Trao đổi khóa và dữ liệu HMAC

Trong một số ngữ cảnh (HKDF (RFC-5869 giây 2.2) và BIP32 của Bitcoin (tạo khóa chính)), tôi đã thấy khóa và dữ liệu được hoán đổi cho HMAC. Ví dụ: đặt HMAC là một hàm $h:\{0,1\}^c \times \{0,1\}^b \to \{0,1\}^c$ (ký hiệu thông thường) được xác định cho một khóa $k$ và dữ liệu $m$ như $h(k, m)$. Vâng, một số người cho phép $k$ là một giá trị công cộng cố định (ví dụ, hạt giống bitcoin) và mã hóa các byte bí mật trong $m$.

Tôi hiểu tại sao họ muốn làm điều này, chẳng hạn, tài liệu đầu vào (có thể là khóa bí mật) có thể có bất kỳ độ dài quy định nào $c$. Tôi cho rằng họ không mong đợi sự chính trực, họ chỉ muốn sự ngẫu nhiên.

Tôi mong muốn tính bảo mật (hoặc ít nhất là tính toàn vẹn) phụ thuộc vào tính bí mật của $k$ và các thuộc tính trên hàm băm bên dưới. Thật vậy, sử dụng kết quả của "Bằng chứng mới cho NMAC và HMAC" của Bellare 1, chúng tôi có PRF ngay khi hàm nén của hàm băm là PRF và nếu những người triển khai đã làm đúng, điều này thực sự không làm phụ thuộc vào bí mật của $k$.

Nhưng đối với tôi, bằng chứng giả định rằng khóa bí mật, ngẫu nhiên thống nhất. Bằng chứng PRF có còn giữ được không nếu chúng tôi tiết lộ $k$ cho kẻ tấn công?

(Lưu ý: Điều này sẽ rõ ràng nếu $k$ và $m$ đóng vai trò đối xứng trong cấu trúc HMAC - đây cũng không phải là trường hợp.)

Tôi sẽ chỉ giải quyết phần HKDF.

HKDF đã được giới thiệu trong bài báo sau: https://eprint.iacr.org/2010/264.pdf

Trong bối cảnh này, HMAC được sử dụng cho hai mục đích hơi khác nhau: 1) trích xuất ngẫu nhiên và 2) PRF độ dài biến đổi (đầu vào/đầu ra).

Trao đổi khóa xảy ra để trích xuất ngẫu nhiên. Tình huống ở đây là chúng tôi được cung cấp một tài liệu khóa $IKM$ đó không phải là ngẫu nhiên thống nhất (giả) và muốn tạo khóa $PRK$ đó là giả ngẫu nhiên (nghĩa là không thể phân biệt về mặt tính toán với ngẫu nhiên).

Như bạn đã lưu ý, HMAC cũng được hiển thị là PRF. Tuy nhiên, chúng ta không thể dựa vào bảo mật PRF để tranh luận về bảo mật của $PRK$. Nhưng bài báo lập luận rằng việc sử dụng HMAC này là phù hợp để cung cấp một trình trích xuất tính toán ngẫu nhiên (xem phần 6).

Nói về PRF, một điều thú vị cần lưu ý là một số bằng chứng bảo mật, như TLS, thực sự dựa trên cái gọi là giả định PRF-ODH(https://eprint.iacr.org/2017/517.pdf). Khi áp dụng cho việc sử dụng HKDF trong TLS: nhớ lại việc hai bên trao đổi cổ phiếu DH $(g^x, g^y)$; giả định (về biến thể của) đại khái nói rằng: hàm $F(K, X) = HMAC (X, K) $ là một PRF theo giả định rằng chức năng nén cơ bản là một lời tiên tri ngẫu nhiên; ngay cả khi kẻ tấn công được cấp quyền truy cập vào một lời tiên tri $\mathcal{O}(T,v) = F (T^x, v) $. (Bỏ qua ở đây: hạn chế về giá trị của $(T,x)$ và số truy vấn tối đa).

Lưu ý ở đây rằng chức năng $F$ ở trên có keyspace $\langle G \rangle$, nhóm dùng để trao đổi DH. Vì vậy, chúng tôi đang xử lý một khóa ngẫu nhiên thống nhất trên không gian khóa trong ngữ cảnh PRF-ODH.

P.S: cũng cân nhắc đọc câu trả lời này https://crypto.stackexchange.com/a/30461/58690