閃電網路雜訊協議框架中 ChaChaPoly (IETF rfc7539) 的安全性

根據這篇論文，ChaChaPoly 對選定的已知明文攻擊是安全的。然而，我想知道這種安全假設是否會被大大削弱，因為在閃電網路的傳輸層上發送的消息以 16 位長度欄位開頭，其中HMAC 來自 ChaChaPoly。（然後是實際的閃電消息，然後是有效載荷的 HMAC，我目前不關心）

由於閃電消息的潛在長度只有一小部分固定，我們可以猜測長度欄位的明文。特別是，我想知道對 可能已知明文的 16 位數據執行此處定義的像 ChaChaPoly 這樣的分組密碼有什麼影響？

如前所述，我不是密碼學專家，但我不確定此特定設置是否不會危及傳輸層的安全性，可能會暴露會話密鑰，從而使攻擊者可以解密多達 500 條消息甚至欺騙數據。有沒有人研究過這個問題或者可以給我一個為什麼我們的設置不會產生安全問題的原因？

您引用的論文證明 ChaChaPoly 是 IND-CCA 安全的。如果我正確閱讀了定義（ https://en.wikipedia.org/wiki/Ciphertext_indistinguishability ） ，這種安全概念似乎完全涵蓋了您的攻擊：“如果沒有對手，加密系統在不可區分性方面被認為是安全的，因為加密從對手確定的二元消息空間中隨機選擇一條消息，其辨識消息選擇的機率明顯優於隨機猜測（​1⁄2）。”。

也就是說，即使只存在兩個這樣的長度，攻擊者也無法猜測此處加密哪一個比隨機加密好得多。

引用自：https://bitcoin.stackexchange.com/questions/85405