AES解密可以作为加密吗？

Question

定义

• E: AES加密
• D: AES解密
• x:纯文本
• y:加密文本
• k:钥匙

在原始的AES密码中，

• 加密:y= E(x，k)
• 解密:X= D(y，k)

然后，我定义了“反向AES密码”如下。

• 加密:y= D(x，k)
• 解密:X= E(y，k)

“反向AES密码”和原来的AES一样安全吗？

或者，安全，但其强度不是简单地与AES相比吗？

还是，不安全？

或者，有没有人知道任何密码可以像上面那样使用，并且像AES一样安全实用？

Answer 1

首先，我假设我们讨论的是加密/解密确切的128位数据，即AES的块大小。否则，您将需要指定一种操作模式--如果数据的长度不是块大小的倍数，那么处理起来就更困难了。所以，我假设我们用的是一个街区。(如果您使用的是一种操作模式，下面不适用；更多细节请参见另一个答案(S)。)

AES模拟了一种称为伪随机置换的理论结构。本质上，这意味着如果我们建立了一个游戏，在这个游戏中，我们给一个多项式时间限制的对手访问(1)一个甲骨文计算一个真正的随机排列，或者(2)一个甲骨文计算伪随机排列(用随机选择的密钥)，对手不能确定他们获得了哪一个不可忽略的优势。(他们总是能猜出其中一个，所以他们有50%的机会猜对了；PRP的安全要求是，他们不能在50%以上获得任何不可忽视的机会。)

PRP有一个更强的概念，称为强伪随机置换。在强PRP游戏中，对手不仅可以访问计算问题中的置换的甲骨文，还可以访问置换的逆序。就块密码而言，这意味着他们不仅可以访问加密的甲骨文，还可以访问解密的甲骨文。

据我们所知，AES确实是一个很强的PRP，所以对于单个块来说，交换加密和解密功能应该是很好的。例如，您可以在其他分组密码操作模式中使用这一点。

Answer 2

这取决于你所说的“AES密码”是什么意思。

如果你说的是分组密码原语，也就是说，如果你用AES来定义一个备用的分组密码，并交换‘加密’和‘解密’的方向，那么这个替代的分组密码就和AES一样强。它可以用于任何模式的操作，我们通常会使用与AES，并工作一样。事实上，如果我们有任何证据证明你的分组密码有任何特定的弱点，那就会立即转化为AES中的弱点。

但是，如果您在特定的操作模式中讨论AES，并使用“解密”模式进行加密，则可能会遇到意外的问题，这取决于模式(或者它可能根本不起作用；对于任何身份验证加密模式都不会)。对于CBC模式，是的，您可能会遇到问题(请参阅下面的扩展讨论)；对于CTR (计数器)模式，您不会(实际上，加密和解密是完全相同的操作，因此交换这两个操作不会真正改变任何事情)。

现在，关于CBC模式和您可能遇到的弱点的讨论：

加密期间的CBC模式不受所选明文攻击的影响(假设IV是随机选择的)；也就是说，如果攻击者指定明文，然后检查加密的密文，则该加密文本(高概率)不会给他提供任何其他密码文本的信息。事实上，即使你猜到他的密文可能是确切的明文，并要求加密，结果的密文将与他已经拥有的密文无关(可能性很大)。这是因为IV对整个消息起着随机化的作用。

对于解密模式中的CBC模式来说，情况并非如此；IV只影响第一个块；因此(在此模型中)，如果攻击者提交猜测的明文，那将是完全相同的密文(可能是第一个块除外)；因此，在此模型中CBC模式解密是不安全的。

附带注意(不讨论主题，但这是一个非常明显的问题的答案)，这一观察并不影响CBC模式解密，因为我们在消息中添加了消息身份验证代码；如果攻击者提交自己的密文，MAC将失败，因此他什么也学不到。但是，如果您使用CBC模式解密来“加密”，我们就没有MAC。