Cryptography Reference
In-Depth Information
<
2
r
− b
b
x
k
i
b
m
k
0
···
0
ipad
ipad
8
h
f,p
u
b
opad
opad
h
f,p
u
k
o
(
k
i
· x
)
l
h
f,p
u
T
(
x, k
)
l
Abbildung 9.1: HMAC
Das folgende Lemma zeigt, dass der HMAC als Instanz von NMAC betrachtet werden
kann, wobei die Schlüssel mit Hilfe der Kompressionsfunktion
f
von
k
i
und
k
o
abgeleitet
werden.
Lemma 9.6.1.
Mit den Bezeichnungen aus Definition 9.6.2 gilt:
T
(
x, k
)=
h
f
(
u,k
o
)
(
h
f
(
u,k
i
)
(
x
))
<
2
r
−b
,
m
,
x
für jedes
k
∈{
0
,
1
}
∈{
0
,
1
}
wobei
h
w
=
h
f,
w
,mit
p
wie in Definition 9.6.1 gewählt.
Beweis.
Es sei
v ∈{
0
,
1
}
<
2
r
−b
.Da
p
eine HMAC-kompatible
(
r, b, l
)
-
Füllfunktion ist, erhalten wir mit den Bezeichnungen aus Definition 9.6.1:
b
und
x ∈{
0
,
1
}
h
(
v · x
)=
h
f,
u
(
v · x
)
=
i
f
(
u, p
(
v · x
))
=
i
f
(
u, v · x · p
(
|v · x|
))
=
i
f
(
f
(
u, v
)
,x· p
(
b
+
|x|
))
