Hash

有人可以通過 Krawczyk 澄清關於 HKDF 的兩件事嗎?

  • December 14, 2016

我收到了 Hugo Krawczyk 關於 HKDF 計劃的問題。在以下連結中,您可以找到對 HKDF-Scheme 的簡要說明和一些簡簡訊息。HKDF 規範本身已作為RFC 5869發布。

我有兩個關於簡簡訊息的問題。據說:

  1. >

近年來獲得的研究結果指出了基於 HMAC 建構 KDF 函式的優勢,而不是像傳統方案那樣基於普通雜湊函式。

有什麼優勢?這究竟是什麼意思? 2. >

特別是,這些結果表明,基於 HMAC 的 KDF 可以建立在對底層散列函式的較弱假設之上

……

基於這些結果,我們提出了 HKDF,這是一種完全指定的基於 HMAC 的 KDF,可以服務於多種應用的要求和對散列函式的寬鬆假設。

究竟是什麼假設?

如果有人能給我一些簡短的解釋或一些想法,那就太好了。

例如,目前沒有針對 HMAC-MD5 的攻擊,儘管 MD5 已經被破壞了好幾年。散列函式具有非常強的要求(例如,抗碰撞、抗原像等),並且一些散列函式已被證明無法滿足其中的一些要求(例如,MD5 不是抗碰撞的)。基於散列的 KDF 可能會受到這些散列函式問題的影響,因為它們直接使用它們的輸出,通常是迭代輸入的串聯。相反,HKDF 只要求壓縮函式表現得像 PRF,這是一個弱得多的假設。

有關更多詳細資訊,請參閱這些其他問題:

HMAC-MD5 在驗證加密數據時是否被認為是安全的?

KDF1 和 KDF2(基於散列的 KDF)的安全性

引用自:https://crypto.stackexchange.com/questions/42272