KEM共享密钥可以直接用作对称密钥吗？

Question

例如，和Kyber都会产生32个字节的共享秘密。多么方便，因为这正是我需要的一个AES-256键的大小！

这样安全吗？我的问题可以形式化为这些(我相信)与KEMs的定义相当的问题(我主要对NIST第三轮PQC KEM感兴趣，但更一般的答案也可以)

1. X-bit KEM共享秘密是否包含X熵位？
2. KEM共享秘密的部分是否保证为IID？
3. KEM共享密钥可以直接用作对称密钥吗？

背景来解释我是如何得出这个问题的，而不是问题的一部分。

我期待答案是“不，你需要运行党卫军通过一个KDF"，但我正在寻找引文来支持这一点。这与@poncho给出的关于ECDH的答案是一致的，DH也是如此，但也许这些不是正式的KEMs?：

• 原始的ECDH共享秘密可以直接用于加密吗？

Answer 1

您提到的算法使用一个安全的哈希函数来派生这个方便的32字节共享秘密，但并不一定所有KEM都会这样做。因此，您的三个一般性问题的答案都是“这取决于实际的算法”。一般来说，他们使用KDF。

例如，Kyber KEM划界案使用的是奶昔256：

作为对第二轮的修改，我们决定使用握手256而不是SHA3-256来派生最终键。对于需要256位以上密钥的协议来说，这是一个优势。而不是首先请求256位密钥从Kyber，然后展开它，他们可以传递一个额外的密钥长度参数给Kyber，并获得一个密钥的期望长度。NIST不支持此特性，因此在我们的实现中，我们将keylength设置为api.h中的固定长度为32字节。

麦克利希提交使用相同的散列函数：

3.1参数集kem/mceliece348864 KEM与m = 12、n = 3488、t = 64、\ell = 256。场多项式f(z) = z^{12} + z^3 + 1.哈希函数:具有32字节输出的SHAKE256。此参数集是在此提交文件中提出并实现的。