问密码工程.设计原则和实际应用.第9章产生随机性.第9.4节生成器

EN

本节讨论福图纳，它使用具有128位块和256位密钥大小的分组密码。该密码采用CTR模式。在CTR模式下，如果攻击者能够访问内部状态，则丢失安全性(密钥和当前计数器值)，因此在请求后生成两个新块并将其用作新密钥，而忘记旧密钥以消除旧请求的暴露。

所有的讨论都是关于在CTR模式下区分PRP和PRF。在使用PRP的CTR模式中，如果您用一个密钥加密，那么2^{128}块是不同的，因为它是一个置换，但是我们并不期望从PRF中得到这一点。因此，PRF开关引理适用于区分统计偏差。在q消息之后，丢失的安全性与q^2\!/2^{128}成正比。

在经典的生日攻击中，当输出是随机的时，请记住CTR模式不会产生PRP模式。对于具有128位输出的PRF，大约

• 一旦生成2^{64}输出，就会发生\approx (2^{64})^2/2^{128}/2 = 2^{128 - 129} = 1/2更改冲突。但我们不会看到一个在Fortuna，它使用PRP在CTR模式！因此，这是一个区别。
• 如果您只为单个密钥生成2^{16}块，那么概率是\approx (2^{16})^2/2^{128}/2 = 2^{32 - 129} = \dfrac{1}{2^{97}}，这意味着这种区分概率可以忽略不计。

请求2^{97}块是生日攻击的反面。由于\dfrac{1}{2^{97}}更改了2^{16}块的冲突，所以您需要请求2^{97}块来查看2^{16}-block中的冲突。因此，成本是2^{97}\cdot 2^{16} = 2^{113}。

对于256位块大小，碰撞不再是一种威胁，因为您需要2^{128}块才能看到1/2概率的块。

2^{113}是128位攻击成本的延续，因为(2^{113})^2/2^{256}/2 = \dfrac{1}{2^{32}}