Clearly, several popular padding sc

Rõ ràng, một số chương trình phổ biến padding, được sử dụng ngày hôm nay để biến đổi các thuật toán mật mã khối vào chương trình mã hóa biến đầu vào chiều dài, có thể giới thiệu một lỗ hổng bảo mật quan trọng. Tính đúng đắn của định dạng văn bản thuần thực sự là một chút lõi cứng mà dễ dàng rò rỉ từ giao thức truyền thông. Một trong những thực sự có thể có một số tiêu chuẩn không an toàn mà sử dụng nguyên thủy mật mã không gián đoạn. Điều này đã nổi tiếng trên thế giới mật mã khóa công cộng. Kết quả của Vaudenay đã chứng minh rằng tình hình của mã hóa đối xứng là hầu như cùng một [144]. Paterson và Yau [151] sử dụng oracle padding tấn công phương pháp tương tự như Vaudenay để phân tích các phương pháp đệm ISO CBC-chế độ mã hóa tiêu chuẩn. Gần đây, Yau et al. FSE 2005 [152] Tổng quát padding oracle tấn công thuật toán mật mã khối bằng cách sử dụng chế độ CBC. Họ coi là bảo mật của CBC-chế độ mã hóa chống lại đệm oracle cuộc tấn công trong bí mật, ngẫu nhiên thiết lập IV. Lỗi tin nhắn dựa bên kênh các cuộc tấn công là không chỉ điển hình của hệ thống đối xứng nhưng hệ thống chìa khóa công cộng là tốt. Cho những kẻ tấn công có quyền truy cập một lời sấm trở lại một chút nói cho dù ciphertext tương ứng dữ liệu được mã hóa theo RSA chuẩn PKCS #1 (v1.5). Ngày kết thúc nhận, nhận phân tích khối từ trái sang phải để xem nếu nó là PKCS #1 phù hợp. Sử dụng một lời sấm rằng cho dù một ciphertext là PKCS #1 phù hợp với, ai có thể phá vỡ chương trình mã hóa RSA này sử dụng khoảng 1 triệu truy vấn [142,143]. Ví dụ nổi bật và thuyết phục nhất của kênh bên tấn công khai thác các thông báo lỗi có thể là cuộc tấn công của Bleichenbacher [142] trên sơ đồ mã hóa RSA như quy định tại v1.5 PKCS #1 tiêu chuẩn. Phiên bản này của mật mã RSA, xác định phương pháp định dạng thư văn bản thuần trước khi áp dụng các chức năng RSA, được triển khai rộng rãi trong thực tế bao gồm các giao thức SSL cho truyền thông web an toàn. Cho 1024-bit RSA moduli, cuộc tấn công của Bleichenbacher cho phép một kẻ thù để có được giải mã của một mục tiêu ciphertext c bằng cách gửi khoảng một triệu carefullychosen ciphertexts liên quan đến c cho các nạn nhân và học tập cho dù các ciphertexts bị từ chối hay không. Cuộc tấn công cần phải có một bản vá để triển khai SSL nhiều. Chương trình mã hóa RSA-OAEP đã được đề xuất bởi Bellare và Rogaway [145] và chứng minh an toàn trong mô hình ngẫu nhiên oracle Shoup [146] và Fujisaki et al. [147]. Nó đã được bao gồm trong nhiều tiêu chuẩn bao gồm các Cập Nhật v2.2 PKCS # 1. Manger [143] trình bày của ông tấn công RSA-OAEP vào năm 2001. Sau khi công bố kết quả của Bleichenbacher và Manger [142,143], nó rộng rãi tin là quan trọng để bao gồm một kiểm tra tính toàn vẹn mạnh vào mật mã RSA. Giai đoạn giữa giải mã và xác minh tính toàn vẹn là quan trọng như bất kỳ rò rỉ thông tin có thể trình bày một nguy cơ bảo mật. Phiên bản 2 của PKCS #1 giới thiệu một thuật toán mới RSA-OAEP sử dụng tối ưu xứng Encryption đệm (OAEP) để chống lại các cuộc tấn công trước đó. Klíma et al. [148] giới thiệu một cuộc tấn công kênh phụ mới trên một văn bản thuần được mã hóa bởi EME-OAEP PKCS #1 v.2.1. Những gì họ đã tấn công là một phần của văn bản thuần mà shielded bằng phương pháp OAEP. Họ cũng cho thấy rằng Bleichenbacher và của Manger tấn công RSA mã hóa đề án PKCS #1 v.1.5 và EME-OAEP PKCS #1 v.2.1 có thể được chuyển đổi sang một cuộc tấn công trên chương trình chữ ký của RSA với bất kỳ thư nào mã hóa (không chỉ PKCS). Một ý tưởng chung của lỗi dựa trên các cuộc tấn công vào các đề án RSA-KEM cũng được trình bày. Các cuộc tấn công sẽ làm nổi bật một thực tế rằng các đề án RSA-KEM không phải là một giải pháp hoàn toàn phổ quát đến các vấn đề RSAES OAEP thực hiện và rằng ngay cả ở đây cách thực hiện là đáng kể.

Rõ ràng, một số đề án đệm phổ biến, được sử dụng ngày nay để chuyển đổi thuật toán mã hóa khối vào chương trình mã hóa biến đầu vào chiều dài, có thể giới thiệu một lỗ hổng bảo mật quan trọng. Tính đúng đắn của các định dạng bản rõ thực sự là một chút khó khăn cốt lõi mà dễ dàng bị rò rỉ ra từ các giao thức truyền thông. Một thực sự có thể có một số tiêu chuẩn an toàn mà sử dụng nguyên thủy mật mã không gián đoạn. Điều này đã nổi tiếng trong công chúng thế giới mật mã khóa. kết quả Vaudenay của đã chứng minh rằng tình hình của mật mã đối xứng là gần như giống nhau [144]. Paterson và Yau [151] sử dụng oracle đệm phương pháp tương tự để Vaudenay của tấn công để phân tích các phương pháp đệm của chuẩn mã hóa ISO CBC-mode. Gần đây hơn, Yau et al. tại FSE 2005 [152] khái quát các cuộc tấn công oracle đệm chống lại mật mã khối sử dụng chế độ CBC. Họ coi sự an toàn của mã hóa CBC-chế độ chống lại các cuộc tấn công đệm oracle trong môi IV bí mật, ngẫu nhiên. Thông báo lỗi kênh bên dựa tấn công không phải chỉ điển hình của hệ thống đối xứng nhưng hệ thống khóa công khai là tốt. Giả sử kẻ tấn công có quyền truy cập vào một oracle mà trả về một chút nói cho dù các bản mã tương ứng với dữ liệu được mã hóa theo RSA chuẩn PKCS # 1 (v1.5). Ngày kết thúc nhận, nhận phân tích khối từ trái sang phải để xem nếu nó là PKCS # 1 tuân thủ. Sử dụng một oracle mà nói cho dù một bản mã là PKCS # 1 Tuân, một người có thể phá vỡ cơ chế mã hóa RSA này sử dụng khoảng 1 triệu truy vấn [142.143]. Ví dụ nổi bật và thuyết phục nhất của các cuộc tấn công bên kênh khai thác các thông báo lỗi có thể Bleichenbacher của cuộc tấn công [142] trên lược đồ mã hóa RSA như quy định trong tiêu chuẩn v1.5 PKCS # 1. Phiên bản này của mã hóa RSA, trong đó xác định một phương pháp để định dạng thông điệp rõ trước khi áp dụng hàm RSA, được triển khai rộng rãi trong thực tế bao gồm trong giao thức SSL để truyền thông web an toàn. Đối với 1024-bit RSA môđun, tấn công Bleichenbacher của phép một kẻ thù để có được những giải mã của một mục tiêu bản mã c bằng cách gửi về một triệu ciphertext carefullychosen liên quan đến c cho nạn nhân và học liệu ciphertext đã bị từ chối hay không. Các cuộc tấn công đòi một bản vá để nhiều hiện thực SSL. Các chương trình mã hóa RSA-OAEP được đề xuất bởi Bellare và Rogaway [145] và chứng minh an toàn trong mô hình oracle ngẫu nhiên bởi Shoup [146] và Fujisaki et al. [147]. Nó đã được bao gồm trong nhiều tiêu chuẩn bao gồm các bản cập nhật v2.2 của PKCS # 1. Manger [143] trình bày cuộc tấn công vào RSA-OAEP vào năm 2001. Sau khi công bố kết quả của Bleichenbacher và Manger [142.143], nó được nhiều người tin là quan trọng để bao gồm một kiểm tra tính toàn vẹn mạnh vào mã hóa RSA. Giai đoạn giữa giải mã và xác minh tính toàn vẹn là rất quan trọng như bất kỳ rò rỉ thông tin có thể trình bày một nguy cơ bảo mật. Phiên bản 2 của PKCS # 1 giới thiệu một thuật toán mới RSA-OAEP sử dụng tối ưu Asymmetric Encryption Padding (OAEP) để chống lại các cuộc tấn công trước đó. Klima et al. [148] giới thiệu một cuộc tấn công kênh bên mới trên bản rõ được mã hóa bởi EME-OAEP PKCS # 1 v.2.1. Những gì họ tấn công là một phần của bản rõ được bảo vệ bởi các phương pháp OAEP. Họ cũng cho rằng cuộc tấn công Bleichenbacher và Manger của trên v.1.5 chương trình mã hóa RSA PKCS # 1 và EME-OAEP PKCS # 1 v.2.1 có thể được chuyển đổi thành một cuộc tấn công vào các chương trình ký RSA với bất kỳ mã hóa tin nhắn (không chỉ PKCS). Một ý tưởng chung của các cuộc tấn công lỗi dựa trên sơ đồ RSA-KEM cũng được trình bày. Những cuộc tấn công sẽ làm nổi bật thực tế rằng, kế hoạch RSA-KEM không phải là một giải pháp hoàn toàn phổ cập tới các vấn đề về thực hiện RSAES-OAEP và rằng thậm chí ở đây là cách thực hiện là rất quan trọng.