生日攻擊如何在 AUTH 和 UF-CMA 遊戲中發揮作用？

在 AUTH 和 UF-CMA 遊戲中，對手需要偽造密文或消息/標籤對才能贏得遊戲。給定一個加密方案 $ E $ 和 PRF $ F $ ， 讓 $ \hat{E} = C || F_k(C) $ 和 $ C = E(x) $ (encrypt-then-MAC with PRF as MAC)，生日攻擊是如何安裝的？我明白了，問就夠了~ $ \sqrt{2^n} $ 查詢以查找 MAC 中的衝突，但尚不清楚即使發生衝突，我們如何才能偽造新的密文/標籤對，因為如果我們發現了這樣的衝突，我們已經向 oracle 詢問了兩個衝突消息。我還看到瞭如何通過發現內部衝突來利用某些分組密碼，但是在一般情況下，生日攻擊是如何進行的呢？

沒有針對所有 PRF 的通用攻擊（正是由於您提到的原因——如果 PRF 在生日界限之外是安全的，則沒有攻擊）。

在實踐中使用的許多特定 PRF 方案都受到攻擊，正是因為那些特定的 PRF 方案在生日界限之外是不安全的*。*這些攻擊涉及利用特定 PRF 設計的特定細節（例如，發現內部衝突）。

引用自：https://crypto.stackexchange.com/questions/8434