用于压缩函数密码分析的密钥模型？

Question

如何分析密钥模型中压缩函数的安全性？更正式地说，让H是一个散列函数，F(IV,M)是它的压缩函数。假设我们生成MAC，如下所示：

T=F(F(K,M),M_p),

其中，K是MAC密钥，M_p是填充块。我是否可以说，如果一个人观察到内部压缩函数调用的输出，即F(K,M)，并检索K，那么这就是底层压缩函数的证书弱点？(我们在任何具体的协议中都没有考虑到这一点)

Answer 1

是的，如果K可以从H'=F(K,M)中恢复，这是一个弱点。函数F不抵抗预映像，攻击者可以很容易地为新消息生成正确的标记(这称为伪造)。然而，提议的MAC方案非常薄弱，可以很容易地为其他消息生成伪造标记(长度扩展属性)：

T(M\mathbin\|M_p\mathbin\|M') = F(T(M\mathbin\|M_p),M').

不过，如果可以恢复原始K，则可以为更短的消息生成伪造标记。

然而，可能会有许多K's生成相同的H'。如果找到原始K的成本仍然高于穷尽搜索，那么这种攻击对于伪造来说是无用的，因为攻击者将不得不使用长度扩展攻击。然而，压缩函数仍然容易受到预图像攻击的攻击，而这些攻击可能在其他构造中被利用(例如，在哈希函数上遇到中间攻击)。