給 MAC 加鹽安全嗎？

假設我定義了一個方案，其中鹽是公共的並且帶有消息的 MAC：

$ k = KDF(password, salt) $

$ tag = MAC_k(salt || message) $

用這種方式給 MAC 加鹽安全嗎？假設鹽是公開的並且可以被攻擊者修改。

正如 Trevis 所說，它至少同樣安全：假設後者在標準“在選定消息攻擊下的存在不可偽造性”中是安全的，則從加鹽 MAC 到非加鹽 MAC 有一個簡單的減少。

假設對手完全控制了鹽，它也不會給你帶來任何安全方面的好處。在稍微不同的設置中，MAC 的鹽是隨機選擇的，並且對於每條消息都是新鮮的（但是是公開的），加鹽可以稍微提高某些特定 MAC 的安全性，參見。“通過隨機消息預處理提高 MAC 的安全性” http://www.cs.nyu.edu/~dodis/ps/exact-macs.pdf

引用自：https://crypto.stackexchange.com/questions/19819