워터마킹 공격

암호학에서 워터마킹 공격은 디스크 암호화 방식에 대한 공격이며, 공격자는 암호화 키를 인식하지 않고도 특수하게 조작된 데이터의 존재를 탐지할 수 있습니다.

문제 설명

디스크 암호화 스위트는 일반적으로 개별적으로 암호화 및 복호화된 512바이트 섹터의 데이터에 대해 작동합니다.이러한 512바이트 섹터만 모든 블록 암호 모드(일반적으로 CBC)를 사용할 수 있지만 디스크 중간에 있는 임의의 섹터에 개별적으로 액세스할 수 있어야 하므로 이전/후행 섹터의 내용에 의존할 수 없습니다.따라서 CBC에서는 각 섹터가 자체 초기화 벡터(IV)를 가져야 합니다.공격자가 이러한 IV를 예측할 수 있는 경우(파일 시스템이 각 섹터의 시작과 동일한 오프셋으로 파일 콘텐츠를 확실하게 시작하고 파일이 대부분 연속될 수 있음), 암호화된 데이터의 존재를 밝혀낼 수 있는 선택된 평문 공격이 있습니다.

이 문제는 블록 암호를 전자 코드북(ECB) 모드로 사용하는 것과 유사하지만 블록 전체가 아니라 섹터별로 첫 번째 블록만 동일합니다.예를 들어 ^[1]ESSIV를 사용하면 IV를 예측할 수 없게 함으로써 이 문제를 비교적 쉽게 제거할 수 있습니다.

또는 디스크 암호화용으로 특별히 설계된 동작 모드를 사용할 수도 있습니다(디스크 암호화 이론 참조).이 취약성은 이전 버전의^[2] BestCrypt와 현재는 사용되지 않는 cryptoloop을 ^[3]포함한 많은 디스크 암호화 프로그램에 영향을 미칩니다.

공격을 실행하기 위해 공격 대상 시스템에서 암호화를 위해 특수하게 조작된 플레인텍스트파일이 생성되어 2개 이상의 섹터에서 첫 번째 암호문 블록이 동일하도록 IV를^[4] "NOP-out"합니다.이를 위해서는 각 블록의 암호(텍스트, $\$ P$\},$ XOR 초기화 벡터, $(\$ IV$)$에 대한 입력이 동일해야 합니다.${\displaystyle {즉\mathrm{}}_{}}$, ${\displaystyle P1{}_{}{}_{}}$ ${\displaystyle {IV\mathrm{}}_{}}$ ${\displaystyle 1{}_{}}$ ${\displaystyle ={}_{}}$ $i$ ${\displaystyle {IV\mathrm{}}_{}}$ 2 ⊕ IV 2$$display \$scriptstyle$ P_1$、$ ${1$}$IV_{1}\;=\;$$P_{2},\oplus,$$IV_{2$ 따라서 ${\displaystyle {P1\mathrm{}}_{}}$$$${\displaystyle p{}_{}}$ ${\displaystyle {P2\mathrm{}}_{}}$$$$=$ ${\displaystyle I}$ ${\displaystyle {V1\mathrm{}}_{}{}_{}i}$ I ${\displaystyle {V2\mathrm{}}_{}}$i ${\displaystyle {}_{}}$ V2 \ $displaystyle$ \$scriptstyle$ $P_{1$} \$、 P_${2}$$$text$ 、 P1 \ displaystyle \$scriptstyle$ P_{$1}$ \ 、 P_{2 =\ $displaystyle$ \ scriptstyle $P_{$2 ）를 선택해야 합니다.$IV_{1},\oplus,$$IV_{2$

이렇게 생성된 암호문 블록 패턴은 디스크의 암호를 먼저 해독할 필요 없이 파일의 존재를 알려줍니다.

「 」를 참조해 주세요.

• 디스크 암호화 이론
• 초기화 벡터
• 블록 암호 모드 동작
• 워터마크

레퍼런스