¿Es seguro derivar una IV parcialmente de los datos secretos si se utiliza antes de usar?

2

Para ayudar a garantizar la exclusividad de los IV utilizados en un cifrado CFB AES-256, el software que conozco recopila bits de varias fuentes , incluido el texto sin cifrar , y lo ejecuta mediante un hash SHA-256. Los 128 bits resultantes se utilizan como un IV. Supongo que, debido a que se usa CFB, esto solo ocurre para el primer bloque.

El texto simple cambia con el tiempo y se cifra muchas veces durante su vida útil. Un atacante puede tener acceso a varios textos cifrados de texto que difieren solo en 1 bit en 4096.

¿Es probable que esto afecte adversamente la fuerza criptográfica de los textos cifrados?

    
pregunta David Bullock 10.06.2013 - 07:36
fuente

1 respuesta

4

Si su IV se deriva del texto simple, de modo que cifrar el mismo texto simple dos veces conduce al mismo IV, se pierde la seguridad semántica: alguien puede decir si dos colores de la placa son iguales comparando los textos cifrados.

Aparte de eso, para CFB, está bien usar un IV predecible; lo que es crítico es que la IV no se reutiliza (o al menos no se reutiliza para mensajes distintos, con la advertencia anterior).

Por lo tanto, un hash criptográfico de todo el texto sin formato, o del texto sin formato más otros datos, es un IV adecuado siempre que no le importe exponer la igualdad en el texto sin formato. Tenga en cuenta que si incluye datos que no sean texto sin formato (por ejemplo, IV = hash(plaintext || moredata) ), esto también expone la igualdad de moredata si tiene el mismo texto sin formato varias veces con moredata diferente.

Fuente: Está usando una ¿Es predecible IV con modo CFB seguro o no? Si se trata de volver a usar un IV, consulte ¿Compensará el texto sin formato variable un vector de inicialización fijo?

    
respondido por el Gilles 10.06.2013 - 11:22
fuente

Lea otras preguntas en las etiquetas