GCM-SIV与固定IV的CBC？

Question

我不断听到固定IV模式的CBC是坏的，因为它有类似的问题，码本崩溃的欧洲央行模式。然而，人们似乎非常愿意推荐AES-GCM-SIV进行确定性加密。为什么GCM-SIV优于要求CBC与固定IV？

Answer 1

为什么GCM优于固定IV的CBC？

从保密的角度来看：

• 当消息在任何位置发生变化时，GCM-SIV会改变它的内部IV (非常高的概率)，因此它的漏洞仅限于允许检测两个消息完全相同(然后只有当它没有提供一个适当的当前消息时)。
• 与固定IV的CBC形成对比，后者允许检测两个消息相同的块数。

从正直的角度来看：

• GCM-SIV检测消息更改(非常高的概率)。
• CBC没有。

此外: CBC中缺乏完整性保证常常使得利用解密设备对机密性发起攻击，例如填充甲骨文攻击，可能允许对消息进行完全解密。