XTS优于CBC模式（带扩散器）的优点是什么？

#1 楼

XTS与未扩散的CBC。这里的问题是延展性。 XTS和CBC都可以阻止攻击者学习有关加密数据的信息。但是，没有人能完全成功地阻止攻击者篡改加密数据。

但是，篡改（未扩散的）CBC密文比篡改XTS密文要容易得多。假设攻击者碰巧知道一些消息，说是


给Alice \ $ 400 ...等等blah“。


如果此消息使用CBC加密，则攻击者可以以如下方式篡改密文，使其立即解密为


“等等等等！^％@ ^^给Alice \ $ 800




\ $ 400已变成\ $ 800。这就是您对“ AES-XTS阻止攻击者更改数据单元中的特定位”的引用。在这里，我写！^％@ ^^表示先前的16个字节的块一旦解密就将变得乱码，而这种乱码将超出攻击者的控制。

另一方面，使用XTS可以防止这次袭击。攻击者可以通过将任意16个字节的块转换为乱码来破坏消息，但他将无法像在CBC示例中那样具有相同的控制程度。

但是微软决定不无论如何都使用XTS。原因是破坏16字节块的能力可能仍在破坏。以下是dchest链接的论文的引文：例如，可能存在一个
配置文件（或注册表项），其值设置为0时会创建操作系统中的一个安全漏洞。在磁盘上，该设置类似于“ enableSomeSecuritySetting =
1”。如果该值的开头落在16个字节的边界上，并且攻击者将
纯文本值随机化，则有$ 2 ^ {16} $几率使纯文本的前两个字节为0x30
0x00，它是一个编码ASCII值'0'的字符串。


（此引用指的是LRW可调整密码，但是XTS中使用的XEX可调整密码具有相同的问题。）

添加扩散器。使用扩散器是Microsft解决此问题的方法。这里的想法是在加密明文之前先对其进行“混合”，以使攻击者无法将\ $ 400更改为\ $ 800-混入部分密文将几乎更改整个明文，而不仅仅是其中的一小部分。

这听起来不错，但有一个陷阱：没有人真正知道Microsoft的扩散器是否确实安全。据我所知，它还没有收到来自密码学家的任何正式形式的分析。这意味着您应该对依赖它持怀疑态度。 Microsoft承认这一点：



不利的一面是，扩散器是一种未经验证的新算法，这不可避免地引起了疑问。没有广泛的公众审查和对算法的分析，人们对它的安全性持怀疑态度。人们不愿相信新算法。
为什么我们仍然选择此选项呢？在最终分析中，我们认为这是我们产品的更好选择。与替代方案相比，性能提升非常重要
，足以抵消新扩散器算法的缺点。时间会证明
我们是否做出了正确的选择。


最重要的是。
XTS的延展性不如未扩散的CBC。但是，至少出于实用目的，CBC + Diffuser的延展性可能不如XTS。

重要的一点。
CBC和XTS都不被设计为不可恶意移植的。确保密文不被篡改是一个单独的问题，应该使用诸如HMAC-SHA256之类的消息身份验证代码（MAC）来解决。 MAC通常不用于全盘加密算法的原因有（1）性能问题，（2）使用MAC需要存储带有密文的额外信息，这使得透明地添加它有点棘手。

MAC和扩散器之间的中间立场是使用宽块加密模式，例如CMC，EME或HEH。您可以将它们视为具有“内置”扩散器，从而使其不易损坏。与Microsoft的扩散器不同，这些算法具有正式的安全性定义和经过同行评审的数学证明。在AES是安全的假设下它们是安全的。 Microsoft选择不使用这些是因为（1）性能问题和（2）专利。