密鑰送出 AES-GCM

有少數針對 AEAD 的攻擊，尤其是 GCM，這表明它對攻擊者是可行的 $ \mathcal{A} $ 獲取密文 $ C $ 加密到多個密鑰/消息對 $ (k_i, M_i) $ . 這通常被稱為 AES-GCM not being key-committing。現在，我對可能的攻擊性質有點困惑，我是否理解正確 $ \mathcal{A} $ 需要能夠“修改”密文 $ C $ 能夠執行概述的攻擊？或者是否也有可能 $ \mathcal{A} $ ，給定一個固定的 $ C $ 加密 $ m_1 $ 在下面 $ k_1 $ , 獲得另一個解密 $ m_2 $ 產生 $ C $ 在另一個鍵下 $ k_2 $ ?

我理解正確嗎 $ \mathcal{A} $ 需要能夠“修改”密文 $ C $ 能夠執行概述的攻擊？

不，這些攻擊假定攻擊者生成 $ C $ ; 他拿了幾把鑰匙 $ k_1, k_2, …, k_n $ ，並使用這些，生成密文 $ C $ 在所有這些下成功“解密”（即完整性標籤檢查成功）。

或者是否也有可能 $ \mathcal{A} $ ，給定一個固定的 $ C $ 加密 $ m_1 $ 在下面 $ k_1 $ , 獲得另一個解密 $ m_2 $ 產生 $ C $ 在另一個鍵下 $ k_2 $ ?

我們不知道該怎麼做；我們所知道的攻擊要求攻擊者在選擇上有一定的靈活性 $ C $ . 現在，他不需要指定整個值；他確實需要指定至少 2 個 16 字節的塊來構造一個 $ C $ 這將在兩個不同的密鑰下解密）。

引用自：https://crypto.stackexchange.com/questions/100699