AES威胁模型

Question

我读过/浏览了一些关于AES加密家族的文档，但是没有看到任何关于它到底能保护什么的东西。有许多“加密”的方法，但并不是所有的方法都提供相同的保证。例如：

1. 知道明文的攻击者能否以一种方式更改密文，从而使随后的解密生成攻击者选择的明文？
2. 给出多个用相同密码加密的密文，攻击者能计算出密钥吗？或者降低给定密文的安全性？
3. 使用相同的密码，将一个明文加密成两个密文。攻击者能确定密文具有相同的明文吗？
4. 如果密文被破坏，解密算法能检测到吗？

等。毫无疑问，还可以实施更多的攻击。我想知道AES保证了什么，假设它的力量和正确的实现。

Answer 1

1:根据可能的模式，这就是我们认证密文的原因。

他说:可能不是。

3:取决于将密码转换为AES密钥的模式和过程。

4:没有。

AES是一个分组密码。它使用一个密钥来加密128位数据块.有许多方法可以做到这一点。密码上面是操作方式，上面是方案/协议。除此之外，密钥生成是如何。所有这些都必须在威胁模型中加以考虑。

将处理与GPG

有关的具体评论

GNU PG使用2种模式，puclic密钥模式和基于对称密码的加密模式。它们通常使用相同的加密模式，但是密钥和身份验证是不同的。

公钥模式使用全分组反馈的CFB模式和随机IV，然后对密文进行签名。它对每条消息使用一个随机密钥。然后用收件人公钥对密钥进行加密，以便只有收件人私钥才能恢复加密密钥并解密密文。

对称密钥模式从密码中派生密钥，默认为65536次使用8字节盐的SHA-1迭代，该salt可能仅为48位，但这并不坏。但是，迭代次数可以在限制范围内手动增加，我将至少增加到1600万。注意，在某些版本中，迭代计数可以根据系统性能计算，并且变化在65536到65011712之间，即31 * 2^{21}，这是允许的最大迭代计数。所使用的算法是SimpleS2K，它用于向后兼容OpenPGP标准。

我不确定默认情况，但我认为对称模式确实有一个身份验证代码，默认模式应该为每条消息生成唯一的加密密钥，因此恢复密钥不会暴露具有相同密码的其他密文。但是，密码更容易恢复，这就是为什么您需要更多的迭代或更好的密码。

回到最初的问题，但特定于GPG对称：

1:如果密文经过认证，则不会。

2:没有。

3:没有。

他说:不，但是一个信息签名会，我建议签署所有的密文。