为什么合成IV (SIV)模式被认为是确定性认证加密(DAE)？

Question

我正在复习我的古瑟尔密码学课程的(旧)笔记，我对SIV提供确定性认证加密(DAE)的描述感到困惑。所示的一般SIV结构是首先使用安全PRF计算明文上的MAC，然后使用CTR模式下的安全分组密码对明文进行加密，使用MAC标记作为IV和独立密钥。然后输出IV和密文。

据我所知，这本质上是一种加密和MAC方案，在我看来，它对与SSH相同的选择密文攻击开放吗？SIV是否有排除此类攻击的某些方面？或者这类攻击是否被确定性密文完整性的定义所排除？

来自http://cseweb.ucsd.edu/~mihir/papers/oem.pdf第17页：

E&M不提供INT.E&M也不能提供完整的密文。这是因为存在安全加密方案，其属性是可以在不更改解密的情况下修改密文。当使用这种加密方案作为基本对称加密方案时，对手可以查询加密甲骨文，修改部分响应，并将结果作为有效的密文提交给验证甲骨文。

这是否排除了，因为SIV只在CTR模式下定义，因此排除了此类加密方案？

Answer 1

SIV被认为是威慑的认证加密，因为：

• 它是确定性的；给定密钥，明文映射到特定的密文；不涉及随机性。
• 它是经过身份验证的加密；它提供了隐私(也就是说，拥有一组密文但没有密钥的人无法获取有关明文的信息(除了长度，以及它们是否不同)和完整性(即具有一组密文但没有密钥的人)无法(高概率)生成不会产生错误的新密文。

转译，这不是一种加密和MAC方案吗？

不是很精确；使用SIV，MAC修改了加密的方式(也就是说，它提供了IV)。然而，这并不是重点。您提供的站点上的问题是，您可以为单个明文设计一个具有多个密文的安全加密系统，其中您可以将一个密文修改为另一个；最简单的是在加密文本中包含解密者忽略的一点。但是，正如您所建议的，CTR模式没有此属性；对密文的任何更改都会修改解密的明文。