Poly1305和GMAC的安全级别

Question

Libsodium 列表是ChaCha20Poly1305和AES-GCM的伪造限制，这似乎是一个< 128-bit的安全级别，但是它并不是一个实际的关注点。我见过其他人说Poly1305有128位的安全级别，但是没有发现任何一个的安全级别。关于这两者的后量子安全性，也有复杂的信息。

Poly1305和GMAC的安全级别是多少？他们是量子后安全吗？

Answer 1

我见过其他人说Poly1305有128位的安全级别，但是没有发现任何一个的安全级别。

在安全级别上，有两种潜在的攻击：

• 一种尝试作为异常者恢复秘密密钥的方法；Poly1305和GMAC的安全性与底层分组密码本质上是相同的。
• 其中一种是注入伪造，并希望您幸运--在这两种情况下，一旦您找到了一个被接受的伪造(并且您拥有一个有效的标记)，您就可以推断出内部H值(这也允许您对其他消息进行更改)。这两者都有不到128位的安全性(假设128位标记)--另一方面，执行这样的攻击需要向接收方发送大量的通信量，而接收方可能不愿意忍受大量的无效消息。

Poly1305和GMAC的安全级别是多少？他们是量子后安全吗？

嗯，众所周知，如果您可以发送纠缠明文消息到Poly1305 (或GMAC)，并获得纠缠加密的消息，您可以很容易地打破。另一方面，我(和其他许多人)认为这是一种极具异国情调的情况，而且很容易避免(事实上，我们目前不知道如何避免这种情况--也就是说，我们不知道如何故意建立一个可以执行攻击的系统)。

除了这个相当奇特的场景，我们在量子领域中还有两次攻击--我们可以尝试Grover的算法来破解底层的分组密码--不过这很容易防御--要么在那里使用256位密钥，要么注意到使用Grover算法对付128位仍然非常困难.