https://soatok.blog/2024/09/10/invisible-salamanders-are-not-what-you-think/
https://eprint.iacr.org/2020/1491
https://www.youtube.com/watch?v=3M1jIO-jLHI
https://crypto.stackexchange.com/questions/87771/key-committing-aeads
Страшные вещи творятся в мире криптографии: оказывается, популярные AEAD
режимы типа AES-GCM или (X)Salsa20/Chacha20-Poly1305 могут быть небезопасными
в некоторых протоколах. Так как возможно сделать несколько ключей, для
которых MAC сообщения будет вполне себе корректным. И это можно
использовать и для атаки на IKEv1+PSK, OPAQUE, PAKE, Shadowsocks,
Kerberos, age, JOSE, HPKE.