Post-Quantum-Cryptography
認證加密量子的GCM模式是否安全?
關於後量子對稱加密,建議使用 AES-256 或具有 256 位密鑰的類似密碼。經過身份驗證的加密如何受到影響?AES-256-GCM 是否被認為是量子安全的?後量子認證加密的其他替代方案是什麼?
AES-256-GCM 是否被認為是量子安全的?
對於最常見的情況,是的。
實際上,這取決於您的攻擊模型。如果您的攻擊模型是允許攻擊者對您的 GCM 實現執行糾纏查詢,並返回糾纏響應,那麼,不,已知 GCM 對這種模型不安全;攻擊者可以在解密 Oracle 上使用 Grover 算法來找到第二個有效的密文/標籤,其中包含先前看到的隨機數 $ O(2^{64}) $ 工作。
另一方面,攻擊模型很少適用。糾纏非常微妙,為了使這種攻擊模型起作用,需要使用量子糾錯來實現解密預言機。通常情況下,實現不會在一定程度上幫助對手,因此它需要作為量子電腦的一部分來實現(以便對手可以在預言機中實現量子糾錯)。唯一可行的方法是攻擊白盒 GCM 實現(因此您無法簡單地檢查實現並提取密鑰)。
在標準場景下,允許攻擊者對預言機進行正常查詢,並獲得標準響應,則適用 GCM 的標准證明;除非他們能夠將 AES 與隨機排列區分開來,否則他們無法以非平凡的機率生成有效的密文/標籤對;使用 256 位 AES 密鑰意味著 Grover 的算法將採用 $ O(2^{128}) $ 時間,這通常被認為是不可行的。