多個隨機密鑰與從主密鑰派生的多個密鑰

如果 Alice 打算使用非對稱加密與 Bob 共享一個對稱加密密鑰和一個 kmac 密鑰（使用靜態密鑰簽名，使用臨時密鑰加密 - 一個經過身份驗證的 KEM），發送 2 個隨機密鑰（簽名，不對稱加密），與發送 1 個主密鑰（簽名，不對稱加密）相比，可以使用 kmac 或 hkdf 之類的東西從中派生多個密鑰？

如果我們將算法細節放在一邊，兩者幾乎沒有區別。

但在現實中，公鑰加密和密鑰交換算法在它們可以直接交換的數據長度上是有限的。例如，可以與 ECC 交換的密鑰的大小與所使用的曲線階數的以 2 為底的對數直接相關。

接下來，如果我們確實用更大的曲線交換過大的對稱密鑰，我們可能不一定能夠使用交換密鑰中存在的熵——整個密碼系統的安全性僅限於其最弱的部分。因此，使用 256 位密鑰加密，然後使用另一個 256 位密鑰對其進行 MAC 處理，您只能獲得 256 位安全性，而不是 512 位。

總結一下：交換過大的密鑰既不一定可行也不一定有用。請使用 HKDF 來節省通信成本。

引用自：https://crypto.stackexchange.com/questions/76605