使用 HKDF 從混合公鑰加密方案中導出對稱密鑰

RFC 5869描述了基於 HMAC 的提取和擴展密鑰派生函式 (HKDF)。在題為“HKDF 的應用”的第 4 節中，它指出其中一項預期用途是：

從混合公鑰加密方案推導對稱密鑰

但是，它並沒有擴展此含義。誰能解釋如何以這種方式使用 HKDF？

許多密鑰交換輸出的秘密要麼不統一，要麼很大，但拆分它們是不安全的，因為子集也不統一。

超過 4096 位組或超過 256 位橢圓曲線的 Diffie-Hellman 將不均勻。

$$ k = \operatorname{kdf}(\operatorname{dh}(a, b)) $$

RSA-KEM ( RFC 5990 ) 其中 $ r $ 是一個隨機值 $ {0,1,2,3,\dots,N-1} $ 在哪裡 $ N = pq $ 並且密文也在這個範圍內。請注意，以下內容稍作修改以包含密文，這消除了任何密文的延展性，而無需分析您可能與之配對的每個原語的延展性。

$$ k = \operatorname{kdf}(\operatorname{encrypt_{pub}}(r) | r) $$

至關重要的是，在使用此密鑰時，您必須包含一個驗證器，不僅要驗證消息，還要驗證密鑰交換本身。否則，您已經派生了一個隨機密鑰，並且無法判斷密鑰或消息是否已損壞。

引用自：https://crypto.stackexchange.com/questions/58935