QUIC 是否使用 96 位 MAC 標籤？如果是這樣，有什麼影響？

QUIC 是否使用 96 位 MAC 標籤？如果是這樣，關於偽造消息的影響是什麼？

人們可以爭論對手是否及時執行的安全性 $ 2^{96} $ 是否可行，目前的標準是要求128位安全（或至少112位）。但是，需要在範圍內發送的攻擊 $ 2^{90} $ 試圖偽造消息是不可行的。攻擊者的成功機率不應該超過合理的，但合理的也是主觀的。NIST 建議對於分組密碼操作模式，違規機率不應超過 $ 2^{-32} $ . 因此，使用隨機 IV，您只能使用 CTR 或 GCM 進行加密 $ 2^{32} $ 不同的消息（因為 IV 的長度為 96 並且您有生日問題）。對於 MAC 標籤，佔用 96 位就綽綽有餘了……

引用自：https://crypto.stackexchange.com/questions/48057