Poly1305-PBKDF2 sarebbe sicuro

0

Ho una implementazione Poly1305 ( not Poly1305-AES) nella mia libreria.

La differenza: Poly1305-AES utilizza una chiave e un nonce e quindi utilizza AES per generare una chiave una sola volta da tasto + nonce. Ciò è necessario, poiché Poly1305 richiede chiavi temporanee . Tuttavia, se si genera comunque una chiave casuale univoca, è possibile escludere la parte AES. ( fonte breve , origine originale )

La mia domanda: è sicuro generare una chiave una tantum unica da una chiave statica utilizzando un altro KDF con sale unico (come PBKDF2)?

(Penso che potresti chiamare questo Poly1305-PBKDF2 o sth. come questo)

    
posta K. Biermann 03.05.2015 - 15:11
fonte

1 risposta

1

Sì, sarebbe sicuro.

Perché sarebbe sicuro?
Perché si eseguirà HMAC (la primitiva sottostante di PBKDF) come codice di flusso utilizzando una funzione di derivazione chiave.
Poiché si tratta di un approccio comune (almeno per schemi di crittografia integrati), l'utilizzo di questo sarebbe sicuro almeno quanto l'utilizzo del KDF e del sale nudi.

Tuttavia, sostengo con forza usando PBKDF2 per qualsiasi derivazione di chiavi basata su password e come "codice di flusso" darebbe alle persone un senso di sicurezza errato (perché è 1000x più lento = 10 bit più sicurezza).

Se desideri utilizzare Poly-1305, ti consigliamo di utilizzare un codice di streaming dedicato (ad esempio ChaCha20) o una modalità di codifica di streaming dedicata (ad esempio CTR).

    
risposta data 03.05.2015 - 17:01
fonte

Leggi altre domande sui tag