Nonce
如果在 ChaCha20-Poly1305 中重複使用 nonce 會發生什麼?
在 ChaCha20-Poly1305 中,我知道重用 nonce 會失去所有使用 (key, nonce) 對加密的消息的機密性和完整性。
但是,那些使用相同密鑰但不同隨機數加密的消息的安全性會受到影響嗎?
如果您重用一個 nonce,您將失去該 nonce 消息的機密性。帶有其他 nonce 的消息保留其機密性。
但是,攻擊者也可以攻擊 MAC 部分(Poly1305)並生成第三個或更多具有相同隨機數的消息。請參閱:Poly1305 因其“猝死”特性而廣受歡迎?
因此,除非您有辦法在將來排除帶有該隨機數的消息,例如由於協議每次都強制執行一個新的隨機數,否則您不能再信任使用該密鑰加密的消息。如果可以排除它們,則無法偽造具有其他 nonce 的消息,因為 MAC 密鑰是由加密密鑰和 nonce 生成的。