我有一个文件,该文件在ECB模式下已用AES-128加密。我知道原始文件的格式,并且知道此格式的所有文件都具有相同的标题。因此,我有一个加密的块和原始块。

我可以使用此信息获取加密密钥吗?

#1 楼

据众所周知,不可以。

如果可以的话,这将构成对AES的实用的已知明文密钥恢复攻击,而这种攻击的存在将意味着AES被现代加密标准认为是完全不安全的。金钱成名,将其带到您当地的/最喜欢的情报机构或有组织的犯罪集团,但请注意,这种选择会带来很大的风险,因为无论您将信息出售给谁,现在都有很大的兴趣阻止您将其出售给任何其他人)。

一个例外情况是,键空间足够小(或者您怀疑它可能足够小)以至于无法进行穷举搜索。那可以例如如果密钥源自可能不是安全选择的密码短语(即,从足够大的组合池中随机选择),则属于这种情况。在那种情况下(尤其是如果没有使用任何谨慎的慢速密钥派生功能来增强密钥),您只需编写一些代码(或构建一些硬件)来尝试所有可能的密码短语,直到找到能够正确加密的密码短语。

评论


$ \ begingroup $
谢谢!我不是饼干。我正在开发一种密码系统,这是快速解密文件的任意块的需求。因此,我选择了ECB而不是CBC,并希望确保在这种情况下,我没有在系统中造成任何麻烦。
$ \ endgroup $
–丹尼斯·贝兹鲁科夫(Denis Bezrukov)
2012年10月4日,11:36

$ \ begingroup $
@Denis Bezrukov:CBC还允许您解密文件的任意块;与ECB相比,在解密之后,与前一个密文块的额外费用仅为异或。
$ \ endgroup $
–fgrieu♦
2012年10月4日12:21



$ \ begingroup $
@Denis:ECB模式的问题不在于它可以泄漏密钥,而是可以泄漏有关正在加密的数据的信息。如果要使用允许快速解密任意块的安全操作模式,请改用CTR(尽管,正如前面提到的,CBC解密还可以相当有效地进行随机访问)。
$ \ endgroup $
–伊尔马里·卡洛宁(Ilmari Karonen)
2012年10月4日14:16



$ \ begingroup $
@Denis您正在使用ECB在系统中造成漏洞。您还可以使用其他操作模式来解密随机块。查看磁盘加密理论Wikipedia文章,以获取有关此内容的入门知识。
$ \ endgroup $
–斯蒂芬·托瑟(Stephen Touset)
2012年10月4日17:43

#2 楼

对于可能的实际定义,“否”,假设密钥是真正随机选择的,并且没有可用的辅助信道信息(例如,加密设备的功耗轨迹或许多加密所花费的时间)。 >
AES的设计一直努力使从明文-密文示例中找到密钥的最佳方法是尝试$ 2 ^ {128} $可能的密钥中的密钥。据我们所知,为所有实际目的都达到了这个目标(在像4这样的小因素内,有争议,我们可以忽略)。如果我们每年在百万个设备上每秒测试十亿个按键,那么按正确键的几率不到十亿分之一。我故意避免了十亿美元的歧义。

评论


$ \ begingroup $
该迷你通知的[+1]。 ;)
$ \ endgroup $
– e-sushi
2014年11月11日17:31



$ \ begingroup $
毫不含糊的:)
$ \ endgroup $
–休伯特·卡里奥(Hubert Kario)
16年2月29日在17:58