為什麼 TinyJAMBU-128 只聲稱 112 位安全性？

我正在嘗試了解 TinyJAMBU-128 的安全級別。

如本文件第 12 頁的表 4.1 所示，TinyJAMBU-128 聲稱具有 112 位安全性。但是，它有一個 128 位密鑰。我們是如何失去 16 位密鑰的？什麼是明顯的攻擊 $ 2^{112} $ 時間複雜度？

我相信這只是為了滿足NIST 對輕量級密碼提出的送出要求的聲明。請注意，問題中連結的論文指的是“安全目標”。

根據第 3.1 節：

AEAD 算法不應指定小於 128 位的密鑰長度。對 AEAD 算法的密碼分析攻擊至少需要 $ {2}^{112} $ 在單鍵設置的經典電腦上進行計算。如果支持大於 128 位的密鑰大小，建議至少有一個推薦參數集的密鑰大小為 256 位，並且其對密碼分析攻擊的抵抗力至少為 $ 2^{224} $ 在單鍵設置的經典電腦上進行計算。

請注意，這些是 2018 年的最終送出要求。似乎 192 位的數字是從 256 位的要求推導出來的，或者可能是參考了早期的要求。

我無法理解作者的想法，但除了 112 位安全性足以滿足其他答案中指出的送出要求之外，與密鑰大小相比，有理由在所聲稱的內容中採取較小的安全餘量：

• 如果攻擊的成本略低於蠻力，該算法仍將完全完好無損。與 AES-128 相比，它在技術上被 Andrey Bogdanov、Dmitry Khovratovich、Christian Rechberger 的完整 AES 的 Biclique 密碼分析（在AsiaCrypt 2011的會議記錄中）破壞，成本 $ 2^{126.1} $ 加密（ $ \lesssim 2 $ 位內 $ 128 $ ).
• 對於許多加密算法，與純暴力破解相比，可以節省少量費用。例如，在 DES 中，可以通過以精心選擇的順序列舉鍵來加速鍵搜尋，從而允許記憶體較早的結果，例如第一個外輪（用於DESCHALL，請參閱 Rocke Verser 的方法）。如果我們以輪次或 S-box 訪問來計算成本，這算作中斷，並證明從安全聲明中刪除一小部分是合理的。

引用自：https://crypto.stackexchange.com/questions/87053