Provable-Security

是否存在資訊理論上安全的散列函式?

  • October 29, 2019

是否存在理論上安全的資訊散列函式?(存在我的意思是被發現/發明和實施,而不是它是否存在。)

@SqueamishOssifrage 在評論中提到的 Gilbert-MacWilliams-Sloane MAC 在理論上是安全的“供一次性使用”的資訊,代價是具有長度的散列 $ 2\ell $ 對於長度固定的消息 $ \ell. $

Poly1305 在理論上不是安全的資訊。

它更加靈活,基本上可以接受任意長度的輸入,並且機率低 $ p $ 被欺騙取決於四個因素, $ \delta,C,D,L $ 這本質上是 $ \delta $ 加上一個微小的校正因子,所以$$ p\leq \delta+f(L,D)2^{-106}. $$請參閱 Bernstein 的原始論文(Springer LNCS vol. 3557,也可在他的網站https://cr.yp.to/mac/poly1305-20050329.pdf上找到):

  • 一個最多可以有 $ C\leq 2^{64} $ 已驗證的消息
  • 消息具有最大長度 $ L. $
  • 一個人可以嘗試 $ D $ 偽造品
  • $ \delta $ 是將 AES 輸出與隨機排列區分開來的機率

首先,我們不知道是什麼 $ \delta $ 是。如果發現 AES 很弱,可以替換它,但最大的問題是,沒有辦法處理具有機率分佈的任意輸入長度的消息,這將使人們能夠定義資訊論安全性,這取決於熵,a定義良好的機率分佈泛函。

引用自:https://crypto.stackexchange.com/questions/75374