¿Poly1305-PBKDF2 sería seguro

0

Tengo una implementación de Poly1305 ( no Poly1305-AES) en mi biblioteca.

La diferencia: Poly1305-AES usa una clave y un nonce y luego usa AES para generar una clave de una sola vez desde key + nonce. Esto es necesario, porque Poly1305 requiere teclas de una sola vez . Sin embargo, si está generando una clave aleatoria única de todos modos, puede omitir la parte AES. ( fuente corta , fuente original )

Mi pregunta: ¿Es seguro generar una clave única de una clave estática utilizando otro KDF con sal única (como PBKDF2)?

(Creo que podrías llamar a esto Poly1305-PBKDF2 o algo como esto)

    
pregunta K. Biermann 03.05.2015 - 15:11
fuente

1 respuesta

1

Sí, esto sería seguro.

¿Por qué sería seguro?
Debido a que estaría ejecutando HMAC (la primitiva subyacente de PBKDF) como un cifrado de flujo usando alguna función de derivación de clave.
Dado que este es un enfoque común (al menos para esquemas de cifrado integrados), este uso sería al menos tan seguro como usar el KDF simple y un salt.

Sin embargo, argumentaría enérgicamente contra el uso de PBKDF2 para cualquier cosa que no sea una derivación de clave basada en contraseña y como un "cifrado de flujo" daría a las personas una sensación de seguridad errónea (porque es 1000x más lenta = 10 bits más seguridad).

Si desea utilizar Poly-1305, le recomiendo que utilice un cifrado de flujo dedicado (por ejemplo, ChaCha20) o un modo de cifrado de flujo dedicado (por ejemplo, CTR).

    
respondido por el SEJPM 03.05.2015 - 17:01
fuente

Lea otras preguntas en las etiquetas