Salsa20-GCM 組合物是否安全？

AES-GCM似乎每個人都在使用，但我從未見過一篇關於Salsa20-GCM. 它安全嗎？維基百科提到GCM使用分組密碼，但也提到它使用CTR模式。

我正在尋找可以在我的項目文件中引用的權威引用，但也歡迎個人意見和論點。

正如 SOJPM 在他們的回答中所說，AES-GCM 的證明假設 AES 是 PRP。我無法相信有任何證據表明使用 PRF（可能被截斷）會破壞事情——但我沒有仔細尋找這一點。根據 GCM 證明的結構，（使用/不使用）PRP/PRF 切換引理

$$ 1 $$可能就足夠了，但我記得不太清楚，不能肯定地說。 我認為你會找到最接近的參考是

$$ 2 $$，它分析了 IETF 協議中的 ChaCha20-Poly1305 構造$$ 3 $$. 由於 ChaCha20 和 Salsa20 都可以假設為 PRF，因此這種變化並不顯著；同樣，GMAC 和 Poly1305 基本相同（基於多項式評估雜湊的 MAC）。然而，該方案在$$ 1 $$不完全是ChaCha20-GCM；除非您想深入研究 GCM 證明（或者檢查 PRF 在每個點上是否正常，或者您可以使用/不使用 PRP/PRF 引理）我認為這是您會發現的最接近的分析方案。 $$ 1 $$ https://eprint.iacr.org/2004/331 $$ 2 $$ https://eprint.iacr.org/2014/613 $$ 3 $$ https://datatracker.ietf.org/doc/html/draft-irtf-cfrg-chacha20-poly1305-10

引用自：https://crypto.stackexchange.com/questions/24838