是否曾经建议使用 ECB 密码模式？

Question

从这篇关于密码模式的维基百科文章以及我听说过的有关 ECB 的其他内容来看，这是一个这是大忌，并且可能会泄露有关您的加密数据的信息。然而，网上仍然有很多利用 ECB 的示例：

• 其中之一.NET 中的 Triple DES 示例的 Google 顶级搜索结果
• 答案之一这个问题

使用欧洲央行是否可以接受或有利？

如果数据非常小（一个块）并且您使用两者盐和IV，可以吗？如果是的话，停止使用的门槛在哪里？

Answer 1

这个问题最好在 crypto 上问，但无论如何我都会回答。

ECB 分组密码操作模式最适合用于随机数据，其中任何纯文本块之间都没有链接。实际上，只有随机密钥（没有任何附加/元数据）和随机挑战（在挑战响应协议中）符合该要求。数据应该是块大小的精确倍数，否则冲突仍然可能泄漏信息。使用特定的包装模式或提供语法 IV 的模式（SIV 模式）可以更好地保护密钥。

单块ECB与单块CBC相同，具有固定的IV。只要您不将密钥重复用于其他数据或消息，这对于消息来说就没有问题。使用密钥仅加密一个消息块是否有用当然是值得怀疑的。

大多数时候，只需使用 CBC 或更好的 GCM 验证加密即可。 ECB 通常存在，因为它可以在遗留应用程序中使用，非常容易提供，并且可以用作更安全模式或 MAC 构造的构建块。

Answer 2

如果数据非常小（一个块）并且您同时使用盐和 IV，可以吗？

是的

如果是这样，停止使用的门槛在哪里？

两个街区。使用 ECB 没有任何实际原因，它存在的唯一原因是它是如何使用分组密码的简单示例。