Nhược điểm đối với mật mã dòng dựa trên hàm băm

Trong một câu trả lời của đây ai đó đề cập:

nếu bạn có hàm băm với quyền hạn tiên tri, thì khá dễ dàng để tạo luồng giả ngẫu nhiên từ khóa bí mật, bằng cách băm K||n trong đó K là khóa bí mật và n là bộ đếm. Bằng cách XOR luồng giả ngẫu nhiên phụ thuộc khóa này với dữ liệu cần mã hóa, bạn có một mật mã luồng.

Trong cùng một bài đăng cũng có phần này liên quan đến việc sử dụng các hàm băm mật mã để tạo mật mã luồng:

Hàm băm mật mã là một hàm chống lại tiền ảnh, tiền ảnh thứ hai và va chạm. Theo như tôi biết, người ta chưa chứng minh được rằng những điều kiện này là đủ để xây dựng mật mã luồng.

Theo như tôi biết, tất cả các thuật toán đối xứng hiện có, đặc biệt là AES, chỉ được cho là an toàn. Bằng chứng duy nhất mà chúng tôi có liên quan đến tính bảo mật của chúng là việc sử dụng chúng trong thực tế và các cuộc tấn công đã được thử cho đến nay không làm giảm nghiêm trọng tính bảo mật của các thuật toán đó.

Có phải vấn đề "chưa được chứng minh rằng những điều kiện này là đủ để xây dựng mật mã luồng" thực sự là vấn đề duy nhất? Các vấn đề khác với mật mã luồng do hàm băm gây ra là gì? Có lẽ họ kém an toàn hơn? Có lẽ họ chậm hơn? Có lẽ họ đang sử dụng nhiều bộ nhớ? Có phải chỉ là có những thuật toán mã hóa khác được nghiên cứu hứa hẹn kết quả tốt hơn?

Tôi cho rằng một hàm băm có kích thước khối lớn hơn có lợi thế là có thể sử dụng các khóa dài hơn hoặc các nonce dài hơn. Đối với SHA-512, người ta có thể sử dụng khóa có độ dài 384 bit và độ dài 128 bit. Một khả năng khác là tiếp tục sử dụng khóa 256 bit, sử dụng khóa 128 bit và có kích thước thông báo tối đa tốt hơn là 2^128 khối (hoặc 2^137 bit cho SHA-512) so với ~2^39 bit cho AES-GCM với chỉ nonces 96 bit (theo ý kiến ​​​​của tôi sẽ là một mục tiêu tốt).

Hàm băm mật mã là một hàm chống lại tiền ảnh, tiền ảnh thứ hai và va chạm. Theo như tôi biết, người ta chưa chứng minh được rằng những điều kiện này là đủ để xây dựng mật mã luồng.

Đầu ra của hàm băm mật mã, có khả năng chống va chạm và tiền hình ảnh không nhất thiết có nghĩa là chúng tạo ra đầu ra không thể phân biệt được với ngẫu nhiên.Bởi vì với một cuộc tấn công bằng văn bản đã chọn, luồng được tạo có thể được trích xuất dễ dàng. Nếu luồng có thể phân biệt được, thì mẫu rõ ràng có thể tiết lộ thông tin về văn bản thuần túy. Theo như tôi biết (những người khác sửa lỗi cho tôi nếu tôi sai), không có vấn đề nào như vậy xảy ra với bất kỳ hàm băm nào hiện đang được sử dụng. [Và như những người khác đã chỉ ra, có thể là do không có phân tích mã hóa nào như vậy đối với các hàm băm được sử dụng làm trình tạo luồng đã được thực hiện đủ nghiêm ngặt vì nó không bao giờ được dự định sử dụng theo cách đó]

Có một số vấn đề với cách câu hỏi của bạn đã được trình bày. Có nonce, counter và key. Bạn đang nói về nonce bên dưới nhưng không có bộ đếm và phương trình bạn đã trích dẫn $H(k\mathbin\|n)$ từ câu trả lời has got counter nhưng không có nonce nên bạn chưa nói rõ bạn sử dụng chúng như thế nào.

Dù sao theo như chúng tôi biết, $H(k\mathbin\|n\mathbin\|\text{ctr})$ ở đâu $n$ và $\text{ctr}$ tương ứng, nonce và counter có thể là một trình tạo luồng tốt cho hầu hết các hàm băm mà tôi đoán, miễn là $k$, $n$ và $\text{ctr}$ tất cả đều có độ dài cố định (bạn không phải lo lắng về các cuộc tấn công kiểu mở rộng độ dài đối với đầu vào có độ dài cố định). Nhưng nói chung, bạn phải sử dụng các hàm được cho là hàm giả ngẫu nhiên (như HMAC) để đảm bảo an toàn hợp lý nếu bạn muốn sử dụng luồng dựa trên hàm băm. Như trong $\operatorname{HMAC}_k(n\mathbin\|\text{ctr})$ . Và bởi vì HMAC sử dụng hàm băm kép và mật mã khối như AES có khả năng tối ưu hóa cao, nên tôi đoán rằng nó không mang lại hiệu suất mà các luồng hiện đại (chacha, AES-CTR/GCM) mang lại ngay cả khi nó đủ an toàn.