Pseudo-Random-Function

PRF 是否有任何行業標準?

  • February 10, 2017

我的意思是像 NIST、ISO、FIPS 或類似標準,它定義了 PRF 的結構。

HMAC 是從散列函式構造 PRF 的標準方法。

(遺憾的是,上述標準僅將其描述為 MAC,而不是 PRF)

它在實踐中也很受歡迎。例如,它用於 SSL/TLS、SSH、HOTP/TOTP。

我建議將它與 SHA-2 一起用作底層雜湊函式。儘管從技術上講 MD5 和 SHA1 的已知弱點不適用於 HMAC 中的鍵控使用,但即使是那些過時的散列仍然可以用作 HMAC 構造中的 PRF。

@CodesInChaos 已經提到了 HMAC,所以我不會重複。不過我要補充:

  • NIST 800-38B規定了 CMAC,一種可用作可變輸入長度 MAC 或 PRF 的分組密碼模式。
  • CBC-MAC 有幾種標準化變體,它們可能是可證明的 PRF,但 CBC-MAC 很難正確使用——CMAC 可能是更安全的選擇。

Rogaway 的“一些分組密碼操作模式的評估”是對所有這些(HMAC、CMAC 和 CBC-MAC 變體)的非常有用的調查,其中提到了哪些是 NIST、ISO 和 ANSI 標準,總結了有關其安全性的結果並提供了一個很好的參考書目。

引用自:https://crypto.stackexchange.com/questions/43744