CTR和OFB分组密码模式及其后量子安全性。几个问题

Question

据说量子计算机可以使用2^(n/2)查询(键大小为n)来打破块密码。

我读过这篇文章：https://eprint.iacr.org/2016/197

它说CTR和OFB模式对量子对抗是安全的。

这给我留下了怀疑。

量子对手能用2^(n/2)查询在CTR/OFB模式下破解分组密码吗？或者查询将类似于经典计算( 2^(n/2) )？

我还有一个问题。

我有一个外部高清完全加密在CTR模式下三层1024位密钥的三层块密码。我知道CTR很容易受到中间人的攻击，实际上我只有2049位的安全性(尽管对手必须在内存中存储2^1024块)。

/\在量子场景中，如果CTR的安全性为2^n (密钥大小为n)，我会使用CTR模式使用2049位后量子安全性吗?在CTR模式下使用31024个密钥？

Answer 1

我读过这篇论文：https://eprint.iacr.org/2016/197，它说CTR和OFB模式对量子对抗是安全的。

你必须理解假设的攻击模型。它假设攻击者可以对Oracle进行量子纠缠查询，并得到纠缠响应；它们表明，即使在这种情况下，攻击者也没有任何显著优势，只攻击底层分组密码本身1。

现在，如果你拥有的是磁盘加密，而攻击者被允许进行的“查询”是检查密文(由经典的'0's和‘1’S组成)，那么他就没有机会尝试这样的攻击，所以这份文件与你完全无关。

我有一个外部高清完全加密在CTR模式下三层1024位密钥的三层块密码。

以及如何生成这些密钥？除非您完全随机地生成它们，并将它们存储在完全安全的地方，否则您的安全性几乎没有您想象的那么高。例如，如果您根据用户输入的密码生成它们，那么您没有比密码中的安全性更高的安全性。

1：我觉得需要指出的是，这个攻击模型感觉非常复杂；我们实际上不知道如何实现允许这样的攻击。