当加密和解密值已知时，是否有任何对称加密算法无法猜测密钥？

Question

我希望对称加密算法在给定明文和密文时无法恢复其密钥。我尝试了异或密码算法，但当我获得密文和明文时，密钥流很容易再现。

当加密和解密值已知时，是否有安全的对称加密算法来抵御密钥恢复攻击？

Answer 1

在对称密码的现代密码安全概念中，必须抵抗CCA和CPA的密钥恢复，因为在大多数现代加密通信中，明文几乎总是与密文一起被部分猜测。

这里，CCA和CPA是两个一般的攻击模型(我正在简化)：

• CCA:攻击者可以要求解密除他想破解的密文以外的任何密文。
• CPA:攻击者可以要求对任何明文进行加密。

在这两种模型中，攻击者都会尝试在密文和明文之间建立关联，以帮助进一步解密，而正如您所提到的，其中一种方法就是简单地猜测密钥。

现代对称密码及其操作方式，如AES-GCM (RFC 5116和NIST官方网页)、AES-CBC-HMAC、ChaCha20-Poly1305，对您的目的来说是足够安全的。此外，它们还提供了真实性--通信方可以确保密文不是来自攻击者或其他任何人。

另外，还有一些成熟的封装应用程序通信的协议，比如SSL/TLS，它需要一个x509证书(您需要购买)，或者SSH (安全外壳)，它使用一个"known_hosts“文件对服务器进行身份验证。它们还有成熟的实现，如LibreSSL和OpenSSH，您可以使用它们。