HMAC khóa công khai một lần có thể được bảo mật không?

Hãy tưởng tượng xác thực như $hmac = H(nonce, ciphertext)$. $nonce$ thực sự là ngẫu nhiên và được chọn (ngẫu nhiên và KHÔNG thay thế) từ tập hợp được xác định trước $N$. Cho nên ${nonce} \in N$ và một khi được sử dụng không thể được sử dụng lại một lần nữa. Và $N$ được công khai biết đến. Không có mối quan hệ thuật toán giữa $nonce$ và $bản mã$.

HMAC có an toàn không $N$ là công cộng?

Nếu nonce được biết thì HMAC được biến thành hàm băm và kẻ thù có thể thực hiện một cuộc tấn công tích cực bằng cách thay thế thẻ xác thực $t$ với $t' = H_{k=nonce}(bản mã')$.

Nếu một lớn $N$ biết hay không không quan trọng; nếu nonce vẫn là bí mật thì $N$ chỉ đơn giản là miền mà từ đó bí mật được lấy; tức là trong trường hợp đó bạn đã mô tả chức năng tạo khóa bí mật mà $N$ thường được biết đến (ví dụ: đó là $2^{256}$ cho HMAC-SHA-256, được mô tả chung là một chức năng $\text{Gen}$ với đầu ra $1^{256}$ hoặc $\{0, 1\}^{256}$).

Tất nhiên, miễn là giá trị thẻ $t$ không thể bị thay đổi bởi kẻ tấn công thì cấu trúc được bảo mật, giả sử rằng $t$ là đủ lớn. Xét cho cùng, điều này tương đương với việc có một giá trị băm tĩnh cho một thông báo cụ thể không thể thay đổi, tương tự như một hàm băm trên một tệp trên trang gốc có thể tải xuống từ máy nhân bản.

Xin lưu ý rằng đây có thể không phải là trường hợp đối với các chức năng MAC khác, ví dụ: bạn không muốn sử dụng GMAC với khóa đã biết.