รูปแบบการเข้ารหัสที่รับรองความถูกต้องสามารถตรวจจับได้ว่าใช้คีย์ผิดหรือไม่

รูปแบบการเข้ารหัสที่ผ่านการรับรองความถูกต้อง (เช่น AES-GCM) สามารถตรวจจับได้ว่าใช้คีย์ผิดในการถอดรหัสหรือไม่ ถ้าไม่ใช่ วิธีมาตรฐานในการตรวจสอบว่าคีย์ที่ป้อนนั้นถูกต้องหรือไม่ ฉันคิดว่าสามารถใช้ KCV สำหรับสิ่งนี้ได้ แต่สิ่งนี้ทำให้ข้อมูลเกี่ยวกับคีย์รั่วไหลหรือไม่?

นี่เป็นคำถามที่น่าสนใจ และขึ้นอยู่กับสถานการณ์ที่คุณอาจถอดรหัสด้วยคีย์ "ผิด"

ถ้าสองคีย์ $k_1$ และ $k_2$ ถูกสร้างขึ้นอย่างอิสระและ $ค$ เป็นไซเฟอร์เท็กซ์ที่สร้างขึ้นโดยสุจริตภายใต้ $k_1$จากนั้นทำการถอดรหัส $ค$ ภายใต้ $k_2$ จะส่งผลให้เกิดข้อผิดพลาด ยกเว้นด้วยความน่าจะเป็นเล็กน้อย หากไม่เป็นเช่นนั้น ก็จะนำไปสู่การโจมตีความปลอดภัยของ AEAD (ผู้โจมตีเพียงแค่ส่งข้อความเข้ารหัสภายใต้คีย์ที่เลือกโดยอิสระ) การวิเคราะห์นี้ครอบคลุมถึงกรณีของการถอดรหัส "โดยบังเอิญ" หรือ "โดยบังเอิญ" ภายใต้คีย์ที่ไม่ถูกต้อง

ทั้งนี้ไม่ครอบคลุมถึงกรณีที่ $k_1, k_2, ค$ ล้วนถูกสร้างขึ้นมาในทางตรงข้าม (บางทีผู้โจมตีอาจแสดงให้คุณเห็น $ค$ และ $k_1$และตั้งแต่นั้นเป็นต้นมา $ค$ ถอดรหัสสำเร็จภายใต้ $k_1$ คุณสรุปไม่ถูกต้องว่าบุคคลที่มีรหัสอื่นไม่สามารถยอมรับได้ $ค$.) คำจำกัดความตามปกติของ AEAD ไม่ได้ป้องกันสิ่งนั้นมีโครงร่าง AEAD ตามธรรมชาติ (รวมถึง AES-GCM) ซึ่งสามารถสร้างได้ $k_1, k_2, ค$ ดังนั้น $ค$ ถอดรหัสโดยไม่มีข้อผิดพลาดภายใต้ทั้งสอง $k_1$ และ $k_2$. คุณสมบัตินี้อาจทำให้เกิดปัญหากับแอปพลิเคชันบางอย่างของ AEAD เช่น ข้อตกลงคีย์ที่ตรวจสอบสิทธิ์ด้วยรหัสผ่าน และ การรายงานการละเมิดในข้อความที่เข้ารหัส.

ถ้าเกิดว่ายากขึ้นมาล่ะก็ $k_1, k_2, ค$ ที่ไหน $ค$ ถอดรหัสโดยไม่มีข้อผิดพลาดภายใต้ทั้งสอง $k_1$ และ $k_2$แล้วเราบอกว่าโครงการคือ ความมุ่งมั่นที่สำคัญ. บางครั้งคุณสมบัติการคอมมิตคีย์จำเป็นต้องระบุค่าเพิ่มเติม (นอกเหนือจากข้อความไซเฟอร์เท็กซ์และคีย์ปกติ) เพื่อช่วยผูกคีย์กับข้อความไซเฟอร์ มีการศึกษาการเข้ารหัสแบบคีย์ ที่นี่ และ ที่นี่.