Key-Derivation
KDF 的熵損失
在使用 KDF 時,我是否會失去任何熵,例如NIST 特別出版物 800-108中的那些?
例如,我可以從(均勻隨機的)128 位主密鑰派生 128 位會話密鑰嗎?
當您使用 PRF 派生密鑰時,可能會發生衝突。如果您從每個可能的 128 位數字中派生出一個 128 位密鑰,您會期望其中一些會發生衝突。具體來說,您預計只有大約 63% 的輸入( $ 1-e^{-1} $ ) 顯示為輸出。
這意味著即使原始密鑰具有完整的 128 位熵(例如您的隨機 128 位字元串),您損失的熵也很少。使用較低的熵鍵,您將損失更少。這在實踐中並不重要,因為在最壞的情況下,它甚至不會將攻擊時間減半。127 位安全性就足夠了。
一般來說,如果您使用 PRF 來導出 $ n $ -bit 密鑰從一個與 $ k $ 熵位,生成的密鑰將至少具有 $ \min(n, k) - 1 $ 一點點熵,逼近 $ \min(n, k) $ 什麼時候 $ k \ll n $ 或者 $ k \gg n $ .