CRC当时的XTS作为经过认证的加密有多让人放心？

Question

众所周知，"xz“压缩格式在压缩文件中嵌入一个校验和，以验证解压缩或独立测试期间的完整性。校验和的算法可以是: CRC32、CRC64和SHA256之一，默认为CRC64。

现在，我们将一个"xz“文件放入XTS加密的磁盘映像中。XTS模式是一种纯粹的保密模式，完全没有真实性或完整性。但是里面的"xz“文件有完整的特性。所以问题是：

当将"xz“的CRC64完整性与XTS操作模式的机密性相结合时，我们是否得到了一个安全的确定性认证加密(DAE，即k.a)。密匙包装)计划？

Answer 1

不，除非您使用的是分泌MAC作为MAC，否则不会生成确定性身份验证密码。

你怎么打破它的？首先，查找一对消息m = m_1 \mathbin\| m_2和m' = m'_1 \mathbin\| m'_2，以便使m_i \ne m'_i和\operatorname{CRC}(m) = \operatorname{CRC}(m')。(在CRCs中发现碰撞并不难。)然后：

1. 查询m_1 \mathbin\| m_2的oracle以找到密文c_1 \mathbin\| c_2 \mathbin\| c_3；假设CRC位于块c_3的明文中。
2. 查询m'_1 \mathbin\| m_2的oracle以找到密文c'_1 \mathbin\| c_2 \mathbin\| c_{\mathit{garbage}}。
3. 查询m_1 \mathbin\| m'_2的oracle以找到密文c_1 \mathbin\| c'_2 \mathbin\| c_{\mathit{garbage}}。

最后，将c'_1 \mathbin\| c'_2 \mathbin\| c_3作为一种伪造，因为以前没有发送到oracle的消息m'_1 \mathbin\| m'_2。