Tôi đã thấy những người khác nói rằng Poly1305 có mức bảo mật 128 bit nhưng không tìm thấy nhiều thông tin về mức bảo mật của cả hai.
Chà, về mức độ bảo mật, có hai cuộc tấn công tiềm ẩn:
Một trong đó bạn cố gắng với tư cách là một kẻ nghe trộm để khôi phục khóa bí mật; tính bảo mật của cả Poly1305 và GMAC về cơ bản giống như mật mã khối cơ bản.
Một trong đó bạn thực hiện hành vi giả mạo và hy vọng mình gặp may mắn - trong cả hai trường hợp, khi bạn đã tìm thấy một hành vi giả mạo được chấp nhận (và có thông báo rằng bạn có thẻ hợp lệ), bạn có thể suy ra nội dung bên trong. $H$ giá trị (và cũng sẽ cho phép bạn thực hiện các thay đổi đối với các thư khác). Điều này có ít hơn 128 bit bảo mật (giả sử thẻ 128 bit) cho cả hai - mặt khác, thực hiện một cuộc tấn công như vậy sẽ yêu cầu gửi một nhiều lưu lượng truy cập đến người nhận và người nhận có thể không sẵn sàng chấp nhận hàng exabyte thông báo không hợp lệ.
Mức độ bảo mật của Poly1305 và GMAC là gì? Chúng có an toàn hậu lượng tử không?
Chà, người ta biết rằng nếu bạn có thể gửi các tin nhắn văn bản gốc bị vướng víu tới Poly1305 (hoặc GMAC) và nhận được một tin nhắn được mã hóa vướng víu, thì bạn cũng có thể dễ dàng phá vỡ. Mặt khác, tôi (và nhiều người khác) thấy đây là một kịch bản cực kỳ kỳ lạ và là một kịch bản khá dễ tránh (thực tế là chúng ta hiện không biết làm thế nào để không tránh nó - nghĩa là chúng ta không biết làm thế nào để cố ý thiết lập một hệ thống mà cuộc tấn công có thể được thực hiện).
Ngoài kịch bản khá kỳ lạ đó, chúng ta còn lại hai cuộc tấn công trong lĩnh vực lượng tử giống như trong thế giới cổ điển - chúng ta có thể thử thuật toán Grover để cố gắng phá vỡ mật mã khối cơ bản - tuy nhiên điều đó rất dễ phòng thủ - hoặc sử dụng một khóa 256 bit ở đó hoặc chỉ cần lưu ý rằng sử dụng thuật toán của Grover đối với khóa 128 bit vẫn cực kì khó khăn...
