没有IV的AES CTR-相同的密钥用于多个消息-安全？

1. 我可以在CTR和没有IV的情况下多次使用相同的密码吗？

不，在这种情况下，CTR将作为一个多时间垫，您将失去大部分而不是所有的安全性。

使用CBC也不安全，因为您可能成为oracle攻击的受害者。

使用带有12字节随机IV的GCM，或者更好地使用带有预共享密钥（PSK）的TLS。

首先，没有像CTR或CBC这样带有“no IV”的东西。你可能只是使用全零作为IV。总有一个IV。（CTR称其IV为nonce。）

CTR绝对不能重复使用一个临时密钥对。它可以完全破坏加密。这是避免CTR的主要原因，除非你知道自己在做什么。它很难正确使用，并且具有可怕的故障模式。（WEP现在被认为完全崩溃的事实与这个问题密切相关。）我并不是说正确使用CTR是不好的；我是说小错误是灾难性的。

CBC永远不应该重复使用IV密钥，但它没有那么具有破坏性。这是CBC对于非专家来说是一个非常好的选择的一个主要原因。即使使用不当，它也相对安全。但是，重用IV密钥对会带来两个主要问题：

• 将前16个字节公开解密，如果两个消息具有相同的前缀，还将公开其他块。
• 加密相同的消息相同（和相同的前缀相同）。这间接泄露了有关消息的大量信息。

标准结构非常适合非专家，因为工具在许多平台上都很容易获得，并且相对容易正确使用，如下所示：

Random IV + CBC-ciphertext + HMAC

静脉注射不是秘密。随消息一起发送才是标准正确的。IV只能是攻击者无法预测的。只要攻击者不能预测（或控制）IV，即使偶尔的重用也不会泄露什么信息。显然，如果总是零，预测它是微不足道的。

CBC（以及CTR）不提供对消息的任何认证。它可以在运输途中被修改。如果攻击者知道明文消息，则在某些情况下，他们可以修改加密消息，以便以已知方式解密。例如，如果我知道（或能猜到）消息内容为To Bob： 100美元，则可以在不知道密码的情况下将该消息修改为To Eve： 100美元。身份验证可以防止这种情况。验证CBC的方法是使用HMAC（先加密，然后散列）。

有关此html" target="_blank">格式的实际示例，请参阅RNCryptor格式，包括RNCryptor js。

Maarten提到GCM，我同意它是一个优秀的密码学，但我不同意非专家应该使用它。作为计数器模式，它与CTR具有相同的危险。如果使用不当，它将完全崩溃（与CBC相比，CBC的安全性损失要平稳得多）。然而，这是一个非常固执己见的话题，GCM的粉丝们并没有错。我只是不同意“非专家的标准最佳实践”应该是什么。

为了“我想要尽可能最好的安全”，那么你绝对需要安全专家的参与。选择正确的块模式是保护系统的最简单部分，还有许多其他陷阱也同样重要。