Gcm
在 GCM 身份驗證的情況下,對手的優勢是什麼?
Philip Rogaway 為 CCM 模式編寫了一個公式,其中對手的優勢為:
$$ adversary_advantage \leq \frac{q_{dec}}{2^t} + \frac{\sigma^2}{2^b} $$ 我們可以使用這個公式來查找 GCM 數據完整性嗎?GCM模式有類似的文件嗎?
我們可以使用這個公式來查找 GCM 數據完整性嗎?
**不可以。**這個限制只適用於 CCM,不能輕易轉移到其他模式,因為它取決於每個模式不同的安全證明。
GCM模式有類似的文件嗎?
Iwata、Ohashi 和 Minematsu(2012 年)的“Breaking and Repairing GCM Security Proofs”具有 GCM 的目前安全證明。在第 7 節中,您將找到各種安全界限。正如您在此處特別要求的真實性界限(定理 2),它是:
$$ \mathbf{Adv}^{\text{auth}}_{\operatorname{GCM}[\operatorname{Perm}(n),\tau]}\leq \frac{(\sigma+q+q’+1)^2}{2^{n+1}}+\frac{(q+q’+1)(\sigma+q)(l_N+1)}{2^{n-22}}+\frac{q’(l_A+1)}{2^\tau} $$ 在哪裡
- $ \tau $ 是身份驗證標籤的長度(以位為單位)。
- $ n $ 是以位為單位的置換的塊大小,例如 AES 為 128。
- $ q $ 是回答的加密查詢數的上限。
- $ q’ $ 是回答的解密查詢數的上限。
- $ \sigma $ 是明文塊的總數(即不包括相關的數據塊,只考慮加密查詢)。
- $ l_N $ 是塊中隨機數長度的上限。
- $ l_A $ 是塊中輸入長度的上限,包括相關數據和明文(對於解密查詢,將“明文”替換為“密文”)
如果這些變數描述對您來說“太模糊”,第 7.3 節的開頭將它們作為更正式的定義。