ระดับความปลอดภัยของ Poly1305 และ GMAC

ฉันเคยเห็นคนอื่นพูดว่า Poly1305 มีระดับความปลอดภัย 128 บิต แต่ยังไม่พบอะไรมากนักเกี่ยวกับระดับความปลอดภัยของทั้งสองอย่าง

ในแง่ของระดับความปลอดภัย มีการโจมตีที่เป็นไปได้สองแบบ:

• สิ่งที่คุณพยายามเป็นผู้แอบดูเพื่อกู้คืนรหัสลับ ความปลอดภัยของทั้ง Poly1305 และ GMAC นั้นโดยพื้นฐานแล้วจะเหมือนกันกับการเข้ารหัสบล็อกพื้นฐาน

• หนึ่งที่คุณใส่ของปลอมและหวังว่าคุณจะโชคดี - ในทั้งสองกรณี เมื่อคุณพบของปลอมที่ได้รับการยอมรับ (และมี nonce ว่าคุณมีแท็กที่ถูกต้อง) คุณสามารถอนุมานได้ภายใน $H$ ค่า (ซึ่งจะช่วยให้คุณสามารถเปลี่ยนแปลงข้อความอื่นๆ ได้เช่นกัน) สิ่งนี้มีการรักษาความปลอดภัยน้อยกว่า 128 บิต (สมมติว่าเป็นแท็ก 128 บิต) สำหรับทั้งสอง - ในทางกลับกัน การดำเนินการโจมตีดังกล่าวจะต้องส่ง มาก ของทราฟฟิกไปยังผู้รับ และผู้รับก็อาจไม่เต็มใจที่จะทนกับข้อความที่ไม่ถูกต้องจำนวนหลายไบต์

ระดับความปลอดภัยของ Poly1305 และ GMAC คืออะไร มีความปลอดภัยหลังควอนตัมหรือไม่?

เป็นที่ทราบกันดีว่าหากคุณสามารถส่งข้อความธรรมดาที่พันกันยุ่งเหยิงไปยัง Poly1305 (หรือ GMAC) และได้รับข้อความที่เข้ารหัสพันกันยุ่งเหยิง คุณก็สามารถทำลายทั้งสองอย่างได้อย่างง่ายดาย ในทางกลับกัน ฉัน (และคนอื่นๆ อีกหลายคน) พบว่านี่เป็นสถานการณ์ที่แปลกใหม่มาก และเป็นสิ่งที่หลีกเลี่ยงได้ง่ายมาก (อันที่จริง ขณะนี้เราไม่รู้ว่าควรหลีกเลี่ยงอย่างไร นั่นคือ เราไม่รู้ว่า วิธีการจงใจตั้งค่าระบบที่สามารถดำเนินการโจมตีได้)

นอกเหนือจากสถานการณ์ที่ค่อนข้างแปลกใหม่นั้น เราเหลือการโจมตีสองครั้งแบบเดียวกันในขอบเขตควอนตัมเหมือนที่เรามีในคลาสสิก - เราสามารถลองใช้อัลกอริทึมของ Grover เพื่อพยายามทำลายรหัสลับของบล็อกพื้นฐาน - อย่างไรก็ตาม การป้องกันนั้นทำได้ง่าย - ใช้ a คีย์ 256 บิตที่นั่น หรือเพียงแค่ทราบว่าการใช้อัลกอริทึมของ Grover กับ 128 บิตยังคงอยู่ อย่างที่สุด ยาก...