这是一个创建于 532 天前的主题,其中的信息可能已经有所发展或是发生改变。
今天调试 speedtest 程序,然后挂上代理跑了 speedtest,发现大多数 speedtest 上传和下载的测速文件基本都是全零。而且大小( 10k,100M.etc..)或者时间(10s,30s)几乎恒定。行为也差不多(先下载,再上传)。全零基本是可以猜到的明文。
反正 aes-cbc 模式是用前一个块 xor 后一个块似乎会被已知明文攻击。
知道 IV 向量和明文(全零)。那么就可以推断部分 xor 密钥???
不知道 aes-gcm 模式有没有这个问题。
关键是 speedtest 的明文数据太多了,网速快的话,跑一次 speedtest, download 约 1~2G,upload 约 1~2G 。
 |
1
billlee 2023-05-26 00:36:58 +08:00  1
不可能的,抵抗已知明文攻击是现代密码的基本要求。aes-cbc 的解密是 P_i = C_i-1 XOR AES-DECRYPT(C_i). 要获得 P_i 必须对 C_i 做 AES 解密。
|
 |
2
geelaw 2023-05-26 02:16:07 +08:00 via iPhone
使坏者( adversary )得到了 AES(k, …) 在一些已知点的值,这又怎么样呢?分组密码的很多种模式在选择明文攻击下都可以获得分组密码在某些点的值,安全性保证知道这些值并不影响安全性。
GCM 下密文大部分都是 CTR 密文,此时也可以获取大量 PRP(k, …) 的值,甚至比 CBC 知道的位点更规则,依然不影响安全性。 |
|
3
geelaw 2023-05-26 02:19:24 +08:00 via iPhone
另外每次测试的时候会生成新的 AES 密钥,这样的话新会话会“刷新”安全性。即使没有生成新的也会用(高概率)合适的 IV 。既然一次 Speedtest 时间很短,如果有安全问题的话 AES 肯定就不能作为 PRP 使用了。
|
Select Language