无IV的OFB或CTR模式

Question

我在这里读SSL规范。

有趣的是，RC4并没有为每条消息重新设置一个新的IV。流密码状态被简单地传递到下一个记录。为什么这个安全？信息不应该用不同的IVs加密吗？老实说，这是我对IVs不完全理解的一部分:每个消息都需要一个不同的IV，但是什么是信息呢？完整的记录？一张唱片？

CBC模式对于每个块确实有不同的IVs。

我的问题是，像OFB或CTR这样的流加密操作模式如何？对于每个小记录，我需要新的IVs吗?还是我可以像SSL那样对RC4做些什么，然后只进行密码状态？这有什么不安全的吗？WEP似乎做了新的每包IV的事情，这似乎导致了它的垮台。为什么？

Answer 1

来自owlstead的答案及其评论很好地涵盖了WEP部分。

这个答案集中于CTR和OFB。

严格地说，CBC、CFB、CTR和OFB模式总是使用IV或计数器。我假设问题更像是在不发送IV的情况下安全地使用CTR或OFB模式，例如，从所有的零启动IV/计数器，并为每条消息增加计数器。这似乎是可能的和安全的。(只要您足够小心，永远不要重用相同的counter+key组合。)

为CTR和OFB模式选择IV的详细信息

关于IV( CTR和OFB模式中的/nonce)的答案可以在描述这些模式的NIST SP 800-38A:分组密码操作模式的推荐文档中找到。本文件在附录B和C中介绍了NIST为CBC、CFB、CTR和OFB选择IV/计数器的各种建议。长话短说，对于CTR和OFB模式，只要对加密操作的每次调用都是唯一的，使用的IV/计数器总是唯一的。

换句话说，对CTR和OFB来说，计数器是可以的。在OFB模式下，使用先前操作的密码文本作为IV是不安全的，这是一种经常与CBC模式一起使用的做法。NIST规范的语言可能有误导性。有来自罗格威的密码操作模式的评估，您可能会发现它更容易阅读和理解，并且包含了许多附加的细节。

Answer 2

如何生成初始化向量(IV)有很多种方法，并不是所有的方法对于特定的操作模式都是安全的。NIST的建议有时含糊不清，可能导致混淆。罗格威最近讲述了关于这些问题的一个全面的故事(也见很好的图片)；让我总结一下在第四代的范围内应该对CTR和OFB说些什么(第4.6、4.7、5.4节)。

首先，安全性指的是一个相当强的模型，其中对手选择一个明文进行加密，然后被要求将随机字符串与密文区分开来。如果IV是随机的，它不能被对手选择；如果它是一个现在，敌人可以相应地选择它。如果成功的概率可以忽略不计，使用固定密钥的大量尝试，这种模式被认为对选择的明文攻击是安全的。这种设置几乎涵盖了提供机密性(但不一定是真实性)的良好操作模式应该抵消的所有攻击。

回到IVs，OFB和CTR模式对待它们的方式不同，尽管它们是基于流的。在OFB模式下的IV经历了许多加密；如果IV是随机的，则可以很容易地证明它是安全的。然而，基于现在的OFB通常是不安全的，因为使用任何先前的密文块作为IV破坏了安全性，而同时又是一个好的现在(因此，您的问题之一的答案是肯定的“否”)。OFB中的IV计数器是安全的，可以证明是安全的。

CTR模式通过加密从IV开始的算术级数来生成密钥流。当选择IV时，实现了最佳的安全性，使这些值不再重复；NIST方法已经足够好了。随机IV仍然很好，但不是更好；任何先前的密文块都应该是安全的，但这是不必要的复杂情况。

Answer 3

什么是消息取决于协议。只要流密码中的状态不重复，流密码就是安全的。

WEP的问题(在这方面)是，它为每个数据包选择了一个新的IV/nonce，但是攻击者有可能重复这些非new。这是由于24位大小的现在。