GCM认证加密量子模式安全吗？

Question

关于后量子对称密码学，建议移到具有256位密钥的AES-256或类似密码。如何影响经过身份验证的加密？AES-256-GCM被认为是量子安全的吗？量子认证后加密的其他替代方案是什么？

Answer 1

AES-256-GCM被认为是量子安全的吗？

对于大多数常见的场景，是的。

实际上，这取决于你的攻击模式。如果攻击模型是允许攻击者对GCM实现执行纠缠查询，并返回纠缠响应，则已知GCM对此模型不安全；攻击者可以使用Grover在解密Oracle上的算法查找第二个有效的密码文本/标记，其中包含先前在$O(2^{64})$ work中看到的当前密码。

另一方面，攻击模型很少合适。纠缠是相当微妙的，为了使这个攻击模型工作，解密预言需要使用量子纠错来实现。通常，在这种程度上，实现并不能帮助对手，因此需要将其作为量子计算机的一部分来实现(以便对手能够在oracle中实现量子错误校正)。关于唯一的方法，这将是实用的，如果你攻击一个白盒GCM实现(所以你不能琐碎地检查实现和提取密钥)。

在允许攻击者对oracle进行常规查询并获得标准响应的标准场景中，GCM的标准证明是适用的；除非攻击者能够区分AES和随机排列，否则无法生成具有非平凡概率的有效密码文本/标记对；使用256位AES密钥意味着Grover的算法将为此花费$O(2^{128})$时间，这通常被认为是不可行的。