密文填塞攻击

在加密学中，密文填塞攻击（Padding Oracle attack，字面译为填充神谕攻击）是指使用密文的填充验证信息来进行解密的攻击方法。密码学中，可变长度的明文信息通常需要经填充后才能兼容基础的密码原语（英语：cryptographic primitive）。此攻击方式依赖对密文是否被正确填充的反馈信息。密文填塞攻击常常与分组密码内的密码块链接解密模式有关。非对称加密算法，如最优非对称加密填充算法，也可能易受到密文填充攻击。^[1]

对称加密

在对称加密中，填充神谕攻击（英语：oracle attack）可应用在分组密码工作模式上，其反馈的“神谕”（通常为服务器）信息将返回泄漏密文填充的正确与否。攻击者可在没有加密密钥的情况下，透过此信息的神谕密钥解密（或加密）信息。

对密码块链接进行密文填充攻击

对密码块链接进行解密需要先解密所有密文组，再验证填充，随后移除PKCS7填充，最后再返回解密后的明文信息。 若服务器返回“填充无效”信息而非“解密失败”错误，则攻击者可利用服务器本身进行密文填塞来解密（或加密）信息。

进行密码块链接解密的数学公式为

${\displaystyle P_{i}=D_{K}(C_{i})\oplus C_{i-1},}$

${\displaystyle C_{0}=IV.}$

如上文所述，进行密码块链接解密时会将每个明文块与先前的密文块进行异或比较。 因此，若块${\displaystyle C_{1}}$更改了一个字节，则块${\displaystyle P_{2}}$中的对应字节也会被修改。

假设攻击者拥有密文块${\displaystyle C_{1},C_{2}}$，且欲解密第二个密文块来获得明文${\displaystyle P_{2}}$。 攻击者可以更改${\displaystyle C_{1}}$的最后一个字节（即${\displaystyle C_{1}'}$），并发送${\displaystyle (IV,C_{1}',C_{2})}$至服务器。 服务器随后将返回最后一个解密块（${\displaystyle P_{2}'}$）的填充是否正确（是否等于0x01）。 若填充正确，攻击者则能确定${\displaystyle D_{K}(C_{2})\oplus C_{1}'}$的最后一个字节是${\displaystyle \mathrm {0x01} }$，即${\displaystyle D_{K}(C_{2})=C_{1}'\oplus \mathrm {0x01} }$。 若填充不正确，攻击者则可以将${\displaystyle C_{1}'}$的最后一个字节更改为下一个可能的值。 在最不理想的情况下，攻击者需要进行256次尝试（即尝试每个字节）来寻找${\displaystyle P_{2}}$的最后一个字节。若解密的明文块内包含填充信息或用于填充的字节，攻击者则还需要进行额外的尝试来排除不同的可能性。^[2]

在确定${\displaystyle P_{2}}$的最后一个字节后，攻击者可以使用相同的手段来获取${\displaystyle P_{2}}$的倒数第二个字节。 攻击者可将${\displaystyle C_{1}}$的最后一个字节设置为${\displaystyle D_{K}(C_{2})\oplus \mathrm {0x02} }$，进而可将${\displaystyle P_{2}}$的相应字节设置为${\displaystyle \mathrm {0x02} }$。 利用上述的相同方式，攻击者可继续更改倒数第二个字节，直到填充正确为止（0x02, 0x02）。

若一个密文块包含了128比特（或16字节）的信息（如AES），攻击者可在255x16=4080次尝试中获取到明文的${\displaystyle P_{2}}$信息。这比使用暴力破解所需的${\displaystyle 2^{128}}$次尝试要快得多。

使用密文填塞进行攻击

使用密文填塞的攻击方法起初由塞尔日·瓦德奈（英语：Serge Vaudenay）于2002年发布。^[3]攻击者随后利用此方法投入实际，用于应对SSL^[4] 和IPSec^[5][6]。除此之外，此攻击方法也用于多个网页框架上，如JavaServer Faces、Ruby on Rails^[7]、ASP.NET^[8][9][10]和Steam游戏客户端。^[11]2012年，此方法被证明为应对加固安全设备的有效方式。^[12]

虽然早期的攻击方法均已被大多数TLS实现修复，但在2013年，网络上出现了名为幸运十三攻击的新变种，它使用侧信道来重新利用软件中的缺陷。截止2014年上半年，尽管幸运十三攻击理论上对特定机器依然有效（参见信噪比），但研究学者们认为此方法在现实中已无威胁。截至2015年 (2015-Missing required parameter 1=month!)^[update]，对解密互联网加密协议的最活跃攻击方法为降级攻击，如Logjam^[13]和Export RSA/FREAK^[14]攻击，此类方法会欺骗客户端使用旧版安全性相对较低的但兼容性较高的加密算法。另外，一种名为POODLE（英语：POODLE）^[15]（2014年下半年出现）将降级攻击（降级至SSL 3.0）与对老版本不安全协议的密文填充攻击相结合，进而破解传输中的数据。2016年5月，研究人员发现OpenSSL在修复幸运十三时引入了另一个填充神谕，此缺陷被标记为CVE-2016-2107。^[16][17]

参考文献

查 论 编 TLS和SSL 协议和技术 传输层安全 / 安全套接层（TLS/SSL） 資料包傳輸層安全（DTLS） DNS验证颁发机构（CAA） 基于DNS的名称实体身份验证（英语：DNS-based Authentication of Named Entities）（DANE） 超文本传输安全协议 HTTP严格传输安全（HSTS） HTTP公钥固定（HPKP） OCSP装订 前向保密 服务器名称指示（SNI） STARTTLS 应用层协议协商（ALPN） 公钥基础设施 自动化证书管理环境（英语：Automated Certificate Management Environment）（ACME） 数字证书认证机构（CA） CA/浏览器论坛 证书策略（英语：Certificate policy） 证书吊销列表（CRL） 域名验证型证书（DV） 扩展验证证书（EV） 在线证书状态协议（OCSP） 组织验证型证书（英语：Organization-validated certificate）（OV） 公開金鑰認證 公开密钥加密 公开密钥指纹 公開金鑰基礎建設（PKI） 信任鏈 根证书 自签名证书 授權憑證 通配符证书 X.509 另见 域名系统安全扩展（DNSSEC） IPsec Secure Shell（SSH） 历史 美國的加密技術出口管制 Server-Gated Cryptography（英语：Server-Gated Cryptography）（SGC） 实现 充气城堡（英语：Bouncy Castle (cryptography)） Botan（英语：Botan (programming library)） cryptlib（英语：cryptlib） GnuTLS JSSE（英语：Java Secure Socket Extension） LibreSSL MatrixSSL NSS OpenSSL mbed TLS RSA BSAFE（英语：RSA BSAFE） SChannel（英语：Security Support Provider Interface） SSLeay Stunnel wolfSSL 公证 证书透明度 Convergence（英语：Convergence (SSL)） HTTPS Everywhere / SSL Observatory 漏洞 理论 中间人攻击 密文填塞攻击 幸运十三攻击 密码本 受诫礼攻击（英语：Bar mitzvah attack） 协议 BEAST（英语：BEAST (security_exploit)） BREACH（英语：BREACH (security exploit)） CRIME DROWN（英语：DROWN attack） Logjam（英语：Logjam (computer security)） 实现 随机数生成器攻击 FREAK漏洞 goto失败（英语：goto fail） 心脏出血漏洞 贵宾犬漏洞（由于TLS 1.0）