CBC 模式安全问题

CBC 模式，攻击者既可以攻击解密端，也可以攻击加密端

针对解密端的攻击，最常见的方式是给定密文数据观测解密端解密成功还是失败，那解密端是怎么知道解密成功还是失败？利用数据补齐方案

一、数据补齐方案

明文数据(15 字节): 0x01 0x01 0x01 0x01 0x01 0x01 0x01 0x01 0x01 0x01 0x01 0x01 0x01 0x01 0x01
补齐数据(16 字节): 0x01 0x01 0x01 0x01 0x01 0x01 0x01 0x01 0x01 0x01 0x01 0x01 0x01 0x01 0x01 0x00

明文数据(14 字节): 0x02 0x02 0x02 0x02 0x02 0x02 0x02 0x02 0x02 0x02 0x02 0x02 0x02 0x02
补齐数据(16 字节): 0x02 0x02 0x02 0x02 0x02 0x02 0x02 0x02 0x02 0x02 0x02 0x02 0x02 0x02 0x01 0x01

明文数据(13 字节): 0x03 0x03 0x03 0x03 0x03 0x03 0x03 0x03 0x03 0x03 0x03 0x03 0x03
补齐数据(16 字节): 0x03 0x03 0x03 0x03 0x03 0x03 0x03 0x03 0x03 0x03 0x03 0x03 0x03 0x02 0x02 0x02

注意：
明文数据(16 字节): 0x01 0x01 0x01 0x01 0x01 0x01 0x01 0x01 0x01 0x01 0x01 0x01 0x01 0x01 0x01 0x01
补齐数据(32 字节): 0x01 0x01 0x01 0x01 0x01 0x01 0x01 0x01 0x01 0x01 0x01 0x01 0x01 0x01 0x01 0x01 0x0f 0x0f 0x0f 0x0f 0x0f 0x0f 0x0f 0x0f 0x0f 0x0f 0x0f 0x0f 0x0f 0x0f 0x0f 0x0f

解密端解密后，通过检查最后一个明文分组的最后几个字节的数值判断解密是否成功，比如说，如果最后一位数值是 2，倒数第二位和倒数第三位数值也是 2，解密成功

二、解密端攻击-补齐预言攻击

回顾下 CBC 模式的解密过程，一个密文分组的解密，需要如下的输入数据：

• 密钥 K
• 密文分组 Ci
• 上一个密文分组 Ci-1

接下来，我们通过修改倒数第二个密文分组 Ci-1 来影响最后一个明文分组 Pi

首先，修改倒数第二个密文分组的最后一个字节 Ci-1‘[15]，Ci-1’[15] 从 0 开始尝试，只要 Pi‘[15] != 0，Ci-1’[15] += 1 继续尝试，直到 Pi‘[15] == 0 解密成功

一个字节只有 256 种可能性，最多尝试 255 次，Pi‘[15] == 0

当攻击者观察到解密成功时，他能够掌握哪些数据？

• 倒数第二个密文分组的最后一个字节
  • 原始数据：Ci-1[15]
  • 修改后的数据：Ci-1’[15]
• 最后一个明文分组的最后一个字节：Pi’[15] == 0x00

通过以上数据，攻击者就可以破解：

Pi'[15] = 0x00 = Ti[15] ^ Ci-1'[15]
=> Ti[15] = Pi'[15] ^ Ci-1'[15] = Ci-1'[15]
 
Pi[15] = Ti[15] ^ Ci-1[15] = Ci-1'[15] ^ Ci-1[15]

接下来，就是破解 Pi[14]

Pi'[14] = Pi'[15] = 0x01

Ci-1'[15] = Pi'[15] ^ Ti[15] = 0x01 ^ Ti[15]，其中，Ti[15] = 上一次的 Ci-1'[15]

现在，逐一尝试 Ci-1’[14] 即可，同上

接下来，就是破解 Pi[13]，同上

…

如何规避补齐预言攻击？
和数据完整性校验的算法结合起来，而不是依赖补齐数据是否合法

三、加密端攻击-BEAST 攻击

BEAST 攻击可以通过保证初始化向量的唯一性和随机性进行防范，具体细节不在此处过多阐述，有兴趣的可以自行去了解