防止“padding oracle”如果数据是流式传输或对于 HMAC 来说太大，会发生攻击吗？

Question

我知道针对 padding oracle 攻击的最佳解决方案是将 HMAC 包装并附加到完整的加密消息中。但还有什么其他解决方案呢？如果我的数据太大而需要流式传输怎么办？我可以在最后检查 HMAC，但我无法承担两次加载整个文件并首先检查 HMAC，然后将其流式传输并解密给用户的费用？

有不同的方法吗？

如果我使用 AES_CBC(zlib(data))，攻击者是否也可以进行填充预言机攻击？如果压缩后的数据最终出现乱码，zlib 会报错。攻击者是否也可以利用 zlib 的错误来获取一点信息？

Answer 1

针对 padding oracle 攻击的建议修复方法是 Encrypt-Then-MAC。这意味着您可以将密文分解为大小合适的块（例如 4096 字节）和 MAC。