服务端应用安全——加密算法与随机数_加密 随机数

0.基础知识

加密算法分类：

• 分组加密
  将明文消息编码表示后的数字（简称明文数字）序列，划分成长度为n的组（可看成长度为n的矢量），每组分别在密钥的控制下变换成等长的输出数字（简称密文数字）序列
  代表算法：DES、3-DES、Blowfish、IDEA、AES等

• 流加密
  明文数据每次与密钥数据流顺次对应加密，得到密文数据流
  代表算法：RC4、ORYX、SEAL

攻击者攻击方式：

• 唯密文攻击
  攻击者只有使用同一加密算法和加密密钥加密的密文
• 选择明文攻击
  攻击者有部分明文和密文，还能选择用于加密的明文。
• 选择密文攻击
  攻击者选择不同的密文解密

1.流密码攻击：

广泛采用的authcode()流密码加密函数存在以下安全问题：

1.1 Reused Key Attack

使用同一密钥进行多次加密，此时攻击者不需要知道密钥，即可还原出明文。

原理：明文A和明文B，都利用密钥C进行异或加密：
E(A)=A XOR C
E(B)=B XOR C

E(A) XOR E(B)=A XOR C XOR B XOR C=A XOR B XOR (C XOR C)=A XOR B

而E(A)和E(B)很容易获得，如果知道A，即可得到B，