Điểm:1

Tại sao phiên bản RFC của HKDF-Expand bắt đầu bộ đếm từ 1?

lá cờ in

Trong RFC 5869, định nghĩa của HKDF-Mở rộng được đưa ra như sau, với giá trị bộ đếm kết thúc nằm trong khoảng từ 1 đến (có lẽ là) 255:

Đầu ra OKM được tính như sau:

   N = trần(L/HashLen)
   T = T(1) | T(2) | T(3) | ... | T(N)
   OKM = L octet đầu tiên của T

   ở đâu:
   T(0) = chuỗi rỗng (độ dài bằng 0)
   T(1) = HMAC-Hash(PRK, T(0) | thông tin | 0x01)
   T(2) = HMAC-Hash(PRK, T(1) | thông tin | 0x02)
   T(3) = HMAC-Hash(PRK, T(2) | thông tin | 0x03)
   ...

Tuy nhiên, trong phần 4.2 của giấy HKDF thay vào đó, chức năng tương tự được xác định với giá trị bộ đếm bắt đầu từ 0. Có lý do tế nhị nào đó để tránh giá trị 0 trong byte bộ đếm đầu cuối này không?

DannyNiu avatar
lá cờ vu
Nó không phải là sửa đổi duy nhất mà những người IETF từng thực hiện đối với một thuật toán. Phiên bản học thuật của mật mã ChaCha20 có bộ đếm 64-bit IV và 64-bit, họ đã thay đổi nó thành 96-bit IV và bộ đếm 32-bit để làm cho nó phù hợp hơn với các giao thức Internet.
DannyNiu avatar
lá cờ vu
Nhận xét cuối cùng của tôi ở đây là, những câu hỏi kiểu này tốt hơn nên hỏi những người đưa ra quyết định. Người soạn thảo RFC có thể vẫn có thể liên hệ được với các địa chỉ liên hệ được liệt kê ở trang cuối cùng của RFC đó. Một trong số họ là [thành viên](https://crypto.stackexchange.com/users/86083/hugo-krawczyk) của cộng đồng này (mặc dù không hoạt động).
Maarten Bodewes avatar
lá cờ in
Đã biệt phái, nhưng tôi sẽ nói thêm rằng sẽ rất hữu ích nếu họ có thể trả lời ở đây hoặc - nếu bạn nhận được câu trả lời - hãy đăng nó dưới dạng câu trả lời của chính bạn.
Marc Ilunga avatar
lá cờ tr
Chỉ là suy đoán, nhưng về mặt bảo mật, tôi nghĩ sự khác biệt không thành vấn đề vì bảo mật dựa trên bảo mật PRF của HMAC. Nhưng có lẽ nó "dễ dàng" để thực hiện một cách ngây thơ vì bộ đếm vòng lặp giống với giá trị bộ đếm và không cần phải thực hiện "-1"?
lá cờ in
OK, tôi sẽ hỏi trong danh sách gửi thư CFRG vì họ có thể biết. Có vẻ hơi kỳ lạ khi giới hạn nó ở một byte đơn và sau đó loại bỏ 1/256 dung lượng!
Marc Ilunga avatar
lá cờ tr
với sha256, bộ đếm 255 chiếm khoảng 7 MB dữ liệu ngẫu nhiên.
kelalaka avatar
lá cờ in
Đó là một vấn đề của hương vị...
Maarten Bodewes avatar
lá cờ in
Đó có phải là $255 \cdot 32$ byte, tức là $(2^8 - 1) \cdot (2^5) = 2^{13} - 32 = 8 Ki - 32$ byte dữ liệu không?
Điểm:1
lá cờ in

Hugo Krawczyk đã trả lời trên danh sách gửi thư CFRG rằng phiên bản RFC đã được điều chỉnh để tương thích với IKE, bắt đầu bộ đếm lúc 1:

Câu hỏi hay. Tôi tin rằng (tôi đã kiểm tra một số email cũ của tôi với Pasi) điều này đã được thực hiện để tương thích với định nghĩa của HKDF trong IKE (đó là khi tôi thiết kế HKDF ban đầu, mặc dù không có tên và xuất bản phân tích). Tôi không vui lắm về việc bị giới hạn bởi sự ngược lại khả năng tương thích nhưng nó được đánh giá vào thời điểm đó là một trở ngại ít hơn cho việc áp dụng.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.