<br><br>On Saturday, May 9, 2015, David Leon Gil <<a href="mailto:coruus@gmail.com">coruus@gmail.com</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Fri, May 8, 2015 at 7:37 PM, Phillip Hallam-Baker<br>
<<a href="javascript:;" onclick="_e(event, 'cvml', 'phill@hallambaker.com')">phill@hallambaker.com</a>> wrote:<br>
> On Thu, May 7, 2015 at 8:14 PM, Dan Kaminsky <<a href="javascript:;" onclick="_e(event, 'cvml', 'dan@doxpara.com')">dan@doxpara.com</a>> wrote:<br>
>> Practical HMAC-MD5 Collisions!<br>
>><br>
>> Not that they should ever matter...<br>
>><br>
>> <a href="http://dankaminsky.com/2015/05/07/the-little-mac-attack/" target="_blank">http://dankaminsky.com/2015/05/07/the-little-mac-attack/</a><br>
<br>
Koblitz's and Menezes's papers about HMAC and NMAC explain this quite nicely:<br>
<br>
"Another Look at Security Theorems for 1-Key Nested MACs."<br>
<a href="https://eprint.iacr.org/2013/248.pdf" target="_blank">https://eprint.iacr.org/2013/248.pdf</a><br>
<br>
"Another look at HMAC." <a href="https://eprint.iacr.org/2012/074.pdf" target="_blank">https://eprint.iacr.org/2012/074.pdf</a><br>
<br>
This is (one of several reasons) that I dislike HMAC, and wish that<br>
people would use hash functions with indifferentiability proofs<br>
instead.</blockquote><div><br></div><div>I read through the papers -- they get close, but never quite reach "if you have a collision in the hash function, you have a trivial collision in HMAC itself".  Maybe you can help me find that?<span></span></div><div><br></div><div>I really tried to find some reasonable way to complain about this property but it just isn't HMAC's job to provide collision resistance.</div><div> <br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
> There is actually a mode where they could matter. There exist<br>
> applications where a MAC is used as the digest for a signature.<br>
<br>
What applications, out of curiosity?</blockquote><div><br></div><div>Curious myself.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
> This enables a mode where the signature can only be verified by someone<br>
> who knows the secret without the loss of non-repudiation that a straight<br>
> HMAC entails.<br>
<br>
(I've been looking for a cite for this...)<br>
<br>
- David<br>
</blockquote>