外行人对填充甲骨文攻击的描述

Question

据我所知，MAC然后加密的方法容易受到几种攻击，包括所谓的填充甲骨文攻击。我了解到，在这次攻击中，攻击者修改填充并侦听所造成的错误，然后可以用来推断纯文本。有人能用外行人的话解释一下这次袭击吗？

我希望在答复中提到以下几点：

1. 攻击者如何侦听这些错误？这是否意味着假定攻击者在主机上安装了一些恶意软件进行解密？
2. 攻击是基于攻击者捕获的密码文本，还是基于攻击者选择的密码文本？

Answer 1

这里引用的答案如下：

在加密消息被修改并发送到目标的情况下，填充Oracle攻击主要是一个问题。这些攻击试图度量解密和验证消息时的差异。这些步骤是：

1. 解密消息
2. 检查填充>错误(如果错误)
3. 如果检测到错误或格式损坏，则检查或处理数据>错误

填充甲骨文攻击试图测量步骤(2)和(3)之间的时间差异，或者使用不同的错误消息。

因此，启用攻击的信息泄漏以定时差异的形式出现，或者出现在服务器作为对恶意查询的响应返回的错误消息中。

Answer 2

基本上，填充oracle攻击的工作方式是更改特定的字节，从而使填充与预期的填充以及填充长度相匹配。一旦找到一个正确生成(而不是具体地)填充的字节，那么XOR‘将该字节与该位置的字节相关的已知信息用于查找明文。

接收方只需指示解除填充是否成功。它可以通过返回不同的错误消息或在填充失败时更早地作出响应来做到这一点。通过使用统计数据，甚至可以在相对缓慢或随机的连接上发现时间差异(尽管这需要对每个字节进行更多的测试)。

恶意软件可以用来查找特定的CPU时间，但由于上述原因，这通常不是必需的。攻击者确实需要能够将选定的密文提交给接收方，否则攻击失败。

通过验证IV和密文上的身份验证标记/ MAC (安全)，可以很容易地阻止攻击。

一个更完整的描述填充甲骨文攻击(youtube视频)可以找到这里。