Ad esempio: sto utilizzando HMAC SHA 256 per firmare un file XML. Una parte dei dati del file è un numero di versione. Se aggiungo la versione al mio segreto per usarla come chiave, questo indebolisce l'HMAC? Poiché la versione fa anche parte del messaggio firmato, è indebolita o ancora sicura?
No, non è indebolito. L'HMAC garantisce che anche se alcune delle chiavi sono note, il resto rimane invariato. Altrimenti ci sarebbero zeri invece del numero di versione. Tuttavia, l'HMAC non è reso "più strong".
Se ti capisco correttamente, stai usando una informazione conosciuta (cioè visibile ad un attaccante) come parte della tua chiave. Se questo è il caso, allora stai assolutamente distruggendo il tuo HMAC, perché stai riducendo la quantità di spazio delle chiavi sconosciuta di cui hanno bisogno a bruteforce per falsificare un messaggio.
Ad esempio, se utilizzi una chiave a 128 bit con HMAC, ma 32 di questi bit sono sempre noti a un utente malintenzionato, devono solo attaccare uno spazio per le chiavi a 96 bit.