密钥提交AES-GCM

Question

有一个针对AEAD的几次袭击，特别是GCM，这表明攻击者\mathcal{A}获得加密到多个密钥/消息对(k_i, M_i)的密文C是可行的。这通常指的是AES-GCM不是关键提交。现在，我对这种攻击的性质有点困惑，我是否正确地理解\mathcal{A}需要“修改”密文C才能执行概述的攻击？或者，如果\mathcal{A}在k_1下使用固定的C加密m_1，是否也有可能获得另一个解密m_2，从而在另一个密钥k_2下产生C？

Answer 1

我是否正确理解\mathcal{A}需要能够“修改”密文C以执行概述的攻击？

不，这些攻击假设攻击者生成C；他获取多个密钥( k_1, k_2, ..., k_n )，并使用这些密钥生成密文C，该密文D6在所有密钥下都成功地“解密”(即完整性标记检查成功)。

或者，如果\mathcal{A}在k_1下使用固定的C加密m_1，是否也有可能获得另一个解密m_2，从而在另一个密钥k_2下产生C？

我们不知道如何做到这一点；我们所知道的攻击要求攻击者在选择C时具有一定的灵活性。现在，他不需要指定整个值；他确实需要指定至少2个16字节的块来构造一个C，它将在两个不同的密钥下解密)。