如何在AES CBC上执行填充甲骨文攻击？

Question

假设我是袭击者。我想通过在AES CBC模式下执行填充oracle攻击来打破明文。我知道以下信息：

The ciphertext c
The length (bytes) of plaintext n
The AES padding uses PKCS#7
The 128-bit (16-byte) IV

如何打破明文p？

Answer 1

为了解释这一点，我将对攻击者和消息发送者使用术语。让我们假设Mallory是试图执行这种填充oracle攻击的人，Bob是被攻击的人。攻击的工作方式是使用分而治之的方法逐字节查找关键字节。Mallory不断地向Bob发送伪造消息，并依赖Bob根据其消息的正确性发送给她的错误消息。当MAC上有不正确的填充或不正确的验证时，Bob会告诉Mallory。然后，Mallory逐字节地使用对Bob来说似乎是正确的填充，但实际上是利用了PKCS#7填充标准。然后，她对每个字节尝试多达256个组合，直到一个给她正确的填充和MAC，然后她存储。Mallory继续逐字节执行此操作，直到她计算出AES密钥的每个字节为止。这种攻击利用Bob发送的额外错误消息，即使底层块密码本身是安全的，这也是她成功地进行攻击的方式。