Aes
Poly1305 和 GMAC 的安全級別
Libsodium 文件列出了 ChaCha20Poly1305 和 AES-GCM 的 AEAD 偽造限制,這似乎是一個 < 128 位的安全級別,但表示這不是一個實際問題。我看到其他人說 Poly1305 具有 128 位的安全級別,但對兩者的安全級別都沒有發現太多。關於兩者的後量子安全性也有不同的資訊。
Poly1305 和 GMAC 的安全級別是多少?它們是後量子安全的嗎?
我看到其他人說 Poly1305 具有 128 位的安全級別,但對兩者的安全級別都沒有發現太多。
那麼,就安全級別而言,有兩種潛在的攻擊:
- 您嘗試作為竊聽者恢復密鑰的一種;Poly1305 和 GMAC 的安全性與底層分組密碼基本相同。
- 一個你注入偽造品並希望你幸運的地方——在這兩種情況下,一旦你找到了一個被接受的偽造品(並且有一個你有有效標籤的隨機數),你就可以推斷出內部 $ H $ 值(這也將允許您對其他消息進行更改)。這兩者的安全性略低於 128 位(假設標籤為 128 位) - 另一方面,執行此類攻擊將需要向接收器發送大量流量,而接收器可能不願意放最多有 EB 的無效消息。
Poly1305 和 GMAC 的安全級別是多少?它們是後量子安全的嗎?
好吧,眾所周知,如果您可以將糾纏的明文消息發送到 Poly1305(或 GMAC),並獲得糾纏的加密消息,那麼您也可以輕鬆破解。另一方面,我(和許多其他人)發現這是一個非常奇特的場景,而且很容易避免(事實上,我們目前不知道如何不避免它——也就是說,我們不知道如何故意設置一個可以執行攻擊的系統)。
除了那個相當奇特的場景之外,我們在量子領域留下了與經典相同的兩次攻擊——我們可以嘗試 Grover 的算法來嘗試破解底層的分組密碼——但這很容易防禦——要麼使用那裡有 256 位密鑰,或者只是注意使用 Grover 的算法來處理 128 位仍然非常困難……