如果密钥未知，HMAC-MD5是否具有抗碰撞能力？

Question

我所处的情况是，我需要使用HMAC-MD5 (用于学习，非生产应用程序)，并且需要具有抗碰撞能力。

所以我的问题是:如果密钥是未知的，HMAC-MD5是否具有抗碰撞能力(即只允许标准甲骨文访问HMAC-MD5 oracle？

或者，如果可能的话，您可以将"MD5“替换为”任何已知冲突的Merkle散列函数“(这是一种更通用的语句)。

请注意，“HMAC-MD5是否仍然安全用于承诺或其他共同用途？”虽然有关联，但只使用已知的敌手密钥来讨论情况。

Answer 1

是的，具有关键秘密的HMAC-MD5仍然被认为实际上是安全的，不受所有攻击，包括碰撞。我们是在Mihir的NMAC和HMAC的新证明:无碰撞安全性 (扩展抽象Crytpto 2006议事录)中考虑的情况。

但是，正如国安局所说的那样:攻击只会变得更好，永远不会变得更糟。