înregistrare Logare
Puncte:1
MichaelW avatar Crypto

Este AES GCM fără GMAC vulnerabil împotriva atacurilor de text clar cunoscut?

drapel in
MichaelW

Este AES GCM fără GMAC vulnerabil împotriva atacurilor bit-flip? Să presupunem că textul simplu este cunoscut din anumite motive (de exemplu, poate fi ghicit). În opinia mea, pot răsturna biți în blocurile cifrate și pot genera astfel un text simplu, care este răsturnat în aceeași poziție.Deci, ar fi ușor să schimbi 0x01 în 0x00 în textul simplu, chiar și atunci când nu cunosc cheia sau vectorul de inițializare.

Am supravegheat ceva? introduceți descrierea imaginii aici

105
0 + 0
ctr
Martin Thompson avatar
drapel za
Martin Thompson
Vrei să spui „Să presupunem că *textul simplu* este cunoscut”?
1
Răspunde
Marc Ilunga avatar
drapel tr
Marc Ilunga
HMAC asigură integritatea, fără ea, receptorul nu poate verifica dacă textul cifrat nu a fost manipulat. Prin urmare, se aplică o serie de atacuri și în special biți simple.
1
Răspunde
MichaelW avatar
drapel in
MichaelW
Îmi pare rău, vreau să spun „Să presupunem că textul simplu este cunoscut”
0
Răspunde
MichaelW avatar
drapel in
MichaelW
Eu vorbesc despre GMAC, nu despre HMAC.
0
Răspunde
Martin Thompson avatar
drapel za
Martin Thompson
Din câte am înțeles, modul GCM este *definit* pentru a include codul de autentificare - din specificația „Cele două funcții care cuprind GCM se numesc criptare autentificată și decriptare autentificată”... deci fără GMAC, este potențial vulnerabil la toate feluri de atacuri. Dar nu ar trebui să faci asta :)
3
Răspunde
MichaelW avatar
drapel in
MichaelW
Lucrez pentru un proiect din lumea reală.Acolo se poate alege să folosească doar criptare (GCM) sau criptare + autentificare (GCM/GMAC). A existat o discuție despre utilizarea GCM fără GMAC, dar cred că din motivele de mai sus acest lucru este destul de periculos.
0
Răspunde
Marc Ilunga avatar
drapel tr
Marc Ilunga
Se pare că corectarea mea automată preferă HMAC decât GMAC. Oricum, declarația ar trebui să rămână în continuare. Un plus ar putea fi faptul că, fără GMAC, vom reveni la CTR.
1
Răspunde
poncho avatar
drapel my
poncho
Dacă discută „să facem GCM fără a trece sau valida eticheta”, ei spun efectiv „să folosim o versiune defectă a GCM”. Dacă nu/nu pot cheltui lățimea de bandă pentru a trimite eticheta GCM, nu ar trebui să folosească GCM deloc.
1
Răspunde
Puncte:2
kelalaka avatar Crypto
drapel in
kelalaka

Ca o criptare autentificată cu date asociate, AES-GCM utilizează intern modul CTR, iar GCM adaugă autentificare și integritate. Fără GCM se poate avea doar securitate Ind-CPA.

CTR în AES-GCM începe IV incrementat ($inc_{32}(J_0)$ în format NIST și dacă dimensiunea IV nu este de 96 de biți, atunci IV-ul este procesat). Inițiala $J_0$ este utilizat în calculul etichetei de autentificare.

Restul este modul CTR obișnuit. Dacă cineva cunoaște mesajul, poate schimba mesajul în orice mesaj dorește. Doar x-sau (atacul bit-flip) biții necesari.

introduceți descrierea imaginii aici

Luați în considerare criptarea. Unul nu are control asupra flux de ieșire. Pe de altă parte, dacă textul cifrat este modificat, se modifică doar textul simplu. Sau vezi în ecuație;

$$C_i = O_i \oplus P_i$$ Fluxul de ieșire $O_i$ este fixat de criptarea blocului de criptare, prin urmare, schimbând $C_i$ modifică $P_i$.

Totuși, acesta nu este un atac cunoscut în text simplu! Într-un atac de text simplu cunoscut, cineva are perechi de text simplu cunoscut și încearcă să determine cheia. Modul CTR este sigur împotriva atacurilor KPA și, de fapt, acesta este un atac mai mic decât Ind-CPA.

0 + 0
MichaelW avatar
drapel in
MichaelW
Ah... și ce fel de atac ar fi inversarea biților care modifică un text simplu cunoscut prin răsturnarea biților în textul cifrat? Sau nu este un atac, pentru că este banal?
0
Răspunde
kelalaka avatar
drapel in
kelalaka
În termeni generali, este un atac activ care modifică textul cifrat. În mod specific, este un atac de întorsătură de biți chiar și [modul CBC are un atac de întoarcere de biți] (https://crypto.stackexchange.com/a/66086/18298)
1
Răspunde
MichaelW avatar
drapel in
MichaelW
Dar oricum, în termeni practici pot afirma, că GCM fără GMAC nu este sigur atunci când textul simplu poate fi ghicit? Dreapta?
0
Răspunde
kelalaka avatar
drapel in
kelalaka
Amintiți-vă, ținta principală a atacatorilor în criptare este accesarea mesajului, ceea ce nu înseamnă că cineva a ajuns la cheie cu forță brută sau alte mijloace. În general, se dezvăluie cu cheia. În cazul dvs., odată ce dezvăluiți mesajul, acum aveți o pereche cunoscută de text simplu de atacat cu cel puțin KPA. Amintiți-vă modul CTR Ind-CPA securizat.
0
Răspunde
kelalaka avatar
drapel in
kelalaka
Ghicirea mesajului face atacul mai ușor în cazul în care IV-reutilizarea sub aceeași cheie. Acest lucru va dezvălui celălalt mesaj, nu cheia.
1
Răspunde
MichaelW avatar
drapel in
MichaelW
Să presupunem că există o comandă care trebuie transmisă unei centrale electrice, care poate fi „Set Status=0” și „set Status=1”. Dacă Mallory din mijloc poate ghici că prima comandă este transmisă, el poate, doar prin schimbarea biților, să schimbe 0 la 1 fără să cunoască cheia și fără a reutiliza IV-ul. Dacă „1” înseamnă, de exemplu, „opriți centrala electrică”, Mallory poate provoca cu ușurință un rău mare. Cu toate acestea, atunci când comanda este protejată suplimentar de eticheta de autentificare și fiecare IV este utilizat o singură dată, acest scenariu nu se poate întâmpla. Aceasta este o versiune simplă a problemei mele reale. Crezi că temerile mele sunt realiste?
0
Răspunde
kelalaka avatar
drapel in
kelalaka
[Jocurile pe care le-am jucat în Ind-CPA, Ind-CCAx](https://crypto.stackexchange.com/q/26689/18298) vorbim despre un singur bit cu mai multe încercări ale adversarului. Ne așteptăm ca avantajul adversarului să fie $1/2+\epsilon$ unde $\epsilon$ este o sumă neglijabilă. Deci adversarul are doar o șansă neglijabilă de succes.
1
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.