Рейтинг:0

Уровень безопасности Poly1305 и GMAC

флаг eg

Документы Libsodium список ограничения на подделку AEAD для ChaCha20Poly1305 и AES-GCM, которые кажутся <128-битным уровнем безопасности, но говорят, что это не имеет практического значения. Я видел, как другие люди говорят, что Poly1305 имеет 128-битный уровень безопасности, но ничего не нашел об уровне безопасности ни того, ни другого. Есть также смешанная информация о постквантовой безопасности обоих.

Каков уровень безопасности Poly1305 и GMAC? Являются ли они постквантово безопасными?

kelalaka avatar
флаг in
Realted [Poly1305-AES против AES-GCM] (https://crypto.stackexchange.com/q/43112/18298).[Обеспечивает ли GCM (или GHASH) только 64-битную защиту от подделок?] (https://crypto.stackexchange.com/q/67261/18298)
Рейтинг:2
флаг my

Я видел, как другие люди говорят, что Poly1305 имеет 128-битный уровень безопасности, но ничего не нашел об уровне безопасности ни того, ни другого.

Ну, с точки зрения уровня безопасности, есть две потенциальные атаки:

  • Тот, в котором вы пытаетесь подслушивать секретный ключ; безопасность как Poly1305, так и GMAC по существу такая же, как у базового блочного шифра.

  • Тот, где вы вводите подделку и надеетесь, что вам повезет - в обоих случаях, как только вы найдете подделку, которая будет принята (и имеет одноразовый номер, для которого у вас есть действительный тег), вы можете вывести внутренний $Ч$ значение (и которое позволит вам вносить изменения и в другие сообщения). Это имеет несколько менее 128 бит безопасности (при условии, что 128-битный тег) для обоих - с другой стороны, выполнение такой атаки потребует отправки много трафика к получателю, и получатель может просто не захотеть мириться с эксабайтами недействительных сообщений.

Каков уровень безопасности Poly1305 и GMAC? Являются ли они постквантово безопасными?

Хорошо известно, что если вы можете отправить запутанные незашифрованные текстовые сообщения в Poly1305 (или GMAC) и получить запутанное зашифрованное сообщение, вы можете легко взломать и то, и другое. С другой стороны, я (и многие другие) нахожу это чрезвычайно экзотическим сценарием, которого довольно легко избежать (на самом деле, мы в настоящее время не знаем, как его не избежать, т. как преднамеренно настроить систему, в которой может быть выполнена атака).

Помимо этого довольно экзотического сценария, у нас остались те же две атаки в квантовой области, что и в классической — мы могли бы попробовать алгоритм Гровера, чтобы попытаться взломать базовый блочный шифр — однако его легко защитить — либо использовать 256-битный ключ, или просто обратите внимание, что использование алгоритма Гровера против 128-битного по-прежнему очень сильно трудный...

флаг eg
Спасибо за этот отличный ответ!

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.