1 简介

本文从CBC模式 “黄金标准”到“谨慎使用”的核心原因，为什么现在是能用，但不再推荐新系统使用。下面详细解释为什么CBC比ECB安全，但又为何不再被推荐用于新系统，并提供实例。

2 CBC（Cipher Block Chaining）工作原理

C0 = IV
Ci = SM4(K, Pi ⊕ Ci-1)

• 特点

使用 随机 IV

每块密文依赖前一块

• 安全性

⚠️ 中等安全

抵抗模式泄露

不防篡改

易受 Padding Oracle 攻击

• 优缺点

优点
实现成熟
广泛支持
比 ECB 安全

缺点
需要填充
解密串行
易被填充攻击

3 应用场景

传统文件加密

老国密系统、VPN、TLS 旧版本

• 为什么CBC比ECB安全得多？

核心改进：引入了链式反馈机制。

ECB： 密文块[n] = 加密(明文块[n])

相同明文块 → 相同密文块。无隐藏模式能力。

CBC： 密文块[n] = 加密(明文块[n] ⊕ 密文块[n-1])

首次加密需要一个随机初始化向量IV：密文块[0] = 加密(明文块[0] ⊕ IV)

关键机制：每个明文块在加密前，都会先与前一个密文块进行异或操作。

• 安全性提升：

隐藏了模式：即使明文块相同，由于前一个密文块不同（或IV不同），加密后的结果也完全不同。这就解决了ECB加密图片轮廓可见的根本问题。

实现了扩散：明文中的一个比特改变，会导致其所在块及之后所有块的密文都发生不可预测的改变。

所以，CBC在机密性上比ECB是质的飞跃，它解决了ECB最致命的“模式泄露”问题。

4 为什么CBC不再被推荐用于新系统？

尽管CBC解决了ECB的机密性问题，但它存在一些结构性、难以完全避免的缺陷，使得它在现代安全体系中显得“笨重且危险”。主要问题有三类：

• 1. 填充预言攻击（最著名的缺陷）
     根本原因：CBC在解密时，如果填充格式不正确，服务器通常会返回一个“填充错误”的错误信息。这个信息本身就成了攻击者可以利用的“预言机”。

攻击原理简述：

攻击者可以截获一段密文，然后系统地篡改它前面的密文块（或IV），发送给服务器，并观察服务器的反应是“填充错误”还是“解密成功但内容错误”。通过分析这些错误信息，攻击者可以逐字节地推算出原始明文，而完全不需要密钥。

举例说明（简化版）：

假设一个Web应用使用CBC模式加密Cookie（格式为user=admin&role=user）。

攻击者目标：将Cookie中的role=user改为role=admin。

攻击过程：

攻击者截获自己的加密Cookie（一串密文块）。

他并不直接尝试解密，而是开始篡改倒数第二个密文块（这个块会影响最后一个明文块的解密结果）。

他将篡改后的密文发送给服务器。

服务器会尝试解密。解密后的最后一个明文块很可能出现乱码，但关键在于：这个乱码的最后一个字节是否符合PKCS#7填充规则？

如果返回“填充错误”，说明攻击者猜的篡改值不对。

如果没有填充错误（哪怕返回“内容错误”），说明攻击者成功地让最后一个明文字节变成了0x01（一个合法的单字节填充）。

通过反复试探，攻击者可以确定是哪个值让最后一个字节变成了0x01。利用这个信息，结合CBC的解密公式，他可以计算出原始明文的最后一个字节。

然后，他可以将目标调整为推算倒数第二个字节、第三个字节……最终完整破解出最后一个明文块（例如role=user）。

结果：攻击者无需密钥，仅通过观察服务器的错误信息，就恢复了部分或全部明文。更危险的是，在推算出明文后，他可以进一步构造出能实现自己目标（如role=admin）的合法密文。

防御措施：虽然可以使用“填充时统一返回通用错误”来缓解，但这需要对代码进行非常谨慎的全局修改，极易出错。

• 2. 不具有天然的完整性保护

CBC只提供机密性，不提供完整性。

问题：攻击者虽然不能直接读懂密文，但可以有选择地篡改它。由于CBC的链式结构，篡改一个密文块会导致其对应的明文块完全乱码，但下一个明文块会被“精准地”改变特定比特。

举例：加密的消息是“转账给Alice 100元”。攻击者通过篡改前一个密文块，可以使解密后的“Alice”变成乱码，但可以精准地将“100”中的某个比特翻转，变成“900元”。虽然上下文会乱，但关键数据可能被成功修改。

防御措施：必须额外使用HMAC等消息认证码（MAC）来提供完整性保护，即“Encrypt-then-MAC”模式。但这增加了系统的复杂度和出错风险（如著名的“密钥分离”问题）。

• 3. 不利于并行处理与随机访问

加密无法并行：因为加密过程需要前一个密文块，所以只能串行进行，在大数据量下影响性能。

解密可以并行，但…：解密时每个块可以独立计算，但如果你只需要解密第1000个块，也必须从第一个块开始按顺序解密到第999个块，才能得到正确的第1000个块的明文，不利于随机访问。

4 现代推荐：AEAD模式（如GCM， CCM）

正因为CBC的这些“历史包袱”，现代密码学协议（如TLS 1.3）和系统设计都推荐使用更先进的 AEAD模式。

以 GCM（Galois/Counter Mode） 为例，它如何完美解决CBC的问题：

彻底消除填充攻击：GCM基于CTR模式，根本不需要填充！无论明文多长，都无需填充至分块对齐，从根源上消灭了填充预言攻击的可能。

内置完整性认证：GCM在加密的同时会生成一个认证标签。任何对密文的篡改（哪怕一个比特）都会被验证环节发现，系统会直接拒绝整个消息。这提供了机密性和完整性的一站式解决方案。

高性能与并行化：加密过程可以完全并行化，非常适合现代CPU和高速网络。

5 小结

CBC比ECB安全：因为它通过链式反馈解决了模式泄露问题，提供了基本的语义安全性。

CBC不再被推荐：因为它遗留了两个设计时代的“原罪”：

对填充的依赖，导致了复杂且难以彻底防御的填充预言攻击。

机密性与完整性的分离，迫使开发者进行容易出错的组合（如Encrypt-then-MAC）。

对于新系统，密码学界和工程界的共识是：优先选择像GCM这样的AEAD模式。它们更安全（无填充攻击）、更高效（支持并行）、更简单（一体化认证）。

CBC仅存在于维护历史遗留系统或特定约束环境中，在新设计中应避免使用。国密标准中也对应推荐了GCM模式的变种（如基于SM4的GCM） 作为首选。