私の理解では、ストリーム暗号(またはAES CTRモード)では、キーは実際にはIVを使用して暗号化されています(または、一般に、キーKから疑似ランダムバイトを生成します)。それよりも、このキーを使用して、XORを使用して平文を暗号化します。
しかし、私が理解していることから、同じキーKが使用されていると仮定すると、平文の1ビットの変更は、暗号文の1ビットのみを変更します。
私は正しいですか、それとも完全に間違っていましたか?
そして、私が正しければ、それはCBCよりも安全性が低いのではないでしょうか。(CBCでは、平文の1ビットが変更されるため、変更の時点から暗号文のすべてのビットが変更されます)
ありがとう !!!
明らかに、平文のビットを変更すると出力のビットが変更されるだけなので、CTRモードはシャノンの拡散原理に違反します。ただし、これは話の一部にすぎません。実際、メッセージごとにIVも変更する必要があります。したがって、平文の1ビットだけを変更した場合、またはメッセージが同じままであっても、次のメッセージでは多くのビットが変更されます。
一方、メッセージの悪意のある変更が懸念される場合は、CTRもCBCもこれらの攻撃に対して安全ではないため、@ GregSが述べたように、CCM、GCM、EAXなどの認証済み暗号化モードを使用する必要があります。
これが、ストリーム暗号の場合と同様に、CTRモードを使用するときにキーストリームの一部を繰り返さないようにする必要がある理由です。暗号化側で使用されるカウンターは、キーが変更されるまで前進する必要があります。
はい、その通りです。キーが暗号化されていないことを除いて、IV(カウンター)はキーを使用して暗号化されます。このアプローチにより、暗号化されたストリームへのランダムアクセスが可能になります(データの各部分のカウンターがわかっているため)。