分组密码工作模式的应用安全问题(下)

[《信息安全研究》2019年第01期], 信息安全国家重点实验室(中国科学院信息工程研究所) 中国科学院数据与通信保护研究教育中心 中国科学院大学网络空间安全学院 王鹏 郭婷婷 发布于 2019/4/22


分组密码工作模式有着近乎完美的理论体系:只要底层分组密码是安全的,上层工作模式就可以被证明是安全的.但是理论与现实之间存在巨大差距,现实情况中分组密码工作模式往往会出现各种各样的应用安全问题.主要梳理了其中的Ⅳ误用、在线攻击、RUP问题、填充谕示攻击、生日攻击等一系列问题,其中Ⅳ误用是指程序员生成的Ⅳ值没有达到密码学要求的随机强度,对此可以使用基于Nonce的方案来避免;在线攻击是指一些情况下数据采用在线处理的方式而受到的逐分组攻击,解决方法是使用在线安全的认证加密模式;RUP问题是指工作模式输出未验证的明文,使得数据完整性得不到满足,对此Abed和Ashur等人对相关模式进行了改进;填充谕示攻击是指敌手利用接收方对不正确密文返回的错误提示信息进行攻击,对此可以使用认证加密模式来避免;生日攻击利用工作模式中间状态的碰撞进行伪造的攻击,在此攻击下分组长度为64b的分组密码的安全强度会降为32b,为了避免这个问题,需要设计超生日界的工作模式,详细分析了以上问题出现的原因、关于它们的研究现状及相应的解决办法,最后给出几点具体的建议.

如果是128 b分组密码的工作模式,生日攻击带来的问题不大,但是如果分组长度只有64 b,那么其工作模式的安全强度只有32 b.现实生活中为了节省硬件资源,轻量级分组密码的分组长度一般都设置为64 b,甚至更短.同时由于历史原因,现实中还在使用一些64 b分组长度的分组密码,例如Triple DES3DES)算法.如果我们直接对这些轻量级分组密码套用一些常见的工作模式,生日攻击将变成一种现实的攻击.CCS2016会议上,Bhargavan等人[31]TSLOpen-VPN等安全协议中,展示了生日攻击对经典的CBC加密模式产生的威力.对于64 b分组密码的工作模式,为保障其应用安全就不得不频繁地更换密钥,这又会给密钥管理带来极大的麻烦.

同时,密码学界一直都在致力于抗生日攻击的研究,设计了一批超越生日界(beyond birthday boundBBB)的工作模式.例如,SUM-ECBC3kf9PMAC_Plus等认证模式和CHMCIP等认证加密模式.

6  结论

分组密码工作模式有着近乎完美的理论体系,却屡次出现各种应用安全问题,任何理论体系只是对现实的部分抽象,无法完全反映真正的世界.在工作模式的应用中我们不能盲目相信可证明安全理论的结果,而应该了解证明的含义和局限性,了解模式实现应该注意的问题,分析理论结果和现实的差异,真正做到对工作模式的安全性心中有数,具体注意以下几点:

1)在实现分组密码工作模式时严格按照要求生成Ⅳ,特别对于随机Ⅳ,要生成密码学意义下随机的Ⅳ;如果没有办法达到Ⅳ的要求,选择使用基于Nonce的工作模式;

2)对于在线使用的工作模式选择在线安全的工作模式,对于有完整性要求的应用场景,选择在线安全的认证加密工作模式;

3)对于一般的认证加密模式,例如GCMOCB等应该先判断密文的完整性,然后再决定是否输出明文,避免输出未验证明文(RUP)的情况发生;如果确实因为存储有限等原因不可避免,应该选择RUP下安全的工作模式;

4)在有完整性信息交互的安全协议中使用认证加密模式,用认证加密模式中的解密算法作完整性的判断;

5)对于64 b或者更短分组长度的分组密码,注意安全界的适用范围,选择抗生日攻击的工作模式;

6CBC模式是目前出问题最多的一种工作模式,如果没有特别的安全把握避免使用CBC模式.

参考金沙娱乐赌场网站:

[1]Duong T, Rizzo J. Here come the ninjas [J/OL]. 2011[2018-11-15]. http://www.hpcc.ess.soton.ac.uk/dan/talks/bullrun/Beast.pdf

[2]Rogaway P. Nonce-based symmetric encryption[C]//Proc of Int Workshop on Fast Software Encryption. Berlin: Springer, 2004: 348-358

[3]Joux A, Martinet G, Valette F. Blockwise-adaptive attackers revisiting the In security of some provably secure encryption modes: CBC, GEM, IACBC[C]//Advances in CryptologyCRYPTO 2002. Berlin: Springer, 2002: 231-248

[4]Fouque P A, Martinet G, Poupard G. Practical symmetric on-line encryption[C]//Proc of Int Workshop on Fast Software Encryption Berlin: Springer, 2003: 362-375

[5]Fouque P A, Joux A, Poupard G. Blockwise adversarial model for on-line ciphers and symmetric encryption schemes[G]//Selected Areas in Cryptography. Berlin: Springer, 2004: 212-226

[6]Boldyreva A, Taesombut N. Online encryption schemes: New security notions and constructions[C]//Proc of Cryptographers' Track at the RSA Conf. Berlin: Springer, 2004: 1-14

[7]Bard G V. A challenging but feasible blockwise-adaptive chosen-plaintext attack on SSL[C]//Proc of Int Conf on Secrypt. Berlin: Springer, 2010: 7-10

[8]Bard G V. Blockwise-adaptive chosen-plaintext attack and online modes of encryption[C]//Proc of IMA Int Conf on Cryptography and Coding. Berlin: Springer, 2007: 129-151

[9]孙哲蕾,王鹏.OFBNLF加密工作模式的分析[J].中国科学:信息科学,2016466):729-742

[10]郑凯燕,王鹏.BC加密模式的分析及其改进[J].信息安全学报,201723):61-78

[11]Bellare M, Boldyreva A, Knudsen L, et al. Online ciphers and the Hash-CBC construction[C]//Proc of Int Cryptology Conf. Berlin: Springer, 2001: 292-309

[12]Nandi M. Two new efficient CCA-secure online ciphers: MHCBC and MCBC[C]//Progress in CryptologyINDOCRYPT 2008. Berlin: Springer, 2008: 350-362

[13]Rogaway P, Zhang H. Online ciphers from tweakable blockciphers[C]//Topics in CryptologyCT-RSA 2011. Berlin: Springer, 2011: 237-249

[14]Bhaumik R, Nandi M. Olef: An inverse-free online cipher. an online SPRP with an optimal inverse-free construction[J]. IACR Trans on Symmetric Cryptol, 2016, 20162:30-51

[15]Fleischmann E, Forler C, Lucks S. McOE: A foolproof on-line authenticated encryption scheme[C]//Proc of Int Workshop on Fast Software Encryption Berlin: Springer, 2012: 196-215

[16]Andreeva E, Bogdanov A, Luykx A, et al. Parallelizable and authenticated online ciphers[C]//Advances in CryptologyASIACRYPT 2013. Berlin: Springer, 2013: 424-443

[17]Hoang V T, Reyhanitabar R, Rogaway P, et al. Online authenticated-encryption and its nonce-reuse misuse-resistance[C]//Advances in CryptologyCRYPTO 2015. Berlin: Springer, 2015: 493-517

[18]Endignoux G, Vizár D. Linking online misuse-resistant authenticated encryption and blockwise attack models[J]. IACR Trans on Symmetric Cryptol, 2016, 20162: 125-144

[19]Andreeva E, Bogdanov A, Luykx A, et al. How to securely release unverified plaintext in authenticated encryption[C]//Proc of Int Conf on the Theory and Application of Cryptology and Information Security. Berlin: Springer, 2014: 105-125

[20]Chakraborti A, Datta N, Nandi M. INT-RUP analysis of block-cipher based authenticated encryption schemes[C]//Proc of RSA Conf on Topics in CryptologyCt-RSA. Berlin: Springer, 2016: 39-54

[21]Datta N, Luykx A, Mennink B, et al. Understanding RUP integrity of COLM [J]. IACR Trans on Symmetric Cryptol, 2017, 20172: 143-161

[22]Abed F, Forler C, List E, et al. RIV for robust authenticated encryption[C]//Proc of Int Workshop on Fast Software Encryption. Berlin: Springer, 2016: 23-42

[23]Ashur T, Dunkelman O, Luykx A. Boosting authenticated encryption robustness with minimal modifications[C]//Proc of Int Cryptology Conf. Berlin: Springer, 2017: 3-33

[24]Zhang P, Wang P, Hu H, et al. INT-RUP security of checksum-based authenticated encryption[C]//Proc of Int Conf on Provable Security. Berlin: Spinger, 2017: 147-166

[25]Vaudenay S. Security flaws induced by CBC padding-applications to SSL, IPSEC, WTLS[C]//Proc of Int Conf on the Theory and Applications of Cryptographic Techniques. Berlin: Springer, 2002: 534-545

[26]Canvel B, Hiltgen A, Vaudenay S, et al. Password interception in a SSL/TLS channel[C]//Proc of Int Cryptology Conf. Berlin: Springer, 2003: 583-599

[27]Rizzo J, Duong T. Practical padding oracle attacks[C]//Proc of USENIX Conf on Offensive Technologies. Berkeley, CA: USENIX Association, 2010: 1-8

[28]Iwata T, Kurosawa K. OMAC: One-key CBC MAC [J].Pre-proceedings of Fast Software Encryption, 2003, 201: 129-153

[29]Yuan Z, Wang W, Jia K, et al. New birthday attacks on some MACs based on block ciphers[G]//Proc of Int Cryptology Conf on Advances in CryptologyCRYPTO 2009. Berlin: Springer, 2009: 209-230

[30]Jia K, Wang X, Yuan Z, et al. Distinguishing and second-preimage attacks on CBC-like MACs[C]//Proc of Int Conf on Cryptology and Network Security. Berlin: Springer, 2009: 349-361

[31]Bhargavan K. On the practicalin- security of 64-bit block ciphers: Collision attacks on HTTP over TLS and OpenVPN[C]//Proc of ACM SIGSAC Conf on Computer and Communications Security. New York: ACM, 2016: 456-467

作者简介:王鹏,博士,副研究员,主要研究方向为对称密码方案的设计与分析[email protected];郭婷婷,博士研究生,主要研究方向为对称密码方案的设计与分析[email protected]

© 天津科技网 版权所有
津ICP备05001152号

澳门金沙城赌场网站澳门金沙城赌场官网金沙娱乐官网