错误检测/纠错码-然后加密

Question

我刚刚研究了纠错方案和加密。

使用EDC/ECC的第一条规则是先加密后计算，主要动机是"EDC/ECC然后加密导致GSM协议上的KPA攻击仅为密文攻击，因为它给明文增加了大量的冗余“。幻灯片#50(来源)

然而，我找不到任何例子或解释，因此，我希望在这方面的任何帮助。

Answer 1

在加密后而不是之前添加错误检测或/及更正代码的有效通知有两个不相关的理由：

1. 如果密码是弱的，则向明文添加冗余(加密之前的EDC/ECC )可能允许攻击。特别是，可以通过检查暂解密的明文中的冗余是否有效来测试密钥是否有效(这一改进用于破解问题的引用中的GSM密码)。然而，这种考虑并不是一个良好的现代密码关注，因为这些应该是抵抗选择-明文攻击。
2. EDC/ECC通常被优化以检测/纠正影响发送消息的少数位的错误。如果在EDC/ECC之后应用加密，在接收端在EDC/ECC之前相应地进行解密，则发送消息上的错误往往会通过解密而放大(具体取决于下面的密码系统)。当发生这种情况时，所需的EDC/ECC属性，如检测/纠正发送消息中的任何最多N位错误的保险，往往会丢失或大大减少。
   • 对于流密码、CTR模式和OFB模式，只有设置参数或IV上的错误才会被放大，但是任何这样的错误都会破坏整个解密消息；
   • 在欧洲央行模式中，一个1位错误被放大到潜在的一个块；
   • 在CBC模式 (resp.循环流化床模式)，一个1位错误被放大到潜在的一个块，在下一个块中放大1位(resp ).(前)区块；
   • 其他模式存在，从而将错误放大到错误发生后的消息，或整个消息；
   • 使用认证模式，几乎任何错误都将防止解密。

Answer 2

首先，如果使用ECC/Encryption，则不能使用传播传输错误的加密方案(如块密码)。

其次，冗余数据被加密，因此以前存在的一些依赖项被传递给密文(这就是问题所在)。

一些工作，如http://www.eng.tau.ac.il/~yash/infosec-seminar/2007/CS-2006-07.pdf创建一个密文只攻击GSM使用的事实是，该序列是ECC/加密。

我希望这能帮上忙。