在没有良好随机源的情况下生成初始化向量

发布于 2024-10-12 06:14:08 字数 558 浏览 5 评论 0原文

对于 Rockbox 的密码存储插件（用 C 编写），我需要生成初始化向量。

问题是我没有好的随机性来源。 Rockbox 提供的 random() 不是加密 RNG。而且我几乎没有任何可以访问的随机源（没有鼠标移动，......在运行 Rockbox 的 iPod 上）。

目前，密钥是通过 PBKDF2 从用户提供的密码和盐（这是一个常量前缀 + random() 中的一些数据）派生出来的。我认为伪随机数据对于 PBKDF2 10000 次迭代的盐来说应该足够好了。

但是，我从哪里获取初始化向量呢？如果我获取一些半随机数据（时间 + random()）和 SHA，例如 10000 次，可以吗？我应该使用 arc4random 和从 random() 获取的种子吗？

如果我实际上从不使用同一个密钥两次（每次存储的数据更改时都会重新计算盐），我是否还需要 IV？处理此类情况的最佳方法是什么？

编辑：只有一个用户（我，拥有 iPod），加密算法：AES-CBC 256 位。该文件仅存储各个网站的站点/帐户/密码列表。它很少被修改（每当我在网站上创建一个新帐户时），当发生这种情况时，会生成新的盐和新的 IV。

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

失而复得 2024-10-19 06:14:08

一般来说，对于 CBC，IV必须是随机且均匀的。 “不重复”还不够。更准确地说，CBC 的重点是避免同一个数据块被馈送到底层分组密码两次的情况。因此，条件是如果您使用相同的密钥加密两个消息，则两个 IV 的差异必须是均匀随机的。对于 AES 等 128 位分组密码，获得相同分组两次的概率足够低，可以忽略不计——只要 IV 是在整个 128 位值空间上以均匀概率随机选择的。 IV 选择中的任何结构（例如重复使用相同的 IV、使用计数器或低质量随机生成器）都会增加该概率，因为您正在加密本身具有很多结构的数据。

这有一个好的一面：如果您从不使用同一个密钥两次，那么您可以容忍固定的 IV。但这是一个强烈的“从不”。

“非重复 IV”对于 CBC 来说并不是一个足够好的属性。然而，有一些加密模式可以使用非重复IV。特别是，请查看 EAX 和 GCM。这里的技巧是这些模式在使用加密密钥的自定义 PRNG 中使用提供的 IV；这将非重复 IV（例如计数器或低质量的“随机值”）转换为从密码学角度来看看起来足够随机的东西。不要尝试构建自己的 PRNG！这些事情很微妙，没有确定的方法来测试结果的质量。