可交换密码识别正确的解密？

Question

理论上，假设我正在使用交换对称密码来创建我自己的加密文件。我知道加密的 rar/zip 可以实现我的想法，但我希望了解幕后细节。如果我只是加密没有元数据的文件，那么我如何知道解密时它是否已正确解密？

我想到的一种方法是将使用的密钥放在文件的前面，然后将密钥与文件一起加密。当我解密时，我可以将解密密钥与文件的开头进行比较，并知道它是否有效，但我对将密钥实际放置在文件中感到不舒服。

另一个想法是将数据的静态部分放在文件的开头，但是当尝试暴力破解文件时，如果有人知道密钥（或实际密钥）中的冲突，则可以将其用作指示符。数据的静态部分，我不喜欢通过模糊来实现安全性。

我的最后一个想法是包含初始未加密文件的哈希值，但对于可能会减慢进程的大文件。使用这种方法，我必须对文件进行哈希和加密，这似乎效率很低。我希望有更好的技术。

验证使用可交换对称密码加密的文件是否已成功解密（无需与原始文件进行比较）的最佳方法是什么？

Answer 1

使用定义明确但随机格式的标头。一种标准方法是使用随机数据和加密哈希（伪代码如下）：

byte[] header = new byte[64];
header[0..31] = RandomBytes(32); // 32 cryptographically random bytes
header[32..63] = SHA256(header[0..31]); //Hash of your random data

这给出了 64 字节的高熵数据。无法使用 crib 来暴力破解加密。要验证您是否拥有正确的密钥，只需解密标头并检查以确保第二个 32 字节是第一个字节的有效 SHA256 哈希值。

Answer 2

我仍然建议存储哈希值或校验和。如果将其放在加密数据的末尾，则可以在加密期间读取文件时生成校验和，因此不需要任何额外的文件传递。 （校验和会产生 CPU 开销，但这是最小的。为此目的，您不需要使用像 SHA 这样昂贵的东西；CRC32 就可以了。）

校验和将有助于检测传输中的错误。如果加密数据中的单个位被更改，则超过该点的解密数据可能会是垃圾。魔术头不会检测到这一点，但校验和会检测到。

Answer 3

有像 CCM 这样的密码模式可以提供完整性。我不确定它们如何满足您对交换性的要求。