Authenticated-Encryption
為什麼 TinyJAMBU-128 只聲稱 112 位安全性?
我正在嘗試了解 TinyJAMBU-128 的安全級別。
如本文件第 12 頁的表 4.1 所示,TinyJAMBU-128 聲稱具有 112 位安全性。但是,它有一個 128 位密鑰。我們是如何失去 16 位密鑰的?什麼是明顯的攻擊 $ 2^{112} $ 時間複雜度?
我相信這只是為了滿足NIST 對輕量級密碼提出的送出要求的聲明。請注意,問題中連結的論文指的是“安全目標”。
根據第 3.1 節:
AEAD 算法不應指定小於 128 位的密鑰長度。對 AEAD 算法的密碼分析攻擊至少需要 $ {2}^{112} $ 在單鍵設置的經典電腦上進行計算。如果支持大於 128 位的密鑰大小,建議至少有一個推薦參數集的密鑰大小為 256 位,並且其對密碼分析攻擊的抵抗力至少為 $ 2^{224} $ 在單鍵設置的經典電腦上進行計算。
請注意,這些是 2018 年的最終送出要求。似乎 192 位的數字是從 256 位的要求推導出來的,或者可能是參考了早期的要求。
我無法理解作者的想法,但除了 112 位安全性足以滿足其他答案中指出的送出要求之外,與密鑰大小相比,有理由在所聲稱的內容中採取較小的安全餘量:
- 如果攻擊的成本略低於蠻力,該算法仍將完全完好無損。與 AES-128 相比,它在技術上被 Andrey Bogdanov、Dmitry Khovratovich、Christian Rechberger 的完整 AES 的 Biclique 密碼分析(在AsiaCrypt 2011的會議記錄中)破壞,成本 $ 2^{126.1} $ 加密( $ \lesssim 2 $ 位內 $ 128 $ ).
- 對於許多加密算法,與純暴力破解相比,可以節省少量費用。例如,在 DES 中,可以通過以精心選擇的順序列舉鍵來加速鍵搜尋,從而允許記憶體較早的結果,例如第一個外輪(用於DESCHALL,請參閱 Rocke Verser 的方法)。如果我們以輪次或 S-box 訪問來計算成本,這算作中斷,並證明從安全聲明中刪除一小部分是合理的。