基于HMAC-SHA-256的KDF

Question

KDF基于HMAC-SHA-256(哈希消息认证码，安全哈希算法)算法是从密钥生成对称密钥的合适选项吗？

什么是基本的funda，后面是使用KDF后得到的密钥。密钥本身可以用作对称密钥吗？

Answer 1

是的，根据NIST SP 800-56A修订版2，基于HMAC-SHA-256的KDF是一个合适的选择。

使用基于密钥的密钥派生函数KBKDF的基本思想是，密钥协商协议(DH，ECDH)中原语的输出返回足够的熵以创建密钥。然而，熵仍可与随机熵区分开来。例如，在迪夫-赫尔曼密钥协议达成后的第一点秘密肯定会有偏差。因此，要求KDF将熵提取到一个无法与随机区分的密钥中。

除了熵的提取外，KDF还可以用来扩大关键材料的数量。可以通过向KDF (首选)提供不同的otherInfo或计数器或请求KDF提供更大的输出来生成此关键材料。注意，键内的熵仍然被提取阶段的输出中的熵或KDF的内部状态所限制。

秘密是否可以直接用作对称密钥的问题取决于所使用的密钥协议。我为Diffie-Hellman 这里问了一个特别的问题.注意，KDF计算应该占用少量的处理器时间和内存，特别是与DH或ECDH相比。