Я видел, как другие люди говорят, что Poly1305 имеет 128-битный уровень безопасности, но ничего не нашел об уровне безопасности ни того, ни другого.
Ну, с точки зрения уровня безопасности, есть две потенциальные атаки:
Тот, в котором вы пытаетесь подслушивать секретный ключ; безопасность как Poly1305, так и GMAC по существу такая же, как у базового блочного шифра.
Тот, где вы вводите подделку и надеетесь, что вам повезет - в обоих случаях, как только вы найдете подделку, которая будет принята (и имеет одноразовый номер, для которого у вас есть действительный тег), вы можете вывести внутренний $Ч$ значение (и которое позволит вам вносить изменения и в другие сообщения). Это имеет несколько менее 128 бит безопасности (при условии, что 128-битный тег) для обоих - с другой стороны, выполнение такой атаки потребует отправки много трафика к получателю, и получатель может просто не захотеть мириться с эксабайтами недействительных сообщений.
Каков уровень безопасности Poly1305 и GMAC? Являются ли они постквантово безопасными?
Хорошо известно, что если вы можете отправить запутанные незашифрованные текстовые сообщения в Poly1305 (или GMAC) и получить запутанное зашифрованное сообщение, вы можете легко взломать и то, и другое. С другой стороны, я (и многие другие) нахожу это чрезвычайно экзотическим сценарием, которого довольно легко избежать (на самом деле, мы в настоящее время не знаем, как его не избежать, т. как преднамеренно настроить систему, в которой может быть выполнена атака).
Помимо этого довольно экзотического сценария, у нас остались те же две атаки в квантовой области, что и в классической — мы могли бы попробовать алгоритм Гровера, чтобы попытаться взломать базовый блочный шифр — однако его легко защитить — либо использовать 256-битный ключ, или просто обратите внимание, что использование алгоритма Гровера против 128-битного по-прежнему очень сильно трудный...
