One-Time MAC 的數據塊長度和 q

當 128 位長的數據塊不可用於一次性 MAC 時：

1. 可以用 64 位代替嗎？
2. 應該 $ q $ 那麼> = 64位？例如 $ 2^{64}+5 $
3. 這是否可以進一步縮小到 32、16、……位？（塊大小和 $ q $ )

我發現的幾個理論來源：

1. https://www.youtube.com/watch?v=OMDDvINZNnE
2. http://www.crypto-it.net/eng/theory/mac.html

可以用 64 位代替嗎？

是的，但它降低了安全性。

假設消息長度為 $ L $ 塊，然後給定一個有效的消息，標籤對，攻擊者可以生成第二個消息/標籤對，該對將有可能進行身份驗證 $ L/q $ （當然，假設 $ L \le q $ ）。通過降低 $ q $ ，您正在增加攻擊者成功的可能性。

現在，您可以並行執行多次（使用不同的隨機值 $ k_1, k_2 $ 對於每個實例；讓我們舉例說明它是如何工作的。

例如，如果您使用單個 128 位 $ q $ ，你的消息長度是 $ \ell $ 字節（因此我們有 $ L = \ell/16 $ )，這意味著攻擊者可以成功 $ 2^{-132} \ell $ .

相反，如果你有一個 64 位 $ q $ ，並並行執行兩次，您的消息長度為 $ \ell $ 字節（等等 $ L = \ell/8 $ )，這意味著攻擊者可以成功 $ 2^{-134} \ell^2 $ （請注意，即使常數因子較小，這也總是較大，因為我們假設 $ \ell $ 是多個塊，所以 $ \ell \ge 16 $ ).

因為第二種情況將安全性降低為消息長度的平方，所以如果可能出現長消息，它的降級速度會顯著加快。它是否降級太快取決於a）可以容忍多少偽造機率，以及b）無論如何您的消息有多長。

這是否可以進一步縮小到 32、16、……位？（塊大小和 $ q $ )

是的，但是根據消息長度，您會遇到更快的降級。

引用自：https://crypto.stackexchange.com/questions/55878