Có mô hình tấn công tốt nào của HMAC không?

Có bất kỳ mô hình tấn công tốt của HMAC? Giống như làm thế nào nó có thể bị tấn công? Nếu có bất kỳ cuộc tấn công nào có thể xảy ra của HMAC, tôi rất sẵn lòng biết về nó.

Ngoài vũ lực và rò rỉ khóa đơn giản, các cuộc tấn công hợp lý duy nhất chống lại HMAC là các cuộc tấn công vào việc triển khai.

Một là: Sonia Belaíd, Luk Bettale, Emmanuelle Dottax, Laurie Genelle, Franck Rondepierre: sự khác biệt Phân tích công suất của HMAC SHA-2 trong Mô hình Trọng lượng Hamming, Trong thủ tục của SECRYPT 2013.

Một cách khác là tìm kiếm khóa chung bằng cách sử dụng tiêm lỗi, mà tìm thấy một $n$-bit khóa MAC trong $n+1$ truy vấn (bất kể thuật toán nào), giả sử một thiết bị tính toán và xuất (H)MAC của một thông báo cố định; thiết bị đó sao chép khóa từ bộ lưu trữ dài hạn (ví dụ: Flash) sang RAM theo tuần tự tại mỗi lần tính toán MAC; và (đó là điểm khó khăn) kẻ tấn công có thể thay thế (các) một phần lựa chọn của chúng bằng 0 trong quá trình chuyển đó (ví dụ: bằng cách chiếu tia laser vào đúng vị trí vào đúng thời điểm thực hiện). Để tìm một bit khóa, kẻ tấn công so sánh MAC có và không có sự thay thế.

HMAC là mã xác thực tin nhắn phải chống lại sự giả mạo hiện có dưới sự tấn công bằng tin nhắn đã chọn, điều này được gọi là EUF-CMA.

HMAC với tư cách là một chức năng giả ngẫu nhiên nên có khả năng chống lại cuộc tấn công phân biệt, một lần nữa, cuộc tấn công thông báo được chọn, được gọi là IND-CMA.

Phần MAC thì mình khá chắc nhưng phần PRF thì mình không chắc lắm. Tôi không biết tài liệu tham khảo tốt về điều này, vui lòng thêm vào đây.