Crypto入门-分组密码初探

基础知识

工作模式

设明文为 $P$ ，密文为 $C$ ，加密算法为 $F$ ，解密算法为 $D$ 。

ECB

电子密码本。

$\begin{matrix} C_{i} = E (P_{i}) \\ P_{i} = D (C_{i}) \end{matrix}$

CBC

密码分组链接。

$\begin{matrix} C_{0} = I V \dots C_{i} = E (P_{i} \oplus C_{i - 1}) \\ C_{0} = I V \dots P_{i} = D (C_{i}) \oplus C_{i - 1} \end{matrix}$

OFB

输出反馈模式。

$\begin{matrix} O_{0} = I V \\ O_{i} = E (O_{i - 1}) \\ C_{i} = P_{i} \oplus O_{i} \\ P_{i} = C_{i} \oplus O_{i} \end{matrix}$

CFB

密文反馈。

$\begin{matrix} C_{0} = I V \\ C_{i} = P_{i} \oplus E (C_{i - 1}) \\ P_{i} = C_{i} \oplus E (C_{i - 1}) \end{matrix}$

CTF/ICM/SIC

整数计数模式。

费斯妥密码

明文被分为 $L_{0}$ 和 $R_{0}$ 两部分，每轮有：

$\begin{matrix} L_{i + 1} = R_{i} \\ R_{i + 1} = L_{i} \oplus F (R_{i}, K_{i}) \end{matrix}$

得到密文 $(R_{n + 1}, L_{n + 1})$ 。

解密就是整个加密操作逆序做一遍：

$\begin{matrix} R_{i} = L_{i + 1} \\ L_{i} = R_{i + 1} \oplus F (L_{i + 1}, K_{i}) \end{matrix}$

得到明文 $(L_{0}, R_{0})$ 。

AES常见攻击

Byte-at-a-Time

当一个块尺寸为 $16$ 字节时，输入 $15$ 字节，设法探测有关数据。

CBC-IV-Detection

正常CBC模式解密为：

$\begin{matrix} P_{1} = D (C_{1}) \oplus I V \\ P_{2} = D (C_{2}) \oplus C_{1} \\ P_{3} = D (C_{3}) \oplus C_{2} \end{matrix}$

当 $C_{1}$ 与 $C_{3}$ 相同，且 $C_{2}$ 为一个全零的块时：

$\begin{matrix} P_{1} = D (C_{1}) \oplus I V \\ P_{2} = D (‘ ∖ x 00^{'} * B L O C K_{L} E N) \oplus C_{1} \\ P_{3} = D (C_{1}) \oplus (‘ ∖ x 00^{'} * B L O C K_{L} E N) = D (C_{1}) \end{matrix}$

可知 $D (C_{1})$ ，与 $P_{1}$ 异或后可得IV。

CBC-Bit-Flipping

在解密过程中，可通过控制密文 $1$ 字节来影响后一个块解密出的明文。

CBC-Padding-Oracle

利用PKCS#7填充算法时，Padding不正确会使服务器抛出异常。如果能获得密文 $C$ ，则构造 $C = F + Y$ ，则可通过修改 $F$ 的最后 $1$ 字节来改变 $Y$ 解密出来的明文最后 $1$ 字节。

一般情况下， $F$ 设为随机值，则当 $Y$ 解密后最后 $1$ 字节为'\x00'时才不会抛出错误。若倒数第 $2$ 和第 $1$ 字节都为'\x00'也不会报错，此时可重新生成个 $Y$ 。

当探测到不会报错的 $F (n - 1)$ 时，可算出 $Y$ 最后 $1$ 字节对应的明文：

$P (n - 1) = 0 x 1 \oplus F (n - 1) \oplus F (n - 1)$