密码甲骨文必须是服务器吗？

Question

有人告诉我，神谕永远是服务器，甲骨文攻击总是在线的，但我不相信这是真的。然而，我对这个话题的理解有限，因为我还在学习，而我刚才读的那本书根本没有讨论它。我所看到的术语定义没有指定oracle攻击是否总是在线/涉及服务器。

1. 甲骨文总是服务器吗？
2. 填充甲骨文攻击是否可以脱机发生(例如加密工具)？
3. 分区甲骨文攻击是否可以脱机发生(例如加密工具)？

请用外行人的话解释一下。

Answer 1

理论上:不。如何实现或命名Oracle并不重要，只是它的工作方式。

在实践中:任何泄漏信息的东西都可以抽象为Oracle。因此，也可以使用客户端作为甲骨文，或系统处理密码系统。在万维网上，服务器端系统只是最常见的工作和通信方式，但重要的是，密码学的应用远远超过了“互联网”。

一个很好的例子是操作系统。它们是(为了简单起见)离线系统，但您也可以在用于操作系统的加密应用程序中识别oracles和其他机制。OS也使用块密码，因此可以进行离线填充oracle攻击。

我希望我能给出一个充分的答案！

Answer 2

“联机”一词是指由另一台计算机或网络控制或连接(牛津)。

单词查询--在线查询和离线查询--告诉您需要什么，并与如何执行查询相关。

一个人询问甲骨文，然后甲骨文作出回应。如果没有回应，它就不是先知。响应可以是一点点或更多，甚至只有在出现错误时才返回(等待x时间，如果没有得到错误，您可以假设它没有错误)。

• 原始填充oracle是在线执行的，因为攻击者没有加密密钥，并要求oracle检查填充是否正确。如果不正确，则oracle发送填充错误。此攻击必须是联机的，因为攻击者将密文发送到测试。服务器( oracle)具有在解密后响应填充状态的密钥。有一种特殊情况会造成冲突；如果攻击者访问了您的计算机，该计算机的程序可以响应填充错误(例如，加密和解密可以在HSM中执行)，那么这是本地填充oracle攻击吗？我们可以说仍然在线，因为攻击创建了一个在线渠道来执行攻击。如果您只是尝试编写填充oracles的程序，那么您可以编写一个只响应填充状态的程序，这是一个没有用处的本地填充oracle。这将用于在线填充甲骨文攻击。另外，请注意填充oracle是一个显示明文的解密oracle。
• 分区oracle也在网上执行，攻击者将密码的KDF生成的密钥分组到密文下，并将其发送给服务器。服务器将标记响应为无效或无效。请注意，分区oracle是一个显示密钥的oracle，因为与通常的在线密码攻击相比，攻击者通过更少的查询来了解正确的密码。因为密码生成密钥，所以它们到达加密密钥。

要更好地理解神谕，可以考虑一个侏儒坐在一个盒子里，里面有一本书，一支铅笔，也可以用一枚硬币。如果是加密甲骨文，那么密钥也包括在内。

• 现在，您向gnome查询密文，它解密并返回填充是否正确。那是填充神谕。
• 现在查询明文，然后gnome返回密文。这是一个加密先知。如果该方案是概率的，则向IV抛硬币，则甲骨文返回概率加密。
• 现在查询密文，然后gnome返回明文。这是解密神谕。
• 现在，查询一个密文，然后oracle返回标记状态。这是使用分区oracle的身份验证标记oracle。
• 现在，您发送一条消息，gnome检查书是否存在，如果exist从书中返回，如果不是gnome抛硬币，则将查询写到书中，并返回值。这是随机预言

通常情况下，该盒子不在攻击者的访问范围内。如果他们能进入里面，那么钥匙就会被泄露。因此，我们假设，在构造oracle时，攻击者除了查询之外没有访问该框的权限。

这是关于如何执行查询的。如果查询是在线执行的，我们可以调用这个在线oracle，如果不是脱机oracle (如果这有帮助的话)。在实践中，更多地考虑在线攻击(远程)。

作为特例，甲骨文可以是你的个人电脑上的TPM芯片。你攻击这个芯片作为研究，那么这是离线的。但是攻击者也可以攻击这个远距离，然后这个就在线了。

Answer 3

正如我在https://www.reddit.com/r/crypto/comments/m0gc2z/understanding_这个_冲击_的_分区_oracle/gqbciqj/中所说的，甲骨文需要有解密密钥。

当甲骨文没有密钥时，你似乎仍然有这样的印象:你可以发动任何形式的甲骨文攻击(从你最近在密码甲骨文必须是服务器吗？的问题@kelalaka判断)。尽管@kelalaka给出了一些耐心的解释，但我在对这一答复的评论中看到了这一点。

我可以从你与泰坦尼克勋爵的谈话中看出，用“服务器”来思考这个问题是有误导性的。也许你应该再问他一遍：“密码甲骨文需要真正的密钥吗？”