5.1.7 Error Message Attack In many

5.1.7 lỗi thông điệp tấn công Trong nhiều tiêu chuẩn, ví dụ như SSL/TLS, IPSEC, WTLS, thư đầu tiên trước khi định dạng, sau đó được mã hóa trong CBC chế độ với một thuật toán mật mã khối. Giải mã cần kiểm tra xem các định dạng hợp lệ. Tính hợp lệ của các định dạng một cách dễ dàng bị rò rỉ từ giao thức giao tiếp trong một cuộc tấn công được lựa chọn ciphertext kể từ khi nhận thường sẽ gửi một sự thừa nhận hoặc thông báo lỗi. Điều này có thể trở thành một kênh bên hữu ích cho phá mã và tấn công khai thác kênh bên này thường được gọi là lỗi thông điệp tấn công. Có quyền truy cập đến một giải mã oracle có lẽ không thực tế trong thực tế đôi khi. Một kẻ thù, Tuy nhiên, có thể khai thác bên kênh trở lại đủ thông tin về ciphertext để được giải mã một cách dễ dàng. Bên kênh thường xuyên phát sinh trong thực hành bằng cách đưa ra khả năng cho một kẻ thù để tạo ra các thay đổi dự đoán cho văn thông qua sửa đổi của ciphertext. Chúng tôi sẽ xem xét một số trong những cuộc tấn công vào cả hai chương trình mã hóa đối xứng và không đối xứng. Cuộc tấn công này hoạt động như sau: mô hình hành vi này như một oracle (đệm) trả về hợp lệ nếu rõ là chính xác độn, không hợp lệ khác. Vaudenay [144] mô tả lỗi thư phân tích các cuộc tấn công vào mã hóa khóa đối xứng khi thư lần đầu tiên được định dạng bằng đệm và sau đó được mã hóa với một thuật toán mật mã khối trong chế độ CBC. Trong trường hợp CBC trong chương trình đối xứng, độ dài của tin nhắn phải là bội số của khối dài. Khi điều này không phải là trường hợp, đệm phải được sử dụng. Người nhận phải làm gì sau khi giải mã khi ông phát hiện ra rằng padding là không hợp lệ phụ thuộc vào các giao thức được sử dụng. Nếu một padding sau khi giải mã không hợp lệ, SSL/TLS [87] chỉ ra rằng các phiên họp được xé, ESP trong IPSec [89] chỉ bản ghi lỗi và WTLS [88] trả về một thông báo lỗi. Kẻ thù có thể xác định tình trạng lỗi padding, nó có thể sử dụng nó như là một kênh bên phải gắn kết một cuộc tấn công CCA (chọn mã tấn công)