Score:0

ระดับความปลอดภัยของ Poly1305 และ GMAC

ธง eg

เอกสาร Libsodium รายการ ขีดจำกัดการปลอมแปลง AEAD สำหรับ ChaCha20Poly1305 และ AES-GCM ซึ่งดูเหมือนเป็นระดับความปลอดภัย < 128 บิต แต่บอกว่าไม่ใช่เรื่องที่ต้องกังวลในทางปฏิบัติ ฉันเคยเห็นคนอื่นพูดว่า Poly1305 มีระดับความปลอดภัย 128 บิต แต่ยังไม่พบอะไรมากนักเกี่ยวกับระดับความปลอดภัยของทั้งสองอย่าง นอกจากนี้ยังมีข้อมูลที่ผสมกันเกี่ยวกับความปลอดภัยภายหลังควอนตัมของทั้งสอง

ระดับความปลอดภัยของ Poly1305 และ GMAC คืออะไร มีความปลอดภัยหลังควอนตัมหรือไม่?

kelalaka avatar
in flag
Realted [Poly1305-AES กับ AES-GCM](https://crypto.stackexchange.com/q/43112/18298)[GCM (หรือ GHASH) ให้การรักษาความปลอดภัยแบบ 64 บิตเท่านั้นต่อการปลอมแปลงหรือไม่](https://crypto.stackexchange.com/q/67261/18298)
Score:2
ธง my

ฉันเคยเห็นคนอื่นพูดว่า Poly1305 มีระดับความปลอดภัย 128 บิต แต่ยังไม่พบอะไรมากนักเกี่ยวกับระดับความปลอดภัยของทั้งสองอย่าง

ในแง่ของระดับความปลอดภัย มีการโจมตีที่เป็นไปได้สองแบบ:

  • สิ่งที่คุณพยายามเป็นผู้แอบดูเพื่อกู้คืนรหัสลับ ความปลอดภัยของทั้ง Poly1305 และ GMAC นั้นโดยพื้นฐานแล้วจะเหมือนกันกับการเข้ารหัสบล็อกพื้นฐาน

  • หนึ่งที่คุณใส่ของปลอมและหวังว่าคุณจะโชคดี - ในทั้งสองกรณี เมื่อคุณพบของปลอมที่ได้รับการยอมรับ (และมี nonce ว่าคุณมีแท็กที่ถูกต้อง) คุณสามารถอนุมานได้ภายใน $H$ ค่า (ซึ่งจะช่วยให้คุณสามารถเปลี่ยนแปลงข้อความอื่นๆ ได้เช่นกัน) สิ่งนี้มีการรักษาความปลอดภัยน้อยกว่า 128 บิต (สมมติว่าเป็นแท็ก 128 บิต) สำหรับทั้งสอง - ในทางกลับกัน การดำเนินการโจมตีดังกล่าวจะต้องส่ง มาก ของทราฟฟิกไปยังผู้รับ และผู้รับก็อาจไม่เต็มใจที่จะทนกับข้อความที่ไม่ถูกต้องจำนวนหลายไบต์

ระดับความปลอดภัยของ Poly1305 และ GMAC คืออะไร มีความปลอดภัยหลังควอนตัมหรือไม่?

เป็นที่ทราบกันดีว่าหากคุณสามารถส่งข้อความธรรมดาที่พันกันยุ่งเหยิงไปยัง Poly1305 (หรือ GMAC) และได้รับข้อความที่เข้ารหัสพันกันยุ่งเหยิง คุณก็สามารถทำลายทั้งสองอย่างได้อย่างง่ายดาย ในทางกลับกัน ฉัน (และคนอื่นๆ อีกหลายคน) พบว่านี่เป็นสถานการณ์ที่แปลกใหม่มาก และเป็นสิ่งที่หลีกเลี่ยงได้ง่ายมาก (อันที่จริง ขณะนี้เราไม่รู้ว่าควรหลีกเลี่ยงอย่างไร นั่นคือ เราไม่รู้ว่า วิธีการจงใจตั้งค่าระบบที่สามารถดำเนินการโจมตีได้)

นอกเหนือจากสถานการณ์ที่ค่อนข้างแปลกใหม่นั้น เราเหลือการโจมตีสองครั้งแบบเดียวกันในขอบเขตควอนตัมเหมือนที่เรามีในคลาสสิก - เราสามารถลองใช้อัลกอริทึมของ Grover เพื่อพยายามทำลายรหัสลับของบล็อกพื้นฐาน - อย่างไรก็ตาม การป้องกันนั้นทำได้ง่าย - ใช้ a คีย์ 256 บิตที่นั่น หรือเพียงแค่ทราบว่าการใช้อัลกอริทึมของ Grover กับ 128 บิตยังคงอยู่ อย่างที่สุด ยาก...

eg flag
ขอบคุณสำหรับคำตอบที่ยอดเยี่ยมนี้!

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา