密钥派生函数与密码散列方案

Question

密钥派生函数(如HKDF (RFC 5869中的标准化))旨在将一些具有足够熵的初始密钥材料(如Diffie-Hellman共享值)扩展为一个或多个强加密密钥。

密码哈希方案，如PHC胜利者Argon2，是为了散列通常是低熵的密码，目的是使哈希摘要反转在CPU和内存消耗以及并行化方面对对手尽可能高。

确切地说，密码散列方案实际上是专门用于低熵输入的关键派生函数吗？或者，这两种密码体制在理论性质上还有其他本质的区别吗？

Answer 1

键拉伸键推导函数必须产生具有一定随机性的结果，并且很难逆转。密码散列只需要满足属性“难以逆转”，没有随机性要求。这就是为什么所有的键拉伸键派生函数都是密码散列，而不是相反。

请注意，还有一些关键的派生函数是不拉伸的。拉伸函数本身是缓慢的，这是密码哈希所必需的。当输入具有低熵(例如密码)时，像HKDF这样的快速密钥派生函数是不合适的，无论目标是导出密钥材料还是密码哈希。