Padding oracle attack
这是一个分块的加密算法,当前块的加密依靠前一个块的加密结果,形式如下图:
可以看出,为了满足当前与前一块的规则,它初始化了一个向量V,用于第一轮加密。
将分组的明文与上一组的密文进行计算得到该组的密文,继续做下一组的【V向量】(V就是指初始给的,这里这么多就是形象一下)。
我们需要提醒的是,对于分组过程中会出现数据长度不足的情况,那么我们为了补全,会进行如下的操作:
分组密码Block Cipher需要在加载前确保每个每组的长度都是分组长度的整数倍。一般情况下,明文的最后一个分组很有可能会出现长度不足分组的长度:
这个时候,普遍的做法是在最后一个分组后填充一个固定的值,这个值的大小为填充的字节总数。即假如最后还差3个字符,则填充0x03。
这种Padding原则遵循的是常见的PKCS#5标准。
那我们再看看解码,根据加密我们可知,解码就是反向的过程呗
第一组明文和V得到密文,然后密文作为第二组的V继续计算
第一组密文等于第一组明文和V,那么第一组明文就等于密文和V;第二组明文和第一组密文等于第二组密文,那么第二组明文=第一组密文和第二组密文。简单说就是根据第一个的密文解出来第一个明文,第一个密文还有用来解第二个密文,以此类推。
我们对其攻击的过程是从第一分块开始的,原理如下
函数(向量V⊕第一组明文 )= 第一组密文 函数(第一组密文⊕第二组明文)=第二组密文
函数(函数(向量V⊕第一组明文)⊕第二组明文)= 第二组密文
以此类推我们可以知道实际上这就是一个嵌套的过程,那么实际上最后一组的输出与前面所有的组和V的每一位都是对应的,因为它们的长度完全是一样的。
那么回想一下,我们已经知道最后一组的填充是有固定格式的
对于后面的补充位,必须为固定的格式,而且关键的是,如果你给了错误的V和密文,解码出来的格式不对就会提醒你错误。关键的是,我们在实际情况中密文是可以获得的。
那么我们的思路就是在Padding Oracle Attack攻击中,控制参数V+Cipher密文,我们要通过对V的"穷举"来请求服务器端对我们指定的Cipher密文进行解密,并对返回的结果进行判断,原理就是解码后的填充字节错误。
回想我们之前说的这个Padding Oracle Attack攻击的成立条件:
当然我们是不知道中间处理函数是怎样的,但是服务器知道的,我们只需要猜测V就可以,因为我们知道最后输出的值是要满足一定条件的,不同的V肯定会影响到最后的输出,并且此时V值只有一种可能,那么我们就强行猜解。(看图,就可以明白)
(这里是转换的思想,我们虽然知道第一组的V,但是不知道中间的函数过程,转变一下思想,根据块分组规则推导出函数中间值,有理论基础的)
我们限分析一块的情况下
我们从最后一位开始,当只有最后一位扩充时,解密结果满足为0x01,我们测试0-255的所有可能字符,知道最后一块的解密为0x01,那么就不会提示错误了,对吧。测试V最后一个字节为0x66时成功了,那么我们根据流程可知中间值为V和解密的最后字节的异或,即0x66异或0x01=0x67 即为中间值。
然后猜倒数第二位,此时假设两位补充,即0x02 0x02 为了满足这个要求,为了满足假设最后一位中间值还是0x67,,我们对上一步V的最后一位更新为0x66 ^0x02=0x64。
爆破倒数第二位,得到0x70,在进行异或得到中间值的第二位0x70^0x02=0x72.
接下来,要继续对IV进行假设,同理,这次"选择密文攻击"的假设是Padding 0x03,对IV进行迭代更新,然后对IV的倒数第三个字节进行"穷举"循环探测。
Padding 0x03
Padding 0x04
Padding 0x05
Padding 0x06
Padding 0x07
Padding 0x08
最后得到了所有的中间值,与真实的V进行异或得到真的明文值。
如果是多块的话,我们将第一块的密文作为第二块的V,继续推导即可。
491
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
