SHAKE128 流密碼是否容易受到相關密鑰攻擊？

假設 SHAKE 是用連接到 IV 的密鑰播種的，SHAKE128 產生的“密鑰”流是否容易受到像 RC4 這樣的相關密鑰攻擊？

我的猜測是否定的，因為在“擠出”密鑰流之前，種子已經“吸收”了。

沒有辦法確定，但對我來說似乎不太可能。

SHAKE128 是一個可擴展的輸出函式，基本上是一個具有可變輸出的散列函式。它必須是安全的，完全由攻擊者控制的輸入。如果您使用它來建構流密碼（可能使用 KMAC（草稿 pdf），它應該是 PRF），那麼在不破壞散列函式案例的情況下，相關密鑰似乎不太可能成為問題。

但是，雜湊函式和流密碼的安全目標不同，SHA-3 本身可能會被破壞，所以只有時間會證明一切。

我的猜測是否定的，因為在“擠出”密鑰流之前，種子已經“吸收”了。

這個特殊的論點並沒有真正的意義，因為 RC4也先吸收密鑰，然後才產生輸出。然而，它很容易受到相關的關鍵攻擊。

引用自：https://crypto.stackexchange.com/questions/39411