概述
我试图想出一种方法,让服务器和客户端能够为每个请求生成一个唯一的 IV,这对每个客户端都是不同的,但又是确定性的。我所说的确定性的意思是,服务器可以计算未来任何请求的 IV,只知道起始顺序。
我需要此功能的原因是我使用 AES 加密来实现一次性密码 (OTP) 方案。当客户端登录到服务器时,它会获得一个种子。第一个 OTP 是通过加密这个种子生成的。对于每个后续请求,客户端使用服务器和客户端之间的共享 AES 密钥加密最后一个 OTP。因此,即使攻击者在没有共享密钥的情况下嗅探了最后一个 OTP,他们也无法获得下一个 OTP。OTP 在 CBC 模式下使用 AES 进行加密。如果服务器和客户端不同步,就会出现问题。我计划处理这个问题的方式是在服务器端生成一些 OTP 到未来,看看它们中的任何一个是否与客户端匹配。然而,
在进入我提出的解决方案之前,让我表达我对 AES、IV、CBC 和 ECB 的理解。这样,如果我对自己的基本原理有任何误解,都可以指出并纠正。
理论
欧洲央行
我知道欧洲央行将为使用相同密钥加密的相同明文块产生相同的输出。因此,它不应该用于多个数据块,因为可以通过对数据进行统计分析来辨别明文信息。基于此,如果您可以保证您的数据始终小于 16 字节(128 位),则似乎可以消除统计攻击的问题。此外,如果您还可以保证您永远不会使用相同的密钥加密相同的明文,那么您将永远不会获得相同的输出。因此,在我看来,假设您的系统将始终满足这些非常严格的标准,使用 ECB 是安全的。
CBC和IV
我知道 CBC 旨在消除这两个问题。通过链接块,它消除了 ECB 的多块统计攻击。通过从不为相同的 AES 密钥使用相同的 IV,您消除了使用相同的密钥将相同的明文加密到相同的输出的问题。
键唯一性
如果每个客户端都获得一个生成的 AES 密钥,那么虽然多个用户拥有相同密钥的可能性很小,但机会非常小。因此可以安全地假设没有两个客户端将使用相同的 AES 密钥。
建议的解决方案
我提出的解决方案是给每个客户一个唯一的 AES 密钥。当生成密钥时,计数器将被初始化为一个随机数。每次必须加密某些东西时,计数器都会加一。这个数字将被填充到一个块中,然后在 ECB 模式下使用 AES 加密。这个输出将是我使用 CBC 加密数据的 IV。
如果服务器与客户端的计数器不同步,因为它具有相同的密钥并且 ECB 不需要 IV,它可以继续生成 IV,直到找到一个允许解密数据的 IV。
我的想法是这个 IV 可以免受统计攻击,因为它等于 AES 的块大小。此外,每个用户每次都会有所不同,因为每个用户都将拥有一个唯一的密钥,并且计数器将始终递增。显然,必须安全地传输 AES 密钥(现在客户端正在使用服务器的公共 RSA 密钥加密生成的密钥)。
我的问题
我对提议的解决方案中描述的技术的基本理解是否正确?我提出的解决方案有什么明显的问题吗?使用相同的密钥以建议的方式生成 IV 以及使用 CBC 加密是否存在任何安全漏洞?
我意识到最后一个问题可能很难/不可能回答,因为密码学真的很难,但任何见解都会受到赞赏。
提前致谢。