Puncte:1

Este AES GCM fără GMAC vulnerabil împotriva atacurilor de text clar cunoscut?

drapel in

Este AES GCM fără GMAC vulnerabil împotriva atacurilor bit-flip? Să presupunem că textul simplu este cunoscut din anumite motive (de exemplu, poate fi ghicit). În opinia mea, pot răsturna biți în blocurile cifrate și pot genera astfel un text simplu, care este răsturnat în aceeași poziție.Deci, ar fi ușor să schimbi 0x01 în 0x00 în textul simplu, chiar și atunci când nu cunosc cheia sau vectorul de inițializare.

Am supravegheat ceva? introduceți descrierea imaginii aici

Martin Thompson avatar
drapel za
Vrei să spui „Să presupunem că *textul simplu* este cunoscut”?
Marc Ilunga avatar
drapel tr
HMAC asigură integritatea, fără ea, receptorul nu poate verifica dacă textul cifrat nu a fost manipulat. Prin urmare, se aplică o serie de atacuri și în special biți simple.
MichaelW avatar
drapel in
Îmi pare rău, vreau să spun „Să presupunem că textul simplu este cunoscut”
MichaelW avatar
drapel in
Eu vorbesc despre GMAC, nu despre HMAC.
Martin Thompson avatar
drapel za
Din câte am înțeles, modul GCM este *definit* pentru a include codul de autentificare - din specificația „Cele două funcții care cuprind GCM se numesc criptare autentificată și decriptare autentificată”... deci fără GMAC, este potențial vulnerabil la toate feluri de atacuri. Dar nu ar trebui să faci asta :)
MichaelW avatar
drapel in
Lucrez pentru un proiect din lumea reală.Acolo se poate alege să folosească doar criptare (GCM) sau criptare + autentificare (GCM/GMAC). A existat o discuție despre utilizarea GCM fără GMAC, dar cred că din motivele de mai sus acest lucru este destul de periculos.
Marc Ilunga avatar
drapel tr
Se pare că corectarea mea automată preferă HMAC decât GMAC. Oricum, declarația ar trebui să rămână în continuare. Un plus ar putea fi faptul că, fără GMAC, vom reveni la CTR.
poncho avatar
drapel my
Dacă discută „să facem GCM fără a trece sau valida eticheta”, ei spun efectiv „să folosim o versiune defectă a GCM”. Dacă nu/nu pot cheltui lățimea de bandă pentru a trimite eticheta GCM, nu ar trebui să folosească GCM deloc.
Puncte:2
drapel in

Ca o criptare autentificată cu date asociate, AES-GCM utilizează intern modul CTR, iar GCM adaugă autentificare și integritate. Fără GCM se poate avea doar securitate Ind-CPA.

CTR în AES-GCM începe IV incrementat ($inc_{32}(J_0)$ în format NIST și dacă dimensiunea IV nu este de 96 de biți, atunci IV-ul este procesat). Inițiala $J_0$ este utilizat în calculul etichetei de autentificare.

Restul este modul CTR obișnuit. Dacă cineva cunoaște mesajul, poate schimba mesajul în orice mesaj dorește. Doar x-sau (atacul bit-flip) biții necesari.

introduceți descrierea imaginii aici

Luați în considerare criptarea. Unul nu are control asupra flux de ieșire. Pe de altă parte, dacă textul cifrat este modificat, se modifică doar textul simplu. Sau vezi în ecuație;

$$C_i = O_i \oplus P_i$$ Fluxul de ieșire $O_i$ este fixat de criptarea blocului de criptare, prin urmare, schimbând $C_i$ modifică $P_i$.

Totuși, acesta nu este un atac cunoscut în text simplu! Într-un atac de text simplu cunoscut, cineva are perechi de text simplu cunoscut și încearcă să determine cheia. Modul CTR este sigur împotriva atacurilor KPA și, de fapt, acesta este un atac mai mic decât Ind-CPA.

MichaelW avatar
drapel in
Ah... și ce fel de atac ar fi inversarea biților care modifică un text simplu cunoscut prin răsturnarea biților în textul cifrat? Sau nu este un atac, pentru că este banal?
kelalaka avatar
drapel in
În termeni generali, este un atac activ care modifică textul cifrat. În mod specific, este un atac de întorsătură de biți chiar și [modul CBC are un atac de întoarcere de biți] (https://crypto.stackexchange.com/a/66086/18298)
MichaelW avatar
drapel in
Dar oricum, în termeni practici pot afirma, că GCM fără GMAC nu este sigur atunci când textul simplu poate fi ghicit? Dreapta?
kelalaka avatar
drapel in
Amintiți-vă, ținta principală a atacatorilor în criptare este accesarea mesajului, ceea ce nu înseamnă că cineva a ajuns la cheie cu forță brută sau alte mijloace. În general, se dezvăluie cu cheia. În cazul dvs., odată ce dezvăluiți mesajul, acum aveți o pereche cunoscută de text simplu de atacat cu cel puțin KPA. Amintiți-vă modul CTR Ind-CPA securizat.
kelalaka avatar
drapel in
Ghicirea mesajului face atacul mai ușor în cazul în care IV-reutilizarea sub aceeași cheie. Acest lucru va dezvălui celălalt mesaj, nu cheia.
MichaelW avatar
drapel in
Să presupunem că există o comandă care trebuie transmisă unei centrale electrice, care poate fi „Set Status=0” și „set Status=1”. Dacă Mallory din mijloc poate ghici că prima comandă este transmisă, el poate, doar prin schimbarea biților, să schimbe 0 la 1 fără să cunoască cheia și fără a reutiliza IV-ul. Dacă „1” înseamnă, de exemplu, „opriți centrala electrică”, Mallory poate provoca cu ușurință un rău mare. Cu toate acestea, atunci când comanda este protejată suplimentar de eticheta de autentificare și fiecare IV este utilizat o singură dată, acest scenariu nu se poate întâmpla. Aceasta este o versiune simplă a problemei mele reale. Crezi că temerile mele sunt realiste?
kelalaka avatar
drapel in
[Jocurile pe care le-am jucat în Ind-CPA, Ind-CCAx](https://crypto.stackexchange.com/q/26689/18298) vorbim despre un singur bit cu mai multe încercări ale adversarului. Ne așteptăm ca avantajul adversarului să fie $1/2+\epsilon$ unde $\epsilon$ este o sumă neglijabilă. Deci adversarul are doar o șansă neglijabilă de succes.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.