[RFC][Crypto] Вектор инициализации из ключа

Почему бы и нет

>Олл, расскажи, хорошо ли в симметричных алгоритмах шифрования (я пользую AES CBC) использовать ключ для генерации вектора инициализации, допустим, при помощи какой-то простой хеш-функции (пишу для встраиваемых систем)?

Может вам нужен криптостойкий генератор псевдослучайных чисел? Хеш считают от чего-то. От чего?

От ключа он хочет считать хеш. Может на встраиваемой системе нет генератора случайных чисел.

Хотя хеш от ключа + соль и будет криптостойким псевдослучайным.

>От ключа он хочет считать хеш.

а с какой целью?

Может на встраиваемой системе нет генератора случайных чисел.

потому и говорю - нужен генератор псевдослучайных, но таких, что-бы враг не смог по 100500 значений угадать 100501е Такие есть, и их лучше не придумывать, а взять готовый.

Начальный (первый) вектор инициализации должны знать все участники обмена. Ни о какой его (псевдо)случайной генерации не может идти речи.
Ключ и так известен всем. Вот я и подумал, почему бы его не использовать и в таком качестве.

Сомнения возникают вот в каком момента: существуют исключительные ситуации, при которых сторона, ответственная за генерацию векторов, должна обнулить вектор к его начальному варианту (например, при перезагрузке одной из сторон). Так вот третья сторона может заставить делать такие сбросы часто и при этом будет (или не будет - хз) знать характер сообщения. Возникает вопрос: если ли опасность в передаче ключа (пусть модифицированного - считаем, что алгоритм публичный), зашифрованного с его же помощью?

При генерации вектора инициализации соль не допустима по тем же причинам.

Или я не прав и любое мало-мальское изменение в любом месте сообщения уже координально усложнит задачу злоумышленнику?

>Сомнения возникают вот в каком момента: существуют исключительные ситуации, при которых сторона, ответственная за генерацию векторов, должна обнулить вектор к его начальному варианту (например, при перезагрузке одной из сторон). Так вот третья сторона может заставить делать такие сбросы часто и при этом будет (или не будет - хз) знать характер сообщения. Возникает вопрос: если ли опасность в передаче ключа (пусть модифицированного - считаем, что алгоритм публичный), зашифрованного с его же помощью?

честно говоря - не очень понял схему перезагрузки...

Нда. Немного я переоценил значимость ВИ при расшифровке сообщения. Думал, что если пробовать расшифровывать данные с неправильным вектором (но с правильным ключом), то выйдет белиберда, но получается, что неправильными выходят первые 128 бит (размер блока) и они в любом случае будут равны ВИ, при помощи которого ведётся расшифровка.

А хотелось его использовать для проверки корректности сообщения.

>А хотелось его использовать для проверки корректности сообщения.

настоятельно рекомендую взять готовую схему, а не придумывать велосипеды.