如何发现碰撞可以帮助攻击者篡改HMAC消息

Question

正如HMAC RFC (RFC 2104)所述：

已知针对HMAC的最强攻击是基于哈希函数H的碰撞频率。

碰撞如何使攻击者受益？我原以为最强的攻击会是一次以发现秘密钥匙为目标的野蛮攻击。

Answer 1

在同一份文件中：

无论如何，K的最小推荐长度是L字节(作为哈希输出长度)。

因此，只要密钥是完全随机的，即加密强密钥，那么施加蛮力的时间至少与发现碰撞的时间相同或更高。如果你的钥匙确实较小或没有完全随机化，那么野蛮的强制攻击可能确实适用。

如果您能够找到冲突，那么您可能会替换消息。但是散列仍然依赖于键，因此您应该将其看作是一个严格的下限。攻击者仍然不会仅通过找到冲突就破坏HMAC (否则HMAC与MD5的连接到现在就会被破坏)。

例如，维基百科：

HMAC的密码强度取决于所使用的秘密密钥的大小。对HMACs最常见的攻击是用蛮力揭露秘密密钥。与其底层散列算法alone.Therefore相比，HMACs受碰撞的影响要小得多，HMAC-MD5并不存在与MD5相同的弱点。