[Crypto Course] Block Cipher Mode

⽬錄
• Block Cipher
• Block Cipher Mode
• ECB Mode
• CBC Mode
• CTR Mode
• GCM Mode
• Attack Scenarios
• ECB Mode / Cut & Paste
• ECB Mode / Prepend Oracle Attack
• CBC Mode / Bit-Flipping Attack
• CBC Mode / Padding Oracle Attack
• GCM Mode / Forbidden Attack

Block Cipher
加密
16 bytes 明⽂
16 bytes 密⽂
密鑰
• 輸入輸出長度固定
• 以 AES 為例
• 輸入明⽂ 16 bytes
• 輸出密⽂ 16 bytes
• 密鑰長度有 16, 24, 32 bytes 三種
最常⾒

Block Cipher
我要加密的明⽂不是 16 bytes 怎麼辦 ?
切成很多個 16 bytes

加密
16 bytes 明⽂
16 bytes 密⽂
密鑰加密
14 bytes 明⽂ + 2 bytes 填充 ( padding )
16 bytes 密⽂
密鑰
30 bytes 明⽂
Block Cipher

Block Cipher Mode
• AES 是 Block Cipher，輸入輸出長度固定
• 所以要加密任意長度的明⽂，需要⼀些額外加⼯
• ⼀些常⾒的加⼯模式：ECB, CBC, CFB, OFB, CTR...
• 有 AEAD 的模式：CCM, GCM, OCB…
Authenticated Encryption with Associated Data

Authenticated Encryption with Associated Data
• Authenticated Encryption ( AE )
• 會多計算⼀個 MAC ( Message Authentication Code )
• Associated Data ( AD )
• 可以連同⼀些沒加密的資料⼀起做 Authentication
• 比如⼀些不需要加密的 Header Information

ECB Mode Encryption
Encrypt
Plaintext
Ciphertext
Key Encrypt
Plaintext
Ciphertext
Key Encrypt
Plaintext
Ciphertext
Key

ECB Mode Decryption
Decrypt
Ciphertext
Plaintext
Key Decrypt
Ciphertext
Plaintext
Key Decrypt
Ciphertext
Plaintext
Key

ECB Modehttps://en.wikipedia.org/wiki/Block_cipher_mode_of_operation
ECB 模式的缺點：相同的明⽂區塊會加密出相同的密⽂區塊

CBC Mode Encryption
Encrypt
Plaintext
Ciphertext
Key
IV ⊕
Encrypt
Plaintext
Ciphertext
Key
⊕

CBC Mode Decryption
Decrypt
Ciphertext
Plaintext
Key
IV ⊕
Decrypt
Ciphertext
Plaintext
Key
⊕

CBC Mode
• 每塊密⽂都依賴前⾯所有的明⽂
• 相同的區塊明⽂會加密出不同的區塊密⽂
• 有⼀個初始化向量 ( Initial Vector )，簡稱 IV

CTR Mode Encryption
⊕
Encrypt
a59c…0000
Ciphertext
Key
Plaintext ⊕
Encrypt
a59c…0001
Ciphertext
Key
Plaintext
Counter

CTR Mode Decryption
⊕
Encrypt
a59c…0000
Plaintext
Key
Ciphertext ⊕
Encrypt
a59c…0001
Plaintext
Key
Ciphertext
Counter

CTR Mode
• 利⽤ AES 去產⽣ xor key 然後做 xor cipher
• 加密和解密都是⽤ AES Encryption，因為要產⽣相同的 xor key
• Counter 會初始⼀個隨機數字，每次加⼀
• Block 之間沒有互相依賴，可平⾏運算

GCM Mode Encryptionhttps://nvlpubs.nist.gov/nistpubs/legacy/sp/nistspecialpublication800-38d.pdf
a59c…0002a59c…0001 a59c…0003
J0
inc32 inc32
IV
Ek
⊕Plaintext
Ciphertext
⊕
MultH
Ek Ek
⊕
Ciphertext
Plaintext
MultH
⊕
MultH
[len(A)]64 || [len(C)]64
MultH
⊕
Auth Data
⊕
Auth Tag
=

a59c…0002a59c…0001 a59c…0003
J0
inc32 inc32
IV
Ek
⊕Plaintext
Ciphertext
⊕
MultH
Ek Ek
⊕
Ciphertext
Plaintext
MultH
⊕
MultH
[len(A)]64 || [len(C)]64
MultH
⊕
Auth Data
⊕
Auth Tag
CTR Mode
=

a59c…0002a59c…0001 a59c…0003
J0
inc32 inc32
IV
Ek
⊕Plaintext
Ciphertext
⊕
MultH
Ek Ek
⊕
Ciphertext
Plaintext
MultH
⊕
MultH
[len(A)]64 || [len(C)]64
MultH
⊕
Auth Data
⊕
Auth TagAuthentication
=

a59c…0002a59c…0001 a59c…0003
J0
inc32 inc32
IV
Ek
⊕Plaintext
Ciphertext
⊕
MultH
Ek Ek
⊕
Ciphertext
Plaintext
MultH
⊕
MultH
[len(A)]64 || [len(C)]64
MultH
⊕
Auth Data
⊕
Auth Tag
• len 是 bitlen
• [10]64 → 000000000000000a
不是 16 bytes 的倍數會在後⾯補 x00
=

如果 len(IV) ≠ 96 IV [len(IV)]6400
⊕
MultHMultH MultH
⊕
IV
J0
如果 len(IV) = 96 IV 00000001 J0=

a59c…0002a59c…0001 a59c…0003
J0
inc32 inc32
IV
Ek
⊕Plaintext
Ciphertext
⊕
MultH
Ek Ek
⊕
Ciphertext
Plaintext
MultH
⊕
MultH
[len(A)]64 || [len(C)]64
MultH
⊕
Auth Data
⊕
Auth Tag
Ek
0
H
H = Ek(0)
=

• 低位 32 bits 加⼀ modulo 232
• 剩下的⾼位不動
inc32

MultH
• MultH 是在 GF(2128) 下乘上 H
• GF(2128) 的 reduction modulus 是 x128 + x7 + x2 + x + 1
• 從 bytes 轉成 GF(2128) 下的元素
• u is the variable of the polynomial
• x0x1…x127 → x0 + x1u + … + x127u127
• 'x00…x00x01x02' → x119+x126

Galois Field
• Galois Field ( GF ) 或叫 Finite Field
• GF(2128) 裡⾯的元素可以表⽰成⼀個 degree = 127 的多項式
• 加法和乘法就是做多項式的加法和除法 modulo ⼀個 degree = 128 的 irreducible polynomial
• GCM Mode ⽤的 GF(2128) 是 modulo x128 + x7 + x2 + x + 1

GCM Mode Decryptionhttps://nvlpubs.nist.gov/nistpubs/legacy/sp/nistspecialpublication800-38d.pdf
a59c…0002a59c…0001 a59c…0003
J0
inc32 inc32
IV
Ek
⊕Plaintext
Ciphertext
⊕
MultH
Ek Ek
Ciphertext
Plaintext
MultH
⊕
MultH
[len(A)]64 || [len(C)]64
MultH
⊕
Auth Data
⊕
Auth Tag
⊕
=

GCM Mode Decryptionhttps://nvlpubs.nist.gov/nistpubs/legacy/sp/nistspecialpublication800-38d.pdf
a59c…0002a59c…0001 a59c…0003
J0
inc32 inc32
IV
Ek
⊕Plaintext
Ciphertext
⊕
MultH
Ek Ek
Ciphertext
Plaintext
MultH
⊕
MultH
[len(A)]64 || [len(C)]64
MultH
⊕
Auth Data
⊕
Auth Tag
⊕
這邊和加密時顛倒
其他都⼀樣
=

ECB Mode / Cut & Paste
Encrypt
user:hi;money:10
A
Key Encrypt
;id=015647659901
B
Key Encrypt
5874573959304852
C
Key

ECB Mode / Cut & Paste
Decrypt
A
user:hi;money:10
Key Decrypt
C
5874573959304852
Key Decrypt
C
5874573959304852
Key
錢錢變多了～

ECB Mode / Prepend Oracle Attack

The Oracle
• 使⽤ AES ECB Mode
• 伺服器將我們的明⽂ prepend 在 ﬂag 前⾯作加密
def oracle(plain):
aes = AES.new(KEY, AES.MODE_ECB)
return aes.encrypt(plain + flag)

找 ﬂag[0]
Encrypt
AAAAAAAAAAAAAAAC
Ciphertext
Key Encrypt
TF{FLAG}…
Ciphertext
Key
先塞 15 個垃圾
讓 ﬂag 的第⼀個字元掉進來

塞 15 個⼀樣的垃圾 +
爆搜最後⼀個 byte
找 ﬂag[0]
Encrypt
AAAAAAAAAAAAAAA00
Ciphertext
Key Encrypt
CTF{FLAG}…
Ciphertext
Key

找 ﬂag[0]
Encrypt
AAAAAAAAAAAAAAA01
Ciphertext
Key Encrypt
CTF{FLAG}…
Ciphertext
Key

找 ﬂag[0]
Encrypt
AAAAAAAAAAAAAAAC
Ciphertext
Key Encrypt
CTF{FLAG}…
Ciphertext
Key
找到了 ﬂag 的第⼀個 byte

找 ﬂag[1]
Encrypt
AAAAAAAAAAAAAACT
Ciphertext
Key Encrypt
F{FLAG}…
Ciphertext
Key
先塞 14 個垃圾
讓 ﬂag 的前兩個字元掉進來

找 ﬂag[1]
Encrypt
AAAAAAAAAAAAAAC00
Ciphertext
Key Encrypt
CTF{FLAG}…
Ciphertext
Key
已知的 ﬂag 第⼀個 byte +

找 ﬂag[1]
Encrypt
AAAAAAAAAAAAAAC01
Ciphertext
Key Encrypt
CTF{FLAG}…
Ciphertext
Key
已知的 ﬂag 第⼀個 byte +

找 ﬂag[1]
Encrypt
AAAAAAAAAAAAAACT
Ciphertext
Key Encrypt
CTF{FLAG}…
Ciphertext
Key
找到了 ﬂag 的第⼆個 byte

Finally
• 這樣⼀直做下去就能解密出 ﬂag 的所有字元了
• 最多需要做 len(ﬂag) * 257 次

CTF Challenges
• UTCTF 2020 - Random ECB
• TUCTF 2018 - AESential Lesson
• cryptohack.org - ECB Oracle

CBC Mode / Bit-Flipping Attack

Decrypt
Ciphertext
…b5
Key
…49 ⊕
Decrypt
Ciphertext
Plaintext
Key
⊕
⊕ 1
⊕ 1

Decrypt
Ciphertext
…b4
Key
…48 ⊕
Decrypt
Ciphertext
Plaintext
Key
⊕

Decrypt
…04
…91
Key
IV ⊕
Decrypt
Ciphertext
…e3
Key
⊕
⊕ 1
⊕ 1

Decrypt
…03
…f3
Key
IV ⊕
Decrypt
Ciphertext
…e2
Key
⊕

Decrypt
…04
…91
Key
IV ⊕
Decrypt
Ciphertext
…e3
Key
⊕
⊕ e3 ⊕ 66
⊕ e3 ⊕ 66

Decrypt
…81
…1c
Key
IV ⊕
Decrypt
Ciphertext
…66
Key
⊕
將解密的明⽂改成我們指定的 0x66

• 透過修改 IV 和 Ciphertext 來控制 Plaintext
• 其他 CFB, OFB, CTR 也存在相同的攻擊⽅式

CTF Challenges
• AIS3 preexam 2018 - EFAIL
• AIS3 preexam 2018 - BLIND
• AceBear CTF - CNVService
• Teaser Dragon CTF 2018 - AES-128-TSB

CBC Mode / Padding Oracle Attack

The Oracle
• 使⽤ AES CBC Mode 配上 PKCS#7 Padding Scheme
• 伺服器能幫我們解密訊息
• 如果解密出來的訊息 Padding 錯誤會噴錯
def unpad(data):
if not all([x == data[-1] for x in data[-data[-1]:]]):
raise ValueError
return data[:-data[-1]]
def oracle(cipher):
aes = AES.new(KEY, AES.MODE_CBC)
try:
plain = unpad(aes.decrypt(cipher))
except ValueError:
return False
return True

PKCS#7 : Cryptographic Message Syntax
https://tools.ietf.org/html/rfc2315
後⾯要填充 6 個 bytes
34 83 E6 2F 20 0A 33 AC 49 41 06 06 06 06 06 06
明⽂
• 這個標準裡⾯定義了⼀種 Padding 的格式
• 要填充 5 個 bytes 就填充 5 個 0x05
• 要填充 2 個 bytes 就填充 2 個 0x02

Padding 錯誤
• 怎麼樣會 Padding 錯誤？
• 抓最後⼀個 byte 就可以知道 Padding 長度
都要等於最後⼀個 byte
34 83 E6 2F 20 0A 33 AC 49 41 06 ab 06 06 06 06

Python Implementation
def pad(data):
p = 16 - len(data) % 16
return data + bytes([p]) * p
def unpad(data):
if not all([x == data[-1] for x in data[-data[-1]:]]):
raise ValueError
return data[:-data[-1]]

Padding Oracle Attack
…47
Decrypt
Ciphertext
…69
Key
⊕
未知的明⽂
已知的密⽂

…00
Decrypt
Ciphertext
…2e
Key
⊕
不知道只知道
Padding 錯誤
暴⼒嘗試最後⼀個 byte

…01
Decrypt
Ciphertext
…2f
Key
⊕
不知道只知道
Padding 錯誤

…02
Decrypt
Ciphertext
…2c
Key
⊕
不知道只知道
Padding 錯誤

…2f
Decrypt
Ciphertext
…01
Key
⊕
推論 ( 很⼤機率 )
Padding 正確
2f47 ⊕⊕69 =
明⽂原本的密⽂

…7d47
Decrypt
Ciphertext
…6869
Key
⊕
部分未知的明⽂
已知的密⽂

…002c
Decrypt
Ciphertext
…1502
Key
⊕
不知道只知道
Padding 錯誤
暴⼒嘗試倒數第⼆個 byte
47 69 02⊕ ⊕
2c=
設定明⽂最後⼀個 byte 為 02

…012c
Decrypt
Ciphertext
…1402
Key
⊕
不知道只知道
Padding 錯誤

…022c
Decrypt
Ciphertext
…1702
Key
⊕
不知道只知道
Padding 錯誤

…172c
Decrypt
Ciphertext
…0202
Key
⊕
推論
Padding 正確177d ⊕⊕68 =
明⽂原本的密⽂

Summary
• 總共有三層迴圈
• 猜 0 - 255 直到猜出⼀個 byte
• ⼀次解出⼀個 byte 直到解完⼀個 block
• ⼀次解出⼀個 block 直到解完所有 blocks
• 解出⼀個 block 最多需要 4096 次嘗試

CTF Challenges
原汁原味 padding oracle attack :
• CSAW CTF 2016 Quals - Neo
• HITCON CTF 2016 Quals - Hackpad
• BAMBOOFOX CTF 2018 - mini-padding
padding 相關攻擊技巧 :
• HITCON CTF 2017 Quals - Secret Server
• HITCON CTF 2017 Quals - Secret Server Revenge
• BAMBOOFOX CTF 2018 - baby-lea-revenge
• BAMBOOFOX CTF 2018 - baby-lea-impossible

GCM Mode / Forbidden Attack
• ⼜叫 Nonce Repeating Attack
• 也就是當 IV 重複⽤的情況
• 假設可以拿到任意明⽂加密的結果
• 這個攻擊可以做到偽造簽章

• T = AH4 + C1H3 + C2H2 + LH + Ek(J0)
Tag
Associated Data
Ciphertext
[len(A)]64 || [len(C)]64
• 在 Authentication 中做的 xor 就是 GF(2128) 中的加法
• Tag 可以表⽰成在 GF(2128) 中的式⼦如下
未知的只有藍⾊的部分

• T1 = A1H4 + C11H3 + C12H2 + L1H + Ek(J0)
• T2 = A2H4 + C21H3 + C22H2 + L2H + Ek(J0)
• T1 - T2 = (A1 - A2)H4 + (C11 - C21)H3 + (C12 - C22)H2 + (L1 - L2)H
• 做兩次加密拿到兩個 Tag
• 兩個相減後只剩 H 未知，解⽅程式求根可得 H
• 有 H 帶回原式可得 Ek(J0) 就可以偽造 Tag 了

CTF Challenges
• UTCTF 2020 - Galois
• VolgaCTF 2018 Quals - Forbidden

[Crypto Course] Block Cipher Mode

More Related Content

What's hot (20)

Similar to [Crypto Course] Block Cipher Mode (9)

More from WEI CHIEH CHAO (7)

[Crypto Course] Block Cipher Mode