为什么ECIES很复杂？

Question

难道用AES加密消息，然后用EC公钥加密(随机生成的) AES密钥和IV就足够了吗？

ECIES保护哪些攻击向量，AES-然后-EC-加密是不会的？

Answer 1

难道用AES加密消息，然后用EC公钥加密(随机生成的) AES密钥和IV就足够了吗？

是的，这就足够了，而且通常都是这样做的。然而，要使其工作，您必须有一种方法来可靠地将随机整数转换为曲线点和曲线，这是不可能的。即使您能够可靠地将密钥编码成曲线点，您也可能容易受到一些使用冲突属性的攻击，从而产生比预期小得多的安全裕度，就像用RSA加密“小”值一样。

这就是为什么ECIES随机选择一个曲线点，加密这个点，并使用这个秘密点来派生密钥。

ECIES保护哪些攻击向量，AES-然后-EC-加密是不会的？

ECIES提供选择的密文安全，这意味着它提供了针对大多数已知攻击的安全性。如果您不对纯文本进行身份验证，那么简单的AES(即当时的EC)加密可能无法抵御此类攻击。如果您使用像AES-GCM这样的机制来封装密钥，那么虽然ECIES使用其KDF来派生密钥流，并使用HMAC对密文进行身份验证，但您仍然可以在ECIES上使用它。

Answer 2

ECIES可能看起来很复杂，但是如果您尝试另一种方法，您最终会得到非常类似的东西。

如果您只使用AES加密，那么您将不进行身份验证，这是大多数情况下您也需要做的。如果您然后自己加密和验证，您几乎重新发明了ECIES。

但是是的，与简单的RSA加密相比，ECIES处于更高的抽象层。