給定 MAC 函式中的衝突，是否可以計算出 MAC 函式的工作原理並為任何消息生成有效的 MAC 值？

因此，如果您可以找到任何 MAC 值的衝突，那麼在不知道密鑰的情況下這是否可行。即使您無法弄清楚 MAC 函式是如何工作的，您是否可以在不需要知道它是如何工作的情況下找到消息的有效 MAC 值。

如果是這樣，你會怎麼做。

不，您通常無法做到這一點。如果您發現沒有密鑰的衝突，則表明輸出大小太小。MAC 通常依賴於分組密碼或散列函式。後者根據定義是單向的，前者是單向的，除非您知道密鑰。

如果您發現 MAC 衝突當然是一個不同的命題，因為您發現了算法的弱點或密鑰的建立。如果攻擊者發現了一個弱點，那麼攻擊者很可能已經知道該算法。是的，如果攻擊者知道密鑰，遊戲就結束了。如果輸出大小足夠大，則查找另一個碰撞可能仍然很棘手，具體取決於所使用的算法。

“您能否在不知道其工作原理的情況下找到有效的消息 MAC 值”。不，除了長度擴展攻擊可能起作用，例如對於 CBC-MAC 和 CMAC。但是，這將需要計算的完整輸出，因此對於具有足夠大塊大小的密碼（例如 AES 而不是 DES），您可能不會發現衝突。

引用自：https://crypto.stackexchange.com/questions/86421