การกระจายความน่าจะเป็นของค่าตรวจสอบคีย์ของคีย์ 3DES คืออะไร

เราไม่รู้ แต่เราเชื่อว่ามันแยกไม่ออกจากเครื่องแบบโดยคำนวณ

ค่าตรวจสอบคีย์ที่คุณใช้ 64 บิต (AFAIK ไม่มี 'อัลกอริทึมตรวจสอบคีย์' มาตรฐานสำหรับ 3DES) ถ้าเป็นเช่นนั้น 64 บิตนั้นไม่เพียงพออย่างแน่นอนหากการโจมตีแบบชนกันเป็นไปได้ และเป็นเรื่องที่น่าสงสัยหากการโจมตีแบบพรีอิมเมจ (นั่นคือ ค้นหาคีย์ที่สองที่มีค่าการตรวจสอบเดียวกันคือคีย์นี้) เป็นไปได้

ปัญหาที่ใหญ่กว่า (แม้แต่) ของมาตรฐาน PKCS#11 KCV คือว่ามีการเข้ารหัสข้อความอินพุตที่เป็นศูนย์ทั้งหมด ตอนนี้ หากคุณใช้โหมด CTR คุณจะพบว่าค่าตัวนับเริ่มต้นที่มีศูนย์ nonce (และตัวนับศูนย์) ก็เป็นศูนย์ทั้งหมดเช่นกัน กล่าวอีกนัยหนึ่ง: คุณรั่วไหลของคีย์สตรีมโดยตรง พวกเขาควรใช้ฟังก์ชันทางเดียวเช่น SHA-1

ฉันคิดว่าความคิดเห็นของปอนโชค่อนข้างครอบคลุมคำถาม หากเป็นไปได้ขึ้นอยู่กับกรณีการใช้งานของคุณ (เช่น จำนวนไบต์ที่เก็บไว้ของ KCV หากผู้โจมตีสามารถกระตุ้นการใช้คีย์จำนวนมาก เป็นต้น) โปรดทราบว่า 3DES มีข้อเสียบางประการจากขนาดบล็อกที่เล็ก ฉันควรใช้ฟังก์ชันทางเดียวกับขนาดเอาต์พุตที่ใหญ่กว่า แม้แต่ SHA-1, HMAC-SHA-1 หรือ KDF ที่เกี่ยวข้องก็ยังดีกว่า KCV (160 บิตเทียบกับ 64 บิต) แม้จะมี DES สามปุ่ม 2 ปุ่มก็ตามฟังก์ชันที่ใช้ SHA-256 จะดีกว่า แต่ฉันคิดว่าคุณถูกจำกัดให้ใช้อัลกอริทึมเดิม หากคุณยังคงต้องใช้ 3DES...

ขอบคุณ นั่นสมเหตุสมผลแล้ว พาร์ทเนอร์ที่ส่งคีย์ให้ฉันต้องใช้ 3DES แต่ฉันใช้คีย์ SHA-256 ได้ ปรากฎว่าฉันจะใช้การออกแบบอื่น ไม่มีการรับประกันว่าพาร์ทเนอร์จะไม่ส่งคีย์การส่งให้ฉันสองครั้งเพื่อใช้ใน 2 โอกาสที่แตกต่างกัน ซึ่งทำให้การมี ID สำหรับคีย์นั้นไม่มีประโยชน์

คำถามนี้เป็นภาษาอื่นๆ: