Aes
你能用第二個 AES 打敗 AES-CTR 的生日邊界嗎?
然後考慮生成器:-
$$ \operatorname{AES_{k1}}(n) \oplus \operatorname{AES_{k2}}(n) $$
在哪裡 $ k1 \ne k2 $ , 和 $ n $ 是單個計數器變數。我們注意確保兩者之間沒有任何關係 $ k1 $ 和 $ k2 $ . 如果這確實創建了一個偽隨機函式,AES-CTR 輸出的生日邊界會被克服嗎?
是的。的數量 $ n $ -您可以使用此結構加密的位塊與 $ 2^n $ 而不僅僅是 $ 2^{n/2} $ . 因此,對於 AES,這應該不是問題,因為您無法處理附近的任何東西 $ 2^{128} $ 塊。
可以使用類似於 AES-CTR 的東西從 PRF 建構安全流密碼。
AES 被描述為 PRP 比 PRF 更準確,但如果允許攻擊者在給定密鑰下進行的查詢數量遠少於 PRF,則這種區別並不重要。 $ 2^{64} $ .
(參見 PRF 切換引理。如果攻擊者可以進行的查詢數量遠少於 $ 2^{n/2} $ ,那麼替換一個是安全的 $ n $ 用於 PRF 的位 PRP。這就是 AES-CTR 限制的來源。)
然而,已經證明兩個 PRP 的 XOR 是一個安全的 PRF,而不是最多 $ \mathcal{O}(2^n) $ 查詢。1 2
讀者請注意,這並不是說你可以精確地使用 $ 2^n $ 塊。出於這個原因,我強烈反對在這種結構中使用具有較小塊(如 DES、Simon 或 Speck)的塊密碼算法。(或任何其他模式,我想。)