对于由给定(对称或非对称)加密算法在明文/密钥对上工作生成的给定密文,找到产生相同密文的不同明文/密钥对有多难?
两个明文/密钥对导致相同的密文有多难?
导致这个问题的原因是另一个可能与上述问题无关的问题:
如果你有一个密文和一个密钥,并且想使用一些解密程序来解密它,这个程序通常会告诉你密钥是否正确。但是它是怎么知道的呢?它是否在结果明文中寻找某种模式,表明解密成功?在某些不同的明文中是否存在另一个关键结果,它包含模式并且也被例程报告为“有效”?
受答案和评论启发的后续问题:
如果允许的明文/密钥对在以下(或两种)方式中受到限制:
1)明文以密钥的KCV(Key check value)开头。
2) 明文以某个明文/密钥组合的哈希值开头
这会使碰撞发现不可行吗?是否清楚,这样的明文/密钥存在=
按照您的表述方式,您的问题的答案是没有任何碰撞阻力。
对称情况 假设您得到一个纯文本 PT,其长度是底层分组密码的块长度的倍数。您生成一个随机 IV 并使用密钥 K、CBC 模式和无填充加密纯文本。
生成明文 PT' 和生成相同密文 CT 的密钥 K' 很容易。只需随机选择 K',使用密钥 K' 和 IV 解密 CT,就可以得到碰撞的 PT'。
如果您还使用填充,这会变得有点复杂,但它仍然是可能的。如果您使用 PKCS#5/7 填充,只需继续生成密钥,直到找到一个使您的解密文本 PT' 的最后一个八位字节为 0x01 的密钥。这平均需要 128 次尝试。
要使这种冲突查找不可行,您必须使用消息验证码 (MAC)。
非对称情况 类似的情况也适用于 RSA 公钥加密。如果您不使用填充(显然不推荐,甚至可能不被大多数加密库支持),并使用公钥 (N,E) 将 PT 加密为 CT,只需生成第二个密钥对 (N',E ',D') 使得 N' > N,然后 PT' = CT^D' (mod N) 将加密到 (N',E') 下的 CT。
如果您使用 PKCS#1 v1.5 填充进行 RSA 加密,则 RSA 私钥操作后最重要的八位字节必须是 0x02,它的概率约为 256 分之一。此外,第一个 0x00 值的八位字节必须不早于索引 9 发生,这将发生的概率很高(大约 0,97)。因此,平均而言,您必须平均生成大约 264 个相同位大小的随机 RSA 密钥对,然后才能找到对于某些纯文本可能产生相同密文的密钥对。
如果您使用的是 RSA-OAEP 填充,那么私钥解密肯定会失败,除非密文是使用相应的公钥生成的。
如果您要加密一些明文(长度为n),则有 2 n 个唯一的输入字符串,每个字符串都必须产生唯一的密文(否则它将不可逆)。因此,所有可能的长度为n的字符串都是有效的密文。但这适用于所有键。因此,对于任何给定的密文,有2k种获取它的方法,每种方法都有一个长度为k的不同密钥。
因此,回答你的第一个问题:很容易!只需选择一个任意密钥,然后“解密”密文。您将获得与密钥匹配的明文。
我不确定您所说的“例程通常会告诉您密钥是否正确”是什么意思。