GCM (或GHASH)只提供64位安全防范伪造吗？

Question

在一个最近的评论中，有人对我的回答表示怀疑，它声称GCM要求2^{128}才能成功地伪造。疑问是，需要取平方根，这意味着安全性将是2^{64}。

当然，我立即检查了相关的安全定理(推论4)：

\mathbf{Adv}^{\text{auth}}_{\operatorname{GCM}[\operatorname{Perm}(n),\tau]}(\mathcal A)\leq \frac{0.5(\sigma+q+q'+1)^2}{2^n}+\frac{q'(\ell_A+1)}{2^\tau}

\sigma是块中的总明文大小，q是加密查询的总数，q'是解密查询的总数，n是底层置换的比特大小，\ell_A是块中的最大验证输入长度，\tau是以位为单位的标记大小。

从这一点我们可以清楚地看到，执行2^{n/2}=2^{64}查询会产生足够大的优势。

现在我的问题是：

当谈到“n位安全”或“需要2^n操作破坏”时，我们通常会谈论“在线”安全性吗？(即可以完成对甲骨文的查询，并在没有神谕的情况下花费1或“脱机”安全性，还是我们需要根据具体情况做出此决定？)

博士: GCM提供64位还是128位安全？

Answer 1

根据参考文献，AES-GCM为128位块大小和足够长(>=64位)的标记大小提供了大约64位的真实性安全(即防止伪造攻击)。当查询数量出现在安全绑定中时，"online“安全性应该始终是这样的(对于涉及查询数量的绑定项)。“查询”一词对应于无法脱机攻击的甲骨文。