现在的加密HMAC和poly1305一样安全吗？

Question

在阅读https://crypto.stackexchange.com/a/88732/87450时，我注意到它建议加密-然后HMAC作为分区攻击的防御。然而，据我所知，与poly1305不同的是，HMAC并没有使用非does，并且在poly1305纸中DJB说：

Poly1305-AES使用非AES的原因有几个。首先，没有非used的可比较协议具有类似于C(C+D)L/2^{106}而不是DL/2^{106}的安全边界--在这里，C是由发送方认证的消息数量，D是伪造尝试的数量，L是最大消息长度--因此不能对大型C有信心地使用。其次，非AES允许AES的调用与Poly1305-AES中的大多数其他操作并行进行，从而减少了许多情况下的延迟。第三，大多数协议都有非and，原因有多种:例如，安全加密需要非and，而非and允许对重播消息进行简单的拒绝。

如果我们考虑除分区攻击之外的所有威胁，这不意味着HMAC是一个比poly1305更低劣的选择吗？

Answer 1

如果我们考虑除分区攻击之外的所有威胁，这不意味着HMAC是一个比poly1305更低劣的选择吗？

对具有有限中间状态1的MAC的攻击是试图在两个不同的MAC评估之间在该中间状态中查找冲突；然后攻击者可以使用该中间冲突生成伪造。

Poly1305的内部中间状态为130位；相比之下，HMAC- has 256有一个中间状态of256位；这种更大的中间状态意味着查找内部碰撞要困难得多。

1：也就是说，在一次传递中处理消息，并以有限的位数总结到目前为止处理过的消息。