隨機預言機模型中是否有任何實際安全的協議在實踐中被破壞？

儘管在實際實現中使用了良好的散列函式，是否有任何協議在隨機預言模型中被證明是安全的，然後在實踐中被破壞？

一個真實的例子是 RMAC。這是在這個 NIST 標準中提出的，並且在Knudsen 和 Kohno的 RMAC 分析論文中顯示在實踐中的一些實例被破壞。該構造在論文中的隨機預言模型中被證明是安全的：On the Security of Randomized CBC–MAC Beyond the Birthday Paradox Limit: A New Construction from FSE 2002。（雖然，當使用分組密碼實例化時，它更像是理想的密碼模型。）

另一個不太令人信服的例子是通過計算生成 MAC $ SHA(K|M) $ 這很容易受到擴展攻擊，但在隨機預言模型中是安全的。這不太令人信服，因為大多數人都知道這很容易受到擴展攻擊。

引用自：https://crypto.stackexchange.com/questions/32819