如果ChaCha20只有128位，它是否安全？

Question

ChaCha20还提供256位加密，即2^256种密钥的可能性.但是ChaCha20非常快，我认为它最多提供2^256乘以解密时间。256位AES提供254位安全性，这是由于重攻击，即2^254乘以解密时间.因为AES比ChaCha20慢(解密AES密码需要更多的时间)，我认为即使双击攻击有效，254位的安全性也比ChaCha20's 256位的安全性要好。假设ChaCha20只有128位，它安全吗？

Answer 1

假设ChaCha20只有128位，它安全吗？

让我们仔细考虑一下这一点；假设我们最好的攻击是单独尝试每个密钥(据我们所知，这是正确的)，如果我们的理论攻击者以1%的概率成功，那么我们的理论攻击者就会发生--为了达到这个目标，他需要测试2^{128}/100 \approx 3.4 \times 10^{36}密钥。

进一步假设攻击者可以访问一万亿台(10^{12})计算机，并且每台计算机都可以在一皮秒(即每秒的10^{-12} )内检查一个密钥(当然，这比我们目前所能做的要快得多)。

因为他可以每秒测试10^{24}密钥，所以他需要3.4 \times 10^{36} / 20^{24} = 3.4 \times 10^{12}秒，也就是大约1000年。

所以，除非你有一个攻击者，他对成功的可能性要小得多，可以积累更多的计算能力，或者愿意等待更长的时间，嗯，是的，它看起来是安全的……