2.7 A Pseudorandom Function for Crypto Suites Based on ChaCha/Poly1305 (Pseudozufallsfunktion für auf ChaCha/Poly1305 basierende Kryptosuiten)
2.7 A Pseudorandom Function for Crypto Suites Based on ChaCha/Poly1305 (Pseudozufallsfunktion für auf ChaCha/Poly1305 basierende Kryptosuiten)
Einige Protokolle, wie IKEv2 ([RFC7296]), erfordern eine Pseudorandom Function (Pseudozufallsfunktion, PRF), vor allem für die Schlüsselableitung (key derivation). In der IKEv2-Definition ist eine PRF eine Funktion, die einen variabel langen Schlüssel und eine variabel lange Eingabe akzeptiert und eine fest lange Ausgabe liefert. Am häufigsten werden hierfür Hashed MAC (gehashte MAC, HMAC)-Konstruktionen verwendet, und oft wird dieselbe Funktion sowohl für die Nachrichtenauthentifizierung (message authentication) als auch als PRF genutzt.
Poly1305 ist keine geeignete Wahl für eine PRF. Poly1305 verbietet die zweimalige Verwendung desselben Schlüssels, während die PRF in IKEv2 mehrfach mit demselben Schlüssel verwendet wird. Außerdem ist Poly1305 – im Gegensatz zu HMAC – verzerrt (biased) ; die Verwendung zur Schlüsselableitung würde die Sicherheit der symmetrischen Verschlüsselung (symmetric encryption) verringern.
Chacha20 könnte als Schlüsselableitungsfunktion (key-derivation function) dienen, indem ein beliebig langer Schlüsselstrom (keystream) erzeugt wird. Das ist jedoch nicht das, was Protokolle wie IKEv2 verlangen.
Aus diesem Grund legt dieses Dokument keine PRF fest.