我们可以从 Padding oracle attack 中找到伪造密文的思路:
设:$1 \oplus x = 5$, IV 中的对应字节为 $y$
则:当 $y’ = y \oplus x$ 时,$y \oplus 1 \equiv y’ \oplus 5$
所以:将 $y$ 更改为 $y’$ 可使 message 中的相应字节变更为 5
第二个选项中提供的加密系统由于不会输出 bottom,所以一定不提供 authenticated encryption
第三个选项中的加密系统只需保持 $c_1 \equiv c_2$,即可成功进行 chosen ciphertext attack
Dan Boneh 教授已经强调过无数次:”Never implements encrypt method by yourself”
4 ~ 10 题都比较简单,在此不做讲解
