Puncte:0

Nivel de securitate Poly1305 și GMAC

drapel eg

Documentele Libsodium listă limitele de falsificare AEAD pentru ChaCha20Poly1305 și AES-GCM, care pare a fi un nivel de securitate < 128 de biți, dar spune că nu este o problemă practică. Am văzut alți oameni spunând că Poly1305 are un nivel de securitate de 128 de biți, dar nu au găsit prea multe despre nivelul de securitate al niciunuia. Există, de asemenea, informații mixte despre securitatea post-cuantică a ambelor.

Care este nivelul de securitate al Poly1305 și GMAC? Sunt ele sigure post-cuantice?

kelalaka avatar
drapel in
Realted [Poly1305-AES vs AES-GCM](https://crypto.stackexchange.com/q/43112/18298).[GCM (sau GHASH) oferă doar securitate pe 64 de biți împotriva falsurilor?](https://crypto.stackexchange.com/q/67261/18298)
Puncte:2
drapel my

Am văzut alți oameni spunând că Poly1305 are un nivel de securitate de 128 de biți, dar nu au găsit prea multe despre nivelul de securitate al niciunuia.

Ei bine, în ceea ce privește nivelul de securitate, există două atacuri potențiale:

  • Unul în care încerci ca un evesdropper să recuperezi cheia secretă; securitatea atât a Poly1305, cât și a GMAC este în esență aceeași cu cifrul bloc de bază.

  • Una în care injectați un fals și sperați să aveți noroc - în ambele cazuri, odată ce ați găsit un fals care este acceptat (și are un nonce pentru care aveți eticheta valabilă), puteți deduce $H$ valoare (și care v-ar permite să faceți modificări și pentru alte mesaje). Aceasta are o securitate ceva mai mică de 128 de biți (presupunând o etichetă de 128 de biți) pentru ambele - pe de altă parte, executarea unui astfel de atac ar necesita trimiterea unui lot de trafic către receptor, iar receptorul ar putea să nu fie dispus să suporte exaocteți de mesaje nevalide.

Care este nivelul de securitate al Poly1305 și GMAC? Sunt ele sigure post-cuantice?

Ei bine, se știe că, dacă puteți trimite mesaje text simplu încurcate către Poly1305 (sau GMAC) și puteți obține un mesaj criptat încurcat, puteți rupe cu ușurință oricare dintre ele. Pe de altă parte, eu (și mulți alții) găsesc acesta un scenariu extrem de exotic și unul destul de ușor de evitat (de fapt, în prezent nu știm cum să nu-l evităm - adică nu știm cum să se configureze în mod deliberat un sistem în care să poată fi efectuat atacul).

În afară de acest scenariu destul de exotic, am rămas cu aceleași două atacuri în tărâmul cuantic ca și în cel clasic - am putea încerca algoritmul lui Grover pentru a încerca să spargem cifrul bloc de bază - totuși este ușor de apărat - fie folosim un cheie de 256 de biți acolo, sau doar rețineți că folosirea algoritmului lui Grover împotriva unui 128 de biți este încă extrem dificil...

drapel eg
Vă mulțumesc pentru acest răspuns excelent!

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.