在AES-GCM-SIV中超越生日限制安全性

Question

AES-GCM-SIV采用96位的时间，就像最初的GCM。RFC指出，“建议对随机选择的非RFC使用此方案”。它使用使用基于AES的PRF生成每条消息加密和MAC子密钥的随机值，并且这个构造提供了超越生日限制安全性的索赔要求：

本文档中定义的AEAD计算每个nonce的新AES密钥。这允许在给定密钥下加密更多的明文。如果不执行此步骤，AES-GCM-SIV加密将与其他标准模式(例如，AES-GCM、AES-CCM和AES-SIV )一样，受到生日限制。这意味着当2^64块被整体加密时，一个试图破坏该方案机密性的显著对手具有1/2的优势。因此，为了将对手的优势限制在2^-32，最多可以对2^48块进行整体加密。与此相反，通过从每个现在派生出新的密钥，就可以使用AES-GCM加密更多的消息和块。

但是，对于96位的随机值，仅在2^{-32}消息之后，您就会超过2^{32}冲突的概率，这就是为什么NIST SP 800-38D将AES-GCM的随机值限制为2^{32}消息的原因。如果在AES-GCM-SIV中发生一次碰撞，则PRF结构将得到相同的加密和MAC子密钥，因此我们仍然存在冲突。AES-GCM-SIV是一种抗误用认证加密( MRAE )，但与所有MRAE方案一样，它仍然在当前重用情况下泄漏信息(明文相等)，在这种情况下并不是IND安全的。

我最初认为，超越生日的安全性只是指可以加密的块总数的限制，而不是消息。但是，上面的引号明确指出，AES-GCM可以加密“更多的消息”，后面的引用在安全考虑中声称您可以对2^61 messages, where each plaintext is at most 16 KiB进行up to 256 uses of the same nonce and key加密。然而，在产生2^{61} 96位随机无环序列之后，我们将期望大约3,355,443次碰撞.我认为(来自参考文献)的说法是，任何特定的当前值都不会重复超过256次。然而，对于那些340万条与非for碰撞的消息，仍然会有一些潜在的机密性损失。

我不太清楚如何解释这些界限。如果碰撞的非256的总数是巨大的，那么限制任何特定的现在被重复使用最多256次有什么相关性呢？如果你真的想要IND安全性(具有抗误用性)，那么AES-GCM被限制在最大的2^{32}消息范围内，这是否是正确的？

Answer 1