用于嵌入式HMAC应用程序的散列

Question

我开发了一个全球导航卫星系统记录器(http://flysight.ca)，它已经成为得分跳伞比赛的热门。目前，几乎没有针对竞争对手伪造轨道的保护措施，但我想改变这一点。

该装置使用8位AVR微控制器.内存和时钟周期非常有限。由于硬件设计，设备在关机时没有任何警告。这意味着不可能，例如，只有当日志文件关闭时才执行计算密集型签名。

比赛持续了几天。有一个基于PC的中央评分系统，用于初始化和读取GNSS记录器中的数据。

在这些情况下，我所想到的是：

1. 评分系统在事件开始时生成唯一的随机键。
2. 每个GNSS记录器都使用此键初始化，该密钥可以安全地存储。
3. 当一行被写入日志文件时，基于(1)中生成的密钥使用HMAC计算累积签名。

唉，即使是MD5也超出了我现有的资源，所以我想知道，温和的安全要求(特别是，签名只需要几天的安全)是否允许我使用更快的哈希函数。

如果你有不同的想法，我也想听听。非常感谢你的帮助！

Answer 1

作为安全目标适中的HMAC的更便宜的替代方案，请考虑：

1. SipHash-比MD5便宜，因为您不必支付碰撞抗性；安全性受到64位输出大小的限制。
2. 也许基于Gimli的PRF-Gimli是一种新的紧凑设计。
3. 为每条消息派生一个新密钥，并使用一次验证器，如多项式计算通用散列族(如Poly1305或GHASH)，计算成本极低。
4. 用短输入、短输出PRF隐藏通用散列族输出，比评估通用长输入PRF更快。

当然，它们是否真正为您的应用程序提供了安全性，这不仅仅取决于密码学的形式上的不可忘记的属性。例如，任何密码技术都不能防止对GNSS信号的物理干扰！有了所有这些系统，任何能够验证日志消息的人都可以伪造日志消息--为了将验证能力和伪造能力分开，您需要公钥签名，这是非常昂贵的。

要明确的是:我不建议你现在就按照我上面所描绘的路线去发明新的原语构图。更确切地说，我建议你现在花时间阐明你的安全模型，这样你就可以把精力集中在实现一个能自信地提供你所期望的安全性的设计上，而不是花几周时间对你的AVR微控制器进行微优化Poly1305和SipHash，结果发现你实际上需要的是签名，而不是认证器。