更能抵抗隨機數重用的流式操作模式

是否可以創建一種流式操作模式，其中重用 nonce 不會破壞機密性？

在這個問題中，如果密文（部分）相同或不同，則允許流模式洩漏 - 就像在 CBC 操作模式中一樣。當然，除了密鑰和原始 nonce 之外，不允許引入其他秘密或隨機值。

我有一種感覺，這只能通過混合來自明文的資訊來實現，但這會使密碼的效率大大降低。

對於我的回答，我將區分兩種情況：a）“流式傳輸”是指“線上”，b）“流式傳輸”是指“可以加密任意大小的消息”。有關我在這裡使用的概念，請參閱CAESAR 調查文件。

---

不存在完全抗隨機數誤用的線上認證加密方案，即在隨機數重用時洩露的唯一資訊是兩條消息是否相同的方案。然而，有一個較弱的隨機數誤用抵抗概念，它允許“消息的最長公共前綴”被洩露。我認為這個概念對你來說可能就足夠了。

我在上面連結的調查文件列出了該屬性的一些候選結構，並且可能比這個答案更新（特別是如果第三輪候選人已經在）。

---

如果您願意允許離線方案（即在能夠輸出密文之前至少需要有關完整消息的一些資訊的方案），那麼您很幸運。這些方案有可能實現強大的隨機數誤用阻力。我在這個類別中看到的最新和最有效的範例（具有完整的安全證明）是Gueron 和 Lindell 的 GCM-SIV。

引用自：https://crypto.stackexchange.com/questions/18568