使用 HMAC SHA-1 的 PBKDF2 如何返回超过 20 个字节？

Question

如果 Node 的 crypto.PBKDF2 使用 HMAC SHA-1，那么密钥长度怎么可能超过 20 个字节？

这是我的理解（显然是错误的）：crypto.PBKDF2(password, salt, iterations, keylen, callback) 使用 HMAC SHA-1 用盐对密码进行哈希处理。然后它使用该哈希值并用相同的盐对 it 进行哈希处理。无论您告诉它多少次迭代，它都会重复，然后将结果传回给您。结果将被截断为您在keylen 中指定的字节数。

SHA-1 outputs 160 bits，或 20 个字节。但是，我可以从crypto.PBKDF2 要求keylen 超过20 个字节，并且超过第20 个字节，数据不会重复。这对我来说没有意义。

我在这里有什么误解？

试试看：

c.pbkdf2('password', 'salt', 1, 21, function(err, key) {
    for (var i = 0; i < key.length; i++) {
        console.log(key[i].toString(36));
    }
});

我希望在第 20 个字节之后看到某种模式，但我没有。

Answer 1

为了派生ith 块，PBKDF2 运行完整的密钥派生，将i 连接到盐。因此，要获得您的第 21 个字节，它只需使用不同的有效盐再次运行推导，从而产生完全不同的输出。这意味着导出 21 个字节的成本是导出 20 个字节的两倍。

---

我建议不要使用 PBKDF2 来导出超过底层哈希的自然输出大小/大小。通常这只会减慢防御者的速度，而不是攻击者的速度。

我宁愿运行一次PBKDF2 以派生单个主密钥，然后使用 HKDF 从中派生多个秘密。见How to salt PBKDF2, when generating both an AES key and a HMAC key for Encrypt then MAC? on crypto.SE