¿Es peligroso el uso de AES-CBC?

1

Imagina que un atacante sabe:

  • Un texto cifrado correcto.
  • El algoritmo: AES-256-CBC.
  • La implementación: openssl CLI.
  • El IV.
  • El HMAC-SHA-256 del texto cifrado.

Pero no conoce la clave (supongamos que la clave se eligió de forma sensata y no se deriva, sino a 256 bits completos). Además, este es el único texto cifrado asociado con esta clave.

No hay servidor. ¿Es esto suficiente para ser vulnerable al ataque de oráculo de relleno? Significado: ¿puede un atacante obtener el texto en claro?

    
pregunta Randolph 07.04.2018 - 18:51
fuente

1 respuesta

4

Un "oráculo de relleno" es una entidad (generalmente algún tipo de servidor) que descifra un mensaje arbitrario, verifica si el relleno es correcto y devuelve esta información al remitente (arbitrario) del mensaje. Si no hay una entidad de este tipo en tu esquema, no puedes tener un ataque de oráculo de relleno , ya que no hay un oráculo de relleno para usar para el ataque.

Otros puntos relevantes:

  • No especificas el esquema de relleno que estás usando. En la práctica , el comando openssl usará PKCS # 5, que es un esquema de relleno que se puede usar para detectar una manipulación trivial del texto cifrado (aunque no es confiable en esto), y por lo tanto es aplicable para un ataque oráculo de relleno, pero otros esquemas de relleno pueden no tener esta propiedad, en cuyo caso un oráculo de relleno ni siquiera podría existir.
  • Usted menciona un HMAC, pero no cómo se usa. Usted dice que es el HMAC del texto cifrado, lo que significa que la verificación también debe realizarse contra el texto cifrado. En la práctica, esto casi siempre significa que la verificación se realiza antes del descifrado. Dado que el HMAC no podrá verificar, es de esperar que el procesamiento del texto cifrado se detenga antes de descifrarlo (lo que viene antes de que pueda verificar el relleno). En tal escenario, incluso si tuviera un oráculo de relleno , un mensaje modificado nunca lo alcanzaría, porque fallaría en la verificación HMAC. (Tenga en cuenta que los HMACs del texto simple, que por supuesto no pueden verificarse hasta después del descifrado, no tienen esta propiedad, es mucho más probable que sean vulnerables a un ataque de oráculo de relleno).
respondido por el CBHacking 07.04.2018 - 21:33
fuente

Lea otras preguntas en las etiquetas