schlüssel noch nicht kennt, keine zusätzlichen Informationen über den Klartext übermittelt, dann Kenntnis des IV ist für einen Gegner nicht von erheblicher Hilfe.

    Modi wie CBC, die eine zufällige IV erfordern, sind das deutlichste Beispiel dafür. Hier ist eine konkrete, physikalische Analogie: Wenn ich mich 128 mal dazu entschieden habe, eine Münze zu werfen und die Ergebnisse auf die Außenseite eines verschlossenen Umschlags zu schreiben, denke ich, dass die meisten Leute es für offensichtlich halten würden, dass dies einem Gegner, der dies versucht, nicht helfen würde den Inhalt des Umschlags herleiten, ohne ihn tatsächlich zu öffnen. Weil diese 128 Münzwürfe offensichtlich zufällig sind und daher nicht mit dem Klartext oder einem anderen Ereignis korrelieren.

    Die gleiche Logik gilt jedoch für zufällige IVs. Sie können im Klartext übergeben werden, da es sich um zufällige Werte handelt. Daher ist es garantiert, dass der Widersacher keine anderen Informationen ableiten kann.

    Das analoge Argument für Nonce-IVs ist dagegen schwächer, da wir zeigen oder annehmen müssen, dass die ehrlichen Parteien Nonces so wählen, dass sie keine Informationen übermitteln die Klartexte (oder andere Geheimnisse).


    Es gibt differenzierte Einwände, die auf die klare Übermittlung von Zufälligen und Nicht-Befunden erhoben wurden IVs jedoch. Siehe zum Beispiel:

    18 April 2018
    Luis Casillas