Am văzut alți oameni spunând că Poly1305 are un nivel de securitate de 128 de biți, dar nu au găsit prea multe despre nivelul de securitate al niciunuia.
Ei bine, în ceea ce privește nivelul de securitate, există două atacuri potențiale:
Unul în care încerci ca un evesdropper să recuperezi cheia secretă; securitatea atât a Poly1305, cât și a GMAC este în esență aceeași cu cifrul bloc de bază.
Una în care injectați un fals și sperați să aveți noroc - în ambele cazuri, odată ce ați găsit un fals care este acceptat (și are un nonce pentru care aveți eticheta valabilă), puteți deduce $H$ valoare (și care v-ar permite să faceți modificări și pentru alte mesaje). Aceasta are o securitate ceva mai mică de 128 de biți (presupunând o etichetă de 128 de biți) pentru ambele - pe de altă parte, executarea unui astfel de atac ar necesita trimiterea unui lot de trafic către receptor, iar receptorul ar putea să nu fie dispus să suporte exaocteți de mesaje nevalide.
Care este nivelul de securitate al Poly1305 și GMAC? Sunt ele sigure post-cuantice?
Ei bine, se știe că, dacă puteți trimite mesaje text simplu încurcate către Poly1305 (sau GMAC) și puteți obține un mesaj criptat încurcat, puteți rupe cu ușurință oricare dintre ele. Pe de altă parte, eu (și mulți alții) găsesc acesta un scenariu extrem de exotic și unul destul de ușor de evitat (de fapt, în prezent nu știm cum să nu-l evităm - adică nu știm cum să se configureze în mod deliberat un sistem în care să poată fi efectuat atacul).
În afară de acest scenariu destul de exotic, am rămas cu aceleași două atacuri în tărâmul cuantic ca și în cel clasic - am putea încerca algoritmul lui Grover pentru a încerca să spargem cifrul bloc de bază - totuși este ușor de apărat - fie folosim un cheie de 256 de biți acolo, sau doar rețineți că folosirea algoritmului lui Grover împotriva unui 128 de biți este încă extrem dificil...