38

周波数解析などの攻撃を防ぐための暗号化において、固有の IV が重要であることは理解しています。質問: AES CBC 暗号化の場合、IV の重要性は何ですか? IVの重要性を説明するかなり明確な答えがあります。

IV をクリア テキストで送信すると、セキュリティ ホールが発生しますか? それとも、対称キーの送信に使用されたのと同じ公開/秘密キーで暗号化する必要がありますか?

IV を暗号化して送信する必要がある場合は、毎回新しい対称キーを生成し、IV をキーの一部と見なしてみませんか? 対称鍵の生成にコストがかかりすぎるということですか? それとも、転送されるデータの量を最小限に抑えるためですか?

シークレットと非シークレットの初期化ベクトルに対する一番の答えは次のように述べています。

典型的な鍵確立プロトコルでは、両方の関係者がデータの一部を計算することになりますが、両者が知っているのは彼らだけです。Diffie-Hellman (またはその楕円曲線の変種) では、共有されたデータは固定長であり、その値を制御することはできません (どちらも同じように見えるランダムなビット シーケンスを取得するだけです)。

2 つのエンティティは、共有された情報を持たずに、「同じように見えるランダムな一連のビット」をどのように導出しますか? 共有情報が暗号化されて送信されたという仮定はありますか? また、共有情報が暗号化されて送信される場合は、IV を暗号化して送信してみませんか?

アプリケーションは対称キーを安全に転送する必要があるため、IV をキー自体から分離することは本質的に最適化のように思われます。または、何か不足していますか?

4

2 に答える 2

37

IV をクリアテキストで送信することによるセキュリティ ホールはありません。これは、ハッシュのソルトを平文で保存するのと似ています。攻撃者が IV/ソルトを制御できない限り、またランダムである限り、問題。

于 2012-01-10T14:13:26.187 に答える
33

初期化ベクトルとキーの主な違いは、キーは秘密にしておく必要があるのに対し、IV は秘密にする必要がないことです。問題の暗号化スキームのセキュリティを危険にさらすことなく、攻撃者が読み取ることができます。

アイデアは、複数のメッセージに同じキーを使用でき、それぞれに異なる (ランダムな) 初期化ベクトルのみを使用できるため、プレーン テキスト間の関係が対応する暗号文に表示されないということです。

とはいえ、セッションごとに新しい共有シークレットを提供する Diffie-Hellman のような鍵合意スキームを使用している場合は、それを使用して最初の初期化ベクトルを生成することもできます。これは、初期化ベクトルを直接選択してメッセージと一緒に送信する場合と比較して、セキュリティ上の利点はあまりありませんが、帯域幅を少し節約し、ランダム ソースからエントロピーを少し節約できます。また、パートナーの 1 つに不適切な乱数ソースがある場合に備えて、IV をもう少しランダムにします (ただし、この場合も DH は実際には安全ではありません)。

2 つのエンティティは、共有された情報を持たずに、「同じように見えるランダムな一連のビット」をどのように導出しますか? 共有情報が暗号化されて送信されたという仮定はありますか? また、共有情報が暗号化されて送信される場合は、IV を暗号化して送信してみませんか?

Diffie-Hellman は、グループ理論の問題に基づいています。イブは、G生成器を含む (循環) グループを知っており、(アリスからボブに送信された) と(ボブからアリスに送信された)gの 2 つの値を確認します。アリスとボブによって、そしてイブと他のパートナーにさえ知られていない). 共有シークレットは. 明らかに、ボブ (知っている人) はシークレットを として計算でき、アリス (知っている人) は を計算できます。Eve は、プロトコルをクラックするために、何らかの方法でこの秘密を導き出す必要があります。g^ag^bab(g^a)^b = g^(a·b) = (g^b)^ab(g^a)^ba(g^b)^a

一部のグループでは、これ (計算 Diffie-Hellman 問題として知られています) は難しい問題のようであり、これらのグループを暗号化で使用しています。(元の DH では、ある大きな有限素体の乗法群の素数位数の部分群を使用します。楕円曲線 DH では、有限体上の楕円曲線群を使用します。他の群も機能します (しかし、それらのいくつかは弱い、例えば、体の加法的グループでは、それを解くのは自明です))。

次に、Alice と Bob の両方がキー派生関数を使用して、実際のキー マテリアル (つまり、両方向の暗号化キー、MAC キー、および開始 IV) を派生させます。

于 2012-01-10T20:52:29.570 に答える