标签: encryption cryptography padding-oracle-attack
我对填充oracle上的加密攻击的理解是,攻击者有一组Pi和Dec(Ci)的
据我所知,通过反算计算,攻击者可以找出Ci-1,因为我们有
Pi = Dec(Ci) ^ Ci-1
这样攻击者就可以找到所有的Ci-1,但第一个Ci会发生什么?既然你从最后开始并向后退,看起来最后的Ci不会被计算出来,在这种情况下,攻击者无法加密所有的消息......?