对称加密-给定纯文本，生成没有密钥的密码文本。

Question

假设Alice和Bob使用对等审查的对称加密算法(如AES-256 )进行通信。Bob拥有一个用于解码Alice消息的私有加密密钥，但Alice没有此密钥。

如果Alice的纯文本已准备好加密并发送给Bob，那么对于Alice来说，生成密码文本并由Bob在不知道其加密密钥的情况下成功解密是否可行？

Answer 1

这取决于所使用的分组密码模式和/或系统可能执行的任何消息身份验证。但是，像AES-CBC和AES-CTR这样的纯旧加密模式很容易受到可塑性攻击可塑性攻击的攻击，攻击者如果能够获得一些密文(或者更好的是，密文/明文对)，就能够修改它以产生消息，而这些消息的解密方式是他们可以选择的。这方面有一些实用的例子，如EFail攻击：

攻击者以特定方式更改加密电子邮件，并将更改后的加密电子邮件发送给受害者。受害者的电子邮件客户端解密电子邮件并加载任何外部内容，从而将明文泄漏给攻击者。...由于CBC操作模式的特殊性，如果攻击者知道明文，就可以精确地修改明文块。S/MIME加密邮件通常以“内容类型:多部分/签名”开头，因此攻击者至少知道一整块明文，如(a)所示。然后，她可以形成一个规范的明文块，其内容都是零，如(b)所示。我们将块对X和C0称为CBC小工具。在步骤(c)中，她反复添加CBC小工具，将图像标记注入加密的明文。这将创建一个加密的正文部件，当用户打开攻击者电子邮件时，该部分将提取自己的明文。

所有这些都不需要掌握关键知识。

这类事情的现代解决方案是使用认证加密模式(又名"AEAD")，例如AES-GCM，它包含额外的保护来检测和拒绝伪造的密文。但是，使用这种算法和其他类似的现代算法仍然不是通用的--例如，EFail是对S/MIME和PGP电子邮件的攻击，这些都是较老的技术，但仍然被广泛使用。