GCM 的身份驗證密鑰恢復如何工作？

在他的論文“ GCM 中的身份驗證弱點”中，Ferguson 描述瞭如何將錯誤多項式的某些位設置為零，從而顯著增加偽造的機會。

問：詳細是什麼意思？所得到的方程並沒有完全解決獲得偽造的問題，而是顯著減少了解空間？所以我們可以修復錯誤多項式的一些位，而其餘位必須通過反複試驗來測試？

據說，（例如）之後 $ 2^{16} $ 試驗我們期待成功的偽造。接下來的內容我不明白：不知何故，通過重複一些策略，可以獲得越來越多的關於 H 的資訊。

問：用不同的密碼重複？我只需要一個加密結果還是多個不同的加密結果？

問：這是很有趣的東西，但是除了原始論文我找不到任何文獻，這更詳細地解釋了這個想法。是否有其他來源，我可以在其中以“更有教學準備的方式”了解這個想法背後的內容？

如果有人能對此有所了解並可能給我一個閱讀材料的連結，我會很高興。

這樣，通過獲取經過身份驗證的消息，並對消息應用精心設計的差異，您可以確保保留身份驗證標籤的一半位。您可以對您擷取（或可能導致）或（更相關）線性問題的不同解決方案的不同驗證密文重複攻擊，因為它未指定。

這一切都假設您能夠向受害者發送修改後的消息並在身份驗證成功時獲得回饋。

當偽造成功時，它會顯示有關身份驗證密鑰的資訊，然後我們可以再次嘗試偽造，並增加成功機率。並重複，直到我們收集線性約束並恢復身份驗證密鑰

引用自：https://crypto.stackexchange.com/questions/92163