TrueCrypt的多重/级联加密安全吗？

Question

TrueCrypt使用级联加密安全吗？有用吗？TrueCrypt可以说是当今使用的最流行和广泛使用的加密应用程序之一，但它似乎使用了一种非常非常规的方案。

该软件提供级联加密，用户可以使用AES、Twofish和Serpent的任意组合来指定双重加密或三重加密。不同寻常的是，在进入下一个块之前，对每个块执行多个加密，而不是对所有数据进行加密，然后加密产生的密文。

在花了大量时间阅读crypto.se之后，人们的共识似乎是，多重/级联加密提供的额外安全性很小(或者根本没有)，有些人甚至认为，如果比仅仅遵循标准协议更弱(尽管后者似乎很少有任何理由证明)。然而，在Bruce的应用密码学 (被许多人认为是密码学的典型文本)中，他提倡使用多重加密(尽管谨慎，但有一些注意事项)。参见章节: 15.7级联多块算法，15.8合并多块算法，17.11级联多流密码。

另一个违背这一共识的例子是Tahoe 100年密码工程，它是在crypto.se上推荐的。它们的协议包括在CTR模式下用AES加密，然后用XSalsa20加密输出。

所以我的问题是，TrueCrypt使用多重/级联密码技术是否合理，为什么？

Answer 1

级联密码给出了一种安全感；在技术上是合理的，因为其中一种密码中的弱点将允许恢复加密的数据。这就是布鲁斯·施耐尔( Bruce Schneier)的论点。在这个时代，DES，当时的领先密码，是一个封闭的设计，显然是被一个小钥匙故意削弱的，由此产生的恐惧也被故意削弱了(事实并非如此)。

另一方面，像TrueCrypt这样的系统所面临的更严重的威胁并不是密码的弱点；它们包括软件的破坏、运行软件的硬件的破坏、密钥的破坏(通过窃听、猜测密码、胶管密码分析、从休眠文件或内存恢复.)、分析改变的扇区.这些风险很难减轻，许多人(包括我)认为，至少在几十年内，即使我们考虑AES-128，也更有可能成为现实，而不是AES的密码分析。而且，技术进步很可能比AES的密码分析更快地用蛮力猜出密码。

级联密码至少有一个明显的缺点:性能下降。这通常是重要的，有时不重要，例如加密密钥时。在我看来，与AES相比，级联可能只会通过副作用来提高实际安全性:增加验证密码猜测的难度(在一个系统中，验证这种猜测的唯一方法是将密码转换为密钥，使用密码串解密，并检查是否有意义)。

总之，我认为，除了AES之外，级联密码只是一种消除偏执狂或表示额外注意的方式，就像告诉一个对密码学知之甚少的人:对于你所有重要的主密钥的冷库，你可以使用USB棒上的Truecrypt卷，甚至连级联密码也可以使用；最重要的是，争取所有使用的硬件和软件的完整性！

添加以下评论，询问如何正确地进行级联(块密码)。我对此的回答是，如果一个人使用级联：

1. 在键拉伸阶段(将用户的密码转换为大容量密码的关键)，级联是很有用的，因为它使得构建一个成功使用蛮力密码的设备变得更加困难/更昂贵/更不可能。级联在密钥扩展中很有用，因为在迭代级联加密时，必须在每个级联密码器上快速实现，这在使用ASIC或FPGA的密码破解器中是一个非常严重的问题；搜索FPGA密码以获得一些有趣的链接。但是，要注意，在密钥存储阶段迭代的每个级联密码的合法实现的速度优化对于安全性是非常重要的(因为我们需要尽可能地将迭代次数推高)，因为在批量加密阶段，这对安全性不重要。
2. 至少级联中的第一个密码(批量加密期间与明文接触的密码，或在密钥拉伸期间与密码接触的密码)应该以一种防止任何可能的侧通道攻击(包括定时和不想要的发射)的方式实现(为了说明在稍微不同的上下文中后来的危险，请参见这)。
3. 当密钥必须是秘密的(特别是用于批量加密的密钥)时，级联密码肯定必须使用不同的密钥(例如，从宽派生密钥中提取)；否则，如果任何密码器最终通过侧通道泄漏密钥，则使用级联很可能导致攻击。

Truecrypt对级联密码的使用肯定遵循3；我无法判断2，也是最重要的1。

Answer 2

如果计算机中存在记录器恶意软件，而不是密钥记录器，则级联密码应该被削弱，因为应用程序将知道密码加密的具体方式。反向数学运算可能会发现密码。级联密码是安全的，并且有机会即使是量子计算机也不会破坏它。这里我只说级联密码不是快的，就像只使用标准的AES，但不是那么慢。