HMAC256(K，m)与HMAC256(K，K)

Question

我的密钥大小是128位。我的消息大小相当短(例如，32位，并且广为人知)。虽然我正在做一个SHA256，但是HMAC的结果将被截断为128位。

因此，我的问题是:以下几点之间是否存在显著的力量差异？

1. HMAC256(K，m)
2. HMAC256(K，m=K)
3. HMAC256(K，K)‘注意，在这种情况下，没有消息)-我只需要哈希的结果)。

我试图阻止知道m和128位结果的人找出128位键。

Answer 1

因此，我的问题是:以下几点之间是否存在显著的力量差异？

从理论角度看，是的。

也就是说，第一个要求我们假设SHA-256压缩函数的行为就像一个双输入PRF，而最后两个则在顶部添加了循环安全性的假设。虽然假定循环安全性并非完全闻所未闻，但它是那些“非标准”假设(PDF)之一--因为您不能只使用简单的单向函数来实现它--因此，如果没有带来显著的收益，就应该避免循环安全性。

• HMAC256(K，m) -假设SHA-256压缩函数是一个双输入PRF (这是非常合理的，因为这甚至适用于MD5压缩函数)，HMAC256 256是一个PRF，因此当使用一致随机键键时，任何唯一的(每键)消息都会输出一个与随机字符串无法区分的值。相关论文为这些 三 这里.
• HMAC256(K，m=K)--这可能具有与上面相同的安全性属性，但您也必须假设HMAC提供循环安全性(这并不完全不合理，但在第一个构造中没有给您带来任何好处)。
• HMAC256(K，K) --这再次要求循环安全，而且由于消息不涉及，所以更容易重复重复的密钥，从而潜在地允许更容易的更高级别的攻击。