Thật vậy, modulo một số nguyên tố, đã $r^2$ không đồng nhất - chỉ một nửa số giá trị là có thể. Mặc dù các đa thức được tính toán thực sự không tuân theo phân phối đồng đều, nhưng tính không đồng nhất bị giới hạn: mỗi giá trị đầu ra của đa thức có thể có tối đa $L$ tiền hình ảnh (rễ), nơi $L$ là bậc của nó, bằng số khối. Có nghĩa là xác suất có thể tăng từ $1/R$ đến $L/R$, ở đâu $R$ là số tất cả có thể $r$ (đó là $2^{106}$ trong Poly1305). Để có được xác suất thành công không đáng kể, người ta phải cố gắng giả mạo với một số lượng lớn các khối.
Lưu ý rằng đầu ra được che bằng cách thêm AES (không phải). Điều này làm cho việc dự đoán MAC mù quáng trở nên vô dụng. Cuộc tấn công mạnh mẽ nhất ở đây là một nỗ lực giả mạo khác biệt: đưa ra một (tin nhắn, nonce, tag) gấp ba, tạo một bộ ba khác (tin nhắn', nonce, tag'). Cùng loại bỏ nonce AES (không phải) từ việc xem xét sự khác biệt $(thẻ' - thẻ)$. Chúng tôi "chỉ" phải dự đoán poly(tin nhắn') - poly(tin nhắn) bất cứ gì thông điệp và thông điệp' của sự lựa chọn của chúng tôi. Điều này khó vì sự khác biệt của các đa thức không bằng nhau vẫn là một đa thức khác không có cùng mức độ hoặc nhỏ hơn và xác suất để đoán đầu ra đúng là nhỏ.
Lý luận này hoạt động cho bất kỳ trường hữu hạn nào.
chỉnh sửa: cảm ơn @poncho vì đã nhận thấy sự nhầm lẫn nguy hiểm giữa xor và phép cộng trên GF(p)
chỉnh sửa: Trong https://cr.yp.to/antiforgery/pema-20071022.pdf , Bernstein lần đầu tiên giới thiệu MAC dựa trên sản phẩm chấm, tức là. $MAC(m) = m_1r_1 + m_2 r_2 + ... + s$. Các $n=8$ cổ phiếu chỉ được chọn để minh họa, vì điều này chỉ cho phép ký các tin nhắn gồm 8 khối. Một lần nữa, điều này chỉ được thực hiện vì lý do giáo dục và để hiển thị các công trình lịch sử "thuần túy". Sau đó trong bài báo, ông thay thế $r_i$ với $r^i$: điều này cho phép tránh việc tạo và lưu trữ giả ngẫu nhiên đầy đủ $r$'S. Tương tự, hoàn toàn ngẫu nhiên $s$ có thể được thay thế bằng e.g. AES (không có).
