秘密後綴 MD5 作為安全 PRF（不是 MAC）

以標準的秘密後綴方式，假設我們計算一些消息的 PRF $ m $ 作為 $ MD5(x || k) $ † Preneel 和 Van Oorschot 在

$$ 1 $$這種秘密後綴方法​​不能滿足建構安全 MAC 的要求。（特別是因為 MD5 不抗碰撞，因此該方案容易被偽造。）但這是否也意味著這不是一個安全的 PRF？ $$ 1 $$ http://people.scs.carleton.ca/~paulv/papers/Crypto95.pdf

MD5的抗撞力全破，2輪，甚至1輪。如果遵循我們可以展示不同的 1024 位甚至 512 位 $ x_0 $ , $ x_1 $ 這樣對於任何 $ k $ , $ \operatorname{MD5}(x_0||k)=\operatorname{MD5}(x_1||k) $ .

這允許在參數化的PRF（家庭）之間做出近乎完美的區分 $ k $ : $ x\to\operatorname{MD5}(x||k) $ 和一個隨機預言機；從而打破了PRF。

引用自：https://crypto.stackexchange.com/questions/40413