Authenticated-Encryption
QUIC 是否使用 96 位 MAC 標籤?如果是這樣,有什麼影響?
QUIC 是否使用 96 位 MAC 標籤?如果是這樣,關於偽造消息的影響是什麼?
人們可以爭論對手是否及時執行的安全性 $ 2^{96} $ 是否可行,目前的標準是要求128位安全(或至少112位)。但是,需要在範圍內發送的攻擊 $ 2^{90} $ 試圖偽造消息是不可行的。攻擊者的成功機率不應該超過合理的,但合理的也是主觀的。NIST 建議對於分組密碼操作模式,違規機率不應超過 $ 2^{-32} $ . 因此,使用隨機 IV,您只能使用 CTR 或 GCM 進行加密 $ 2^{32} $ 不同的消息(因為 IV 的長度為 96 並且您有生日問題)。對於 MAC 標籤,佔用 96 位就綽綽有餘了……