链式 CBC 给了我们预先知道下一个 IV 的能力(丧失了 IV 随机的保证),通过对第一个块消息空间内的爆破,我们就能够得到开始的密文上第一个块上的明文。这样就不是对整个消息爆破而是单独一个个块去爆破,在消息空间本来就低熵的情况下这个爆破的代价只会更小
已知:
第一次加密只到 就停了,CPA 模型下我们能够控制
如下构造:
则有
2024年12月03日1分钟阅读
链式 CBC 给了我们预先知道下一个 IV 的能力(丧失了 IV 随机的保证),通过对第一个块消息空间内的爆破,我们就能够得到开始的密文上第一个块上的明文。这样就不是对整个消息爆破而是单独一个个块去爆破,在消息空间本来就低熵的情况下这个爆破的代价只会更小
已知:
c1=Fk(IV⊕m1),cn+1=Fk(cn⊕mn+1)第一次加密只到 cn 就停了,CPA 模型下我们能够控制 mn+1
如下构造:
mn+1=IV⊕cn⊕r则有
cn+1=c1⟺r=m1