Stream-Cipher

更能抵抗隨機數重用的流式操作模式

  • March 17, 2016

是否可以創建一種流式操作模式,其中重用 nonce 不會破壞機密性?

在這個問題中,如果密文(部分)相同或不同,則允許流模式洩漏 - 就像在 CBC 操作模式中一樣。當然,除了密鑰和原始 nonce 之外,不允許引入其他秘密或隨機值。

我有一種感覺,這只能通過混合來自明文的資訊來實現,但這會使密碼的效率大大降低。

對於我的回答,我將區分兩種情況:a)“流式傳輸”是指“線上”,b)“流式傳輸”是指“可以加密任意大小的消息”。有關我在這裡使用的概念,請參閱CAESAR 調查文件


不存在完全抗隨機數誤用的線上認證加密方案,即在隨機數重用時洩露的唯一資訊是兩條消息是否相同的方案。然而,有一個較弱的隨機數誤用抵抗概念,它允許“消息的最長公共前綴”被洩露。我認為這個概念對你來說可能就足夠了。

我在上面連結的調查文件列出了該屬性的一些候選結構,並且可能比這個答案更新(特別是如果第三輪候選人已經在)。


如果您願意允許離線方案(即在能夠輸出密文之前至少需要有關完整消息的一些資訊的方案),那麼您很幸運。這些方案有可能實現強大的隨機數誤用阻力。我在這個類別中看到的最新和最有效的範例(具有完整的安全證明)是Gueron 和 Lindell 的 GCM-SIV

引用自:https://crypto.stackexchange.com/questions/18568