È sicuro derivare un IV parzialmente dai dati segreti se è sottoposto a hash prima dell'uso?

2

Per garantire l'univocità degli IV utilizzati in un cifrario AES-256 CFB, il software che conosco raccoglie bit da varie fonti incluso il testo in chiaro codificato e lo esegue tramite un hash SHA-256. I 128 bit risultanti sono usati come IV. Suppongo che, poiché viene utilizzato CFB, ciò si verifica solo per il primo blocco.

Il testo in chiaro cambia nel tempo e viene codificato molte volte nel corso della sua vita. Un utente malintenzionato potrebbe avere accesso a più testi cifrari di testi in chiaro che differiscono solo di un bit nel 4096.

È probabile che ciò influisca negativamente sulla forza crittografica dei testi cifrati di molto?

    
posta David Bullock 10.06.2013 - 07:36
fonte

1 risposta

4

Se il tuo IV è derivato dal testo in chiaro, così che la crittografia dello stesso testo in chiaro porta due volte allo stesso IV, allora perdi la sicurezza semantica: qualcuno può dire se due testi in chiaro sono uguali confrontando i testi cifrati.

Oltre a questo, per CFB, è ok usare un IV prevedibile; ciò che è fondamentale è che l'IV non viene riutilizzato (o almeno non riutilizzato per messaggi distinti, con l'avvertenza sopra).

Quindi un hash crittografico dell'intero testo in chiaro, o del testo in chiaro più altri dati, è un IV adatto, a patto che non ti interessi esporre l'uguaglianza in chiaro. Nota che se includi dati diversi dal testo in chiaro (ad esempio IV = hash(plaintext || moredata) ), anche questo espone l'uguaglianza di moredata se hai lo stesso testo in chiaro più volte con diverso moredata .

Fonte: sta usando un prevedibile IV con modalità CFB sicuro o no? Per il rischio di riutilizzare un IV, vedi Un testo in chiaro variabile compensa un vettore di inizializzazione fisso?

    
risposta data 10.06.2013 - 11:22
fonte

Leggi altre domande sui tag