In der Geheimschrift ist ein Initialisierungsvektor (IV) ein Eingang der festen Größe zu einem kryptografischen Primitiven, der normalerweise erforderlich ist, zufällig oder pseudozufällig zu sein. Randomization ist für Verschlüsselungsschemas entscheidend, semantische Sicherheit, ein Eigentum zu erreichen, wodurch der wiederholte Gebrauch des Schemas unter demselben Schlüssel keinem Angreifer erlaubt, Beziehungen zwischen Segmenten der encrypted Nachricht abzuleiten. Für Block-Ziffern wird der Gebrauch eines IV durch so genannte Verfahrensweisen beschrieben. Randomization ist auch für andere Primitive, wie universale Kuddelmuddel-Funktionen und Nachrichtenbeglaubigungscodes gestützt darauf erforderlich.

Einige kryptografische Primitive verlangen, dass sich die IV nur nichtwiederholen, und die erforderliche Zufälligkeit wird innerlich abgeleitet. In diesem Fall, die IV wird einen nonce (Zahl verwendet einmal) allgemein genannt, und die Primitiven werden als stateful im Vergleich mit randomized beschrieben. Das ist, weil die IV einem Empfänger nicht ausführlich nachgeschickt zu werden brauchen, aber aus einem allgemeinen Staat abgeleitet werden können, der sowohl am Absender als auch an der Empfänger-Seite aktualisiert ist. (In der Praxis wird ein kurzer nonce noch zusammen mit der Nachricht übersandt, um Nachrichtenverlust zu denken.) Ist ein Beispiel von stateful Verschlüsselungsschemas die Gegenverfahrensweise, die eine Folge-Zahl als ein nonce verwendet.

Die Größe der IV ist vom kryptografischen verwendeten Primitiven abhängig; für Block-Ziffern ist es allgemein die Block-Größe der Ziffer. Ideal, für Verschlüsselungsschemas, hat der unvorhersehbare Teil der IV dieselbe Größe wie der Schlüssel, Zeitspeicherdaten-Umtausch-Angriffe zu ersetzen. Wenn die IV aufs Geratewohl gewählt werden, muss die Wahrscheinlichkeit von Kollisionen wegen des Geburtstag-Problems in Betracht gezogen werden. Traditionelle Strom-Ziffern wie RC4 unterstützen keinen ausführlichen IV, wie eingegeben, und eine kundenspezifische Lösung, für einen IV in den Schlüssel der Ziffer oder inneren Staat zu vereinigen, ist erforderlich. Wie man bekannt, sind einige Designs begriffen in der Praxis unsicher; das WEP Protokoll ist ein bemerkenswertes Beispiel, und ist für zusammenhängende-IV Angriffe anfällig.

Motivation

Eine Block-Ziffer ist einer der grundlegendsten Primitiven in der Geheimschrift, und oft verwendet für die Datenverschlüsselung. Jedoch, allein, kann es nur verwendet werden, um einen Datenblock einer vorherbestimmten Größe, genannt die Block-Größe zu verschlüsseln. Zum Beispiel gestaltet eine einzelne Beschwörung des AES Algorithmus 128 Bit plaintext Block in einen ciphertext Block von 128 Bit in der Größe um. Der Schlüssel, der als ein Eingang der Ziffer gegeben wird, definiert zwischen plaintext und ciphertext kartografisch darzustellen. Wenn Daten der willkürlichen Länge encrypted sein sollen, ist eine einfache Strategie, die Daten in Blöcke jedes Zusammenbringen der Block-Größe der Ziffer und encrypt jeder Block getrennt mit demselben Schlüssel zu spalten. Diese Methode ist jedoch nicht sicher: Gleiche Plaintext-Blöcke werden in gleichen ciphertexts und einen Dritten umgestaltet, der bemerkt, dass die encrypted Daten seinen Inhalt selbst wenn das nicht Wissen des Verschlüsselungsschlüssels leicht bestimmen können.

Um Muster in encrypted Daten zu verbergen, während man die Neuauflage eines neuen Schlüssels nach jeder Block-Ziffer-Beschwörung vermeidet, ist eine Methode zu randomize die Eingangsdaten erforderlich. 1980 hat der NIST benannte FIPS BAR einer nationalen Standard-Unterlage 81 veröffentlicht, der vier so genannte Block-Ziffer-Weisen von Operationen, jeder angegeben hat, eine verschiedene Lösung für encrypting eine Reihe von Eingangsblöcken beschreibend. Die erste Weise führt die einfache Strategie durch, die oben beschrieben ist, und wurde als der elektronische codebook (EZB) Weise angegeben. Im Gegensatz, jede der anderen Weisen beschreiben einen Prozess, wo ciphertext von einem Block-Verschlüsselungsschritt mit den Daten vom folgenden Verschlüsselungsschritt vermischt wird. Um diesen Prozess zu beginnen, ist ein zusätzlicher Eingangswert erforderlich, mit dem ersten Block gemischt zu werden, und der einen Initialisierungsvektoren genannt wird. Zum Beispiel verlangt die Weise des Ankettens des Ziffer-Blocks (CBC) einen zufälligen Wert der Block-Größe der Ziffer als zusätzlicher Eingang, und fügt es zum ersten Plaintext-Block vor der nachfolgenden Verschlüsselung hinzu. Der Reihe nach wird der im ersten Verschlüsselungsschritt erzeugte ciphertext zum zweiten Plaintext-Block und so weiter hinzugefügt. Die äußerste Absicht für Verschlüsselungsschemas ist, semantische Sicherheit zur Verfügung zu stellen: Durch dieses Eigentum ist es für einen Angreifer praktisch unmöglich, irgendwelche Kenntnisse von beobachtetem ciphertext zu ziehen. Es kann gezeigt werden, dass jede der drei zusätzlichen durch den NIST angegebenen Weisen unter so genannten gewählten-plaintext Angriffen semantisch sicher ist.

Eigenschaften

Eigenschaften eines IV hängen vom kryptografischen verwendeten Schema ab. Eine grundlegende Voraussetzung ist Einzigartigkeit, was bedeutet, dass Nr. IV unter demselben Schlüssel wiederverwendet werden kann. Für Block-Ziffern wiederholt übertragen IV Werte das Verschlüsselungsschema in die elektronische codebook Weise: Gleich IV und gleicher plaintext laufen auf gleichen ciphertext hinaus. Im Strom ist Ziffer-Verschlüsselungseinzigartigkeit entscheidend wichtig, weil plaintext sonst trivial wieder erlangt werden kann.

:Example: Strom-Ziffern encrypt plaintext P zu ciphertext C durch das Abstammen eines Schlüsselstroms K von einem gegebenen Schlüssel und IV und die Computerwissenschaft C als C = P xor K. Nehmen Sie an, dass ein Angreifer zwei Nachrichten C und C sowohl encrypted mit demselben Schlüssel als auch IV beobachtet hat. Dann offenbaren Kenntnisse entweder von P oder von P den anderen plaintext seitdem

:: C xor C = (P xor K) xor (P xor K) = P xor P.

Viele Schemas verlangen, dass die IV durch einen Gegner unvorhersehbar sind. Das wird durch das Auswählen der IV aufs Geratewohl oder pseudozufällig bewirkt. In solchen Schemas ist die Chance eines Duplikates IV unwesentlich, aber die Wirkung des Geburtstag-Problems muss betrachtet werden. Bezüglich der Einzigartigkeitsvoraussetzung kann ein voraussagbarer IV Wiederherstellung von (teilweisem) plaintext erlauben.

:Example: Denken Sie ein Drehbuch wo eine legitime Partei genannt Alice encrypts Nachrichten mit der Anketten-Weise des Ziffer-Blocks. Denken Sie weiter, dass es einen Gegner genannt Eve gibt, die diese Verschlüsselungen beobachten kann und im Stande ist, plaintext Nachrichten an Alice für die Verschlüsselung nachzuschicken (mit anderen Worten, ist Eve zu einem gewählten-plaintext Angriff fähig). Nehmen Sie jetzt an, dass Alice eine Nachricht gesandt hat, die aus einem Initialisierungsvektoren IV besteht und mit einem ciphertext Block C anfängt. Lassen Sie weiter P zeigen den ersten plaintext Block der Nachricht von Alice an, lassen E Verschlüsselung anzeigen, und P die Annahme von Eve für den ersten Plaintext-Block sein lassen. Jetzt, wenn Eve den Initialisierungsvektoren IV der folgenden Nachricht bestimmen kann, wird sie im Stande sein, ihre Annahme zu prüfen, indem sie eine plaintext Nachricht an Alice nachschicken wird, die mit (IV xor IV xor P)) anfängt; wenn ihre Annahme richtig war, wird dieser Plaintext-Block encrypted zu C durch Alice bekommen. Das ist wegen der folgenden einfachen Beobachtung:

:: C = E (IV xor P) = E (IV xor (IV xor IV xor P)).

Je nachdem, ob die IV für ein kryptografisches Schema zufällig oder nur einzigartig sein müssen, wird das Schema entweder randomized oder stateful genannt. Während randomized Schemas immer verlangen, dass die von einem Absender gewählten IV, der zu Empfängern, stateful Schemas nachzuschicken ist, Absender und Empfänger erlauben, einen allgemeinen IV Staat zu teilen, der auf eine vorherbestimmte Weise an beiden Seiten aktualisiert wird.

Block-Ziffern

Die Block-Ziffer-Verarbeitung von Daten wird gewöhnlich als eine Verfahrensweise beschrieben. Weisen werden in erster Linie für die Verschlüsselung sowie Beglaubigung definiert, obwohl neuere Designs bestehen, die beide Sicherheitslösungen in so genannten beglaubigten Verschlüsselungsweisen verbinden. Während Verschlüsselung und beglaubigte Verschlüsselungsweisen gewöhnlich ein IV Zusammenbringen der Block-Größe der Ziffer nehmen, werden Beglaubigungsweisen als deterministische Algorithmen allgemein begriffen, und die IV werden auf die Null oder einen anderen festen Wert gesetzt.

Strom-Ziffern

In Strom-Ziffern werden IVs in den verschlüsselten inneren heimlichen Staat der Ziffer geladen, nach der mehrere Ziffer-Runden vor der Ausgabe des ersten Bit der Produktion durchgeführt wird. Aus Leistungsgründen versuchen Entwerfer von Strom-Ziffern, diese Zahl von Runden so klein wie möglich zu behalten, aber weil die Bestimmung der minimalen sicheren Zahl von Runden für Strom-Ziffern nicht eine triviale Aufgabe und das Betrachten anderer Probleme wie Wärmegewicht-Verlust ist, der zu jedem Ziffer-Aufbau einzigartig ist, sind zusammenhängende-IVs und andere Angriffe von IV-Related ein bekanntes Sicherheitsproblem für Strom-Ziffern, das das IV Laden in Strom-Ziffern eine ernste Sorge und ein Thema der andauernden Forschung macht.

WEP IV

Der 802.11 Verschlüsselungsalgorithmus genannt WEP (kurz für die Verdrahtete Gleichwertige Gemütlichkeit) hat einen kurzen verwendet, 24 Bit IV, führend haben IVs mit demselben Schlüssel wiederverwendet, der dazu geführt hat leicht geknackt zu werden. Paket-Einspritzung hat WEP berücksichtigt, der in Zeiten mindestens mehrere Sekunden zu knacken ist. Das hat schließlich zur Missbilligung von WEP geführt.

Siehe auch

• Kryptografischer nonce
• Polstern (der Geheimschrift)
• Salz (Geheimschrift)
• Block-Ziffer-Verfahrensweisen
• CipherSaber (RC4 mit IV)
• B. Schneier, 'Angewandte Geheimschrift', Wiley 1996
• N. Ferguson und B. Schneier, 'Praktische Geheimschrift', Wiley 2003