AES-GCM针对IND-CCA2安全

Question

您如何证明AES-GCM对选定的密文攻击(IND-CCA2)是安全的，假设攻击者不能在非暴力的情况下伪造AES-GCM MAC标记？

Answer 1

你可以用同样的方式证明这一点，就像你在一般情况下证明加密-然后-MAC一样。事实上，既然已经有关于加密时MAC范例的通用证明，而且由于AES-CTR已经被证明是CPA安全的，那么您真正需要做的就是证明GMAC作为MAC的安全性，然后您就可以应用一般定理了。但是，请注意，您对AES-GCM MAC标签的假设是不可接受的。你不能假设“最好的”是蛮力。相反，您必须采取基于AES的安全性。

还要注意的是，您最好证明它实现了身份验证加密，因为这比CCA的安全性强。