初始向量

在密码学的领域里，初始向量（英语：initialization vector，缩写为IV），或译初向量，又称初始变量（starting variable，缩写为SV）^[1]，是一个固定长度的输入值。一般的使用上会要求它是随机数或伪随机数（pseudorandom）。使用随机数产生的初始向量才能达到语义安全（消息验证码也可能用到初始向量），并让攻击者难以对原文一致且使用同一把密钥生成的密文进行破解。在区块加密中，使用了初始向量的加密模式被称为区块加密模式。

有些密码运算只要求初始向量不要重复，并只要求它用是内部求出的随机数值（这类随机数实际上不够乱）。在这类应用下，初始向量通常被称为nonce（临时使用的数值），是可控制的（stateful）而不是随机数。这种作法是因为初始向量不会被寄送到密文的接收方，而是收发两方透过事前约定的机制自行计算出对应的初始向量（不过，实现上还是经常会把nonce送过去以便检查消息的遗漏）。计数器模式中使用序列的方式来作为初始向量，它就是一种可控制之初始向量的加密模式。

初始向量的长度依密码运算的所需决定。在区块加密中，初始向量的长度通常就等于一个区块的大小。值得一提的是，对加密而言，一组难以预期并且与密钥等长的初始向量能够避免遭受TMD破译法（简单的说，是花时间（Time）观察被攻击者的密文，并将可能的密文预先算出来放在存储器（Memory）中与之比对，然后推导出被攻击者的明文或密钥资料（Data）；这种破译法比起用每一把密钥试误还来得快；不过只要密文的产生中伴随机的因子就可以避免此类攻击）^[2]^[3]^[4]^[5]。使用随机数作为初始向量时，还必须考量碰撞的问题以避免生日攻击法（简单来说，就是一群人中两个人生日相同的几率要高于50%只需要23个人，这意味着成功猜出这些人生日的次数可以被降的很低；同样的状况也发生在密码学中，会影响密文的强度）。对于传统、不支持初始向量的资料流加密法，实现上是将原密钥与初始向量先运算后，计算出新的密钥。然而有些实现已被认为不安全；比如有线等效加密（WEP）协议就遭受到关连式钥匙攻击（英语：related-IV attack）。

动机[编辑]

由电子密码书模式（ECB）下加密的结果并不安全，即使未经破解我们仍几乎可以看得出原图的轮廓。

区块加密在密码学的领域里是最基本的加密运算方式之一。然而它的限制是只能对一个预先定义、固定大小资料进行加密。比如在高级加密标准（AES）里，若使用长度为128位的密钥，加密的过程就是将整个明文切割成多个128位长度的子明文，然后依前后顺序用同一把密钥转换成对应的多个128位长度的子密文，这些子密文依产生的顺序连接起来便是完整的密文。这种作法其实就是把甲资料转换成固定的乙资料，这样的对应关系是绝对的，因此攻击者在收集足够的明文与密文的组合后可以轻易的比对并推导出明文或密钥。

为了要隐藏明文与密文的组合被攻击者收集，并且不重新建立密钥来混淆输入的明文，在1980年由美国国家标准与技术中心提出了四种区块加密模式。第一种称为电子密码书模式（ECB mode），描述了最基本的运作模式（前述较有疑虑的运算方式）。为了要避免ECB模式的问题，文中提出了密码块链接模式（CBC mode）。CBC模式的作法是对第一块明文投入随机的初始向量，然后将明文与向量运算的结果加密，加密的结果再作为下一块明文的向量。这种做法的最终目的是要达到语义上的安全，让攻击者无法从密文中获取能助其破译的相关线索，避免遭受选择明文攻击法。

取值[编辑]

初始向量的值依密码算法而不同。最基本的要求是“唯一性”，也就是说同一把密钥不重复使用同一个初始向量。这个特性无论在区块加密或流加密中都非常重要。

示例： 对明文P做流加密，转换成密文C。所使用的是流密钥K，它来自密钥与初始向量。我们可以得到等式：C = P xor K。假如攻击者得知密文C₁与C₂来自同一把密钥与初始向量。那么攻击者就能透过底下公式得到明文P₁与P₂：

C₁ xor C₂ = (P₁ xor K) xor (P₂ xor K) = P₁ xor P₂.

许多要求初始向量必须让攻击者无法预测。这种要求一般使用随机数或拟随机数来达到。在这种应用中，重复的初始向量是可以被忽略的，但是生日攻击的问题依然得列入考量，因为若向量可以被预测，会让攻击者找到撤销明文的线索。

示例： 比如A使用CBC模式加密消息，而有一位攻击者E能截看所有密文并指定特定的明文给A，让A进行加密（即，E有办法执行选择明文攻击）。接着，我们假设A用明文P_Alice与初始向量IV₁做出密文C_Alice。然后E设计了明文P_Eve，并能控制或得知初始向量IV₂的出现。那么E就可以反复测试，直到E设计的明文被加密后等于密文C_Alice。自此，E用以下公式得知自己设计的明文P_Eve等于明文P_Alice

C_Alice = E(IV₁ xor P_Alice) = E(IV₂ xor (IV₂ xor IV₁ xor P_Alice)).^[6]

初始向量的值主要还是取决于密码算法。其做法不外乎就是随机或指定（stateful）。使用随机的方式则取值由发送方计算，并要将向量值送交给接收方。指定的方式则是让收发两方分享初始向量所能指定的所有值（state），这些值收发双方必须预先就定义好。

区块加密[编辑]

区块加密常被用做身份验证的加密。之后亦有所谓的身份验证加密模式（authenticated encryption modes）。在这种模式中会使用到初始向量。这类应用中一般求出的结果都是固定值，因此使用固定结果的方式（deterministic algorithms）进行验证，所以初始向量亦使用固定值或是全部填零。

流加密[编辑]

流加密中的初始向量被计入那些被用来加密的密钥的资讯（secret state）里，然后每次算出后的密文再滚入下一轮（round）的密文计算之中。由于性能的要求，流加密的设计都希望轮的总数能愈小愈好；但实际的应用上，要定义出总数是十分困难的（not a trivial task）。再著，我们也必须考量其他议题，如：传输过程中损失的资讯量、密文的独一性、初始向量的相关性以及造成流加密许多安全议题的相关初始向量攻击法。这类攻击议题对流加密的安全性造成严重的隐忧，并且有许多持续进行的研究。

WEP的初始向量[编辑]

在无线传输规格802.11的有线等效加密算法中使用24位的初始向量来与同一把密钥做加密运算，这使得密文容易被破译。^[7]使用数据包插入的方式可以在数秒内将WEP破解。这个严重的缺陷使得此算法不被推荐使用。

参见[编辑]

参考文献[编辑]

^ ISO/IEC 10116:2006 Information technology — Security techniques — Modes of operation for an n-bit block cipher
^ Alex Biryukov. Some Thoughts on Time-Memory-Data Tradeoffs. IACR Eprint archive. 2005 [2014-04-28]. （原始内容存档于2013-07-28）.
^ Jin Hong; Palash Sarkar. Rediscovery of Time Memory Tradeoffs. IACR Eprint archive. 2005 [2014-04-28]. （原始内容存档于2014-06-01）.
^ Alex Biryukov; Sourav Mukhopadhyay; Palash Sarkar. Improved Time-Memory Trade-Offs with Multiple Data. LNCS (Springer). 2007, (3897): 110–127.
^ Christophe De Cannière; Joseph Lano; Bart Preneel. Comments on the Rediscovery of Time/Memory/Data Trade-off Algorithm (PDF) (技术报告). ECRYPT Stream Cipher Project. 2005 [2014-04-28]. 40. （原始内容 (PDF)存档于2015-07-06）.
^ CWE-329: Not Using a Random IV with CBC Mode http://cwe.mitre.org/data/definitions/329.html （页面存档备份，存于互联网档案馆）
^ Nikita Borisov, Ian Goldberg, David A. Wagner. Intercepting Mobile Communications: The Insecurity of 802.11 (PDF). [2006-09-12]. （原始内容存档 (PDF)于2019-03-03）.

延伸[编辑]

Schneier, B. Applied Cryptography 2nd. New York: Wiley. 1996. ISBN 0-471-12845-7.
Ferguson, N.; Schneier, B. Practical Cryptography. New York: Wiley. 2003. ISBN 0-471-22894-X.

[1] ISO/IEC 10116:2006 Information technology — Security techniques — Modes of operation for an n-bit block cipher

[2] Alex Biryukov. Some Thoughts on Time-Memory-Data Tradeoffs. IACR Eprint archive. 2005 [2014-04-28]. （原始内容存档于2013-07-28）.

[3] Jin Hong; Palash Sarkar. Rediscovery of Time Memory Tradeoffs. IACR Eprint archive. 2005 [2014-04-28]. （原始内容存档于2014-06-01）.

[4] Alex Biryukov; Sourav Mukhopadhyay; Palash Sarkar. Improved Time-Memory Trade-Offs with Multiple Data. LNCS (Springer). 2007, (3897): 110–127.

[ECRYPT-5] Christophe De Cannière; Joseph Lano; Bart Preneel. Comments on the Rediscovery of Time/Memory/Data Trade-off Algorithm (PDF) (技术报告). ECRYPT Stream Cipher Project. 2005 [2014-04-28]. 40. （原始内容 (PDF)存档于2015-07-06）.

[6] CWE-329: Not Using a Random IV with CBC Mode http://cwe.mitre.org/data/definitions/329.html （页面存档备份，存于互联网档案馆）

[Intercepting_Mobile_Comm_Nik_Ian_Dav-7] Nikita Borisov, Ian Goldberg, David A. Wagner. Intercepting Mobile Communications: The Insecurity of 802.11 (PDF). [2006-09-12]. （原始内容存档 (PDF)于2019-03-03）.

[1]

[2]

[3]

[4]

[5]

[6]

[7]