加密能保证完整性吗？

Question

为了构建一个安全的系统，我们可以在开始安全编程之前假设加密保证完整性是真实的吗？

• 无论是对称密钥还是公钥 加密，是我的问题 证明良好？
• 如果没有，有哪些 漏洞，你能给出一个 例子？

Answer 1

不会。如果您考虑一下一次性便笺簿（一个简单的（理论上）完全安全的系统。

如果更改输出的任何位，明文的一部分也会发生变化，而接收者无法检测到这一点。

这是一个显而易见的例子，但同样的结论适用于大多数加密系统。它们仅提供机密性，而不提供完整性。

因此，您可能需要添加数字签名。有趣的是，当使用公钥加密技术时，先签名后加密 (SE) 或先加密后签名 (ES) 是不够的。这两者都容易受到重放攻击。您必须进行签名-加密-签名或加密-签名-加密才能获得总体安全的解决方案。这篇论文详细解释了原因。

如果您使用 SE，收件人可以解密邮件，然后将其重新加密发送给其他收件人。这会欺骗新收件人关于发件人的预期收件人的信息。

如果您使用 ES，窃听者可以删除签名并添加自己的签名。因此，即使他们无法阅读该消息，他们也可以冒充原始发件人，将其归功于此。

Answer 2

简而言之，答案是否定的。消息完整性和保密性是不同的，并且需要不同的工具。

让我们考虑一个简单的抛硬币，在这种情况下，我们对结果进行投注。结果是一个简单的布尔值，我使用像 RC4 这样的流密码对其进行加密，它产生 1 个加密位，然后通过电子邮件将其发送给您。您没有钥匙，我请您通过电子邮件将答案回复给我。

在这种情况下可能会发生一些攻击。

1）攻击者可以修改传输中的位，如果它是 0，则有 50% 的机会它会变成 1，反之亦然。这是因为 RC4 生成一个 prng 流，该流与纯文本进行异或运算生成密文，类似于一次性密码本。

2）另一种可能性是我可以为您提供不同的密钥以确保您的答案是错误的。这很容易暴力破解，我只是不断尝试按键，直到得到正确的位翻转。

解决方案是使用分组密码CMAC 模式。 CMAC 是类似于 hmac 的消息认证码，但它使用分组密码而不是消息摘要函数。密钥 (K) 与您用于加密消息的密钥相同。这会向密文添加 n+1 个块。在我的场景中，这可以防止攻击 1 和 2。攻击者无法翻转简单的位，因为纯文本已填充，即使消息仅占用 1 位，我也必须使用分组密码传输至少 1 个块。附加的身份验证块阻止我链接密钥，并且它还为任何试图修改传输中的密文的人提供完整性（尽管这在实践中很难做到，但附加的安全层很有用）。

由于这些原因，WPA2 使用 AES-CMAC。

Answer 3

如果您特别关心数据完整性，则应使用加密哈希函数，结合加密算法。

但这确实取决于使用正确的工具来完成工作。某些加密算法可能会提供某种程度的内置校验和验证，而其他算法可能不会。