Randomness
poly1305 身份驗證器可以與隨機數據區分開來嗎?
假設 Alice 驗證了一條消息 $ M $ 隨機數 $ N $ 和秘鑰 $ K $ , 創建驗證器 $ A $ . 然後她發送 $ A $ 整個網路。
Poly1305論文似乎沒有說明對手是否可能 $ A $ , 來判斷是否 $ A $ 只是隨機字節或具有 poly1305 輸出的特徵。
對於對否認性感興趣的人來說,這是一個重要的區別。poly1305 身份驗證器可以與隨機數據區分開來嗎?
不,它們無法與隨機區分開來。
Poly1305-AES 認證器定義為:
$$ (((c_1 r^q + c_2 r^{q−1} + … + c_q r^1 ) \bmod {(2^{130} - 5)}) + \operatorname{AES}_k (N)) \bmod 2^{128} $$ 因為它是 AES 輸出和其他一些模數的總和 $ 2^{128} $ ,如果是 PRF:
- AES 輸出是 PRF 和
- 這兩個數是獨立的。
AES輸出看起來像PRF只要你看到小於~ $ 2^{64} $ 其中和 $ k $ 和 $ r $ 要求是獨立的(因為它們是從均勻分佈中選擇的),因此至少只要您看到明顯少於 $ 2^{64} $ 其中。