最近、私はAESでラボを読んで研究しています。 128ビットAESの暗号化中に、平文が128ビット未満の場合は、すべての0のパディングが追加されます。復号後、これらの0は取り除くことができます。AESに特定のパディングパターンを使用してエラーを検出できますか?
平文が常に16ビットの場合、復号化後のテキストは(16ビットのデータ+ 112ビットの0の)形式である必要があります。このフォームを「法的平文」と呼びます。完全に2^16の法的平文が存在する可能性があります。
攻撃者がキーとIVを知らない場合、暗号を変更することによって、復号化された平文はどのような形式でもよい。彼/彼女は(2^16)/(2^128)= 2 ^( - 112)の確率をもってそれを正当な平文にする。これは非常に小さなチャンスである。
これは合理的ですか? 0と
(もちろん、攻撃者がまだ平文番目)は、(i + 1で希望の結果を得るために、i番目の暗号を変更することによって、ビット反転を行うことができます)
これは、キーチェック値(KCV)の変形です。 [ここにいくつかの推論があります](http://crypto.stackexchange.com/a/1933/13022)なぜこの努力に値するものではありません。代わりに認証された暗号化を使用してください。 –