Sözde Rastgele Fonksiyon (PRF) temel öğesi, belirli bir giriş için sabit, rastgele uzunlukta, sözde rastgele çıkışlar üretebilmenizi sağlar.
Tink, anahtar kümeleri üzerinde çalıştığı için bu temel öğe, tek bir PRF yerine karşılık gelen bir PRF grubunu gösterir. PRF'ler 32 bit anahtar kimliğiyle dizine eklenir. Bu, bir bilgi parçasını önceki ilişkilendirmeyi kaybetmeden çıkartmak için kullanılan anahtarı döndürmek amacıyla kullanılabilir.
PRF aşağıdaki özelliklere sahiptir:
- Belirleyici: Belirli bir giriş için PRF hesaplanırken her zaman aynı çıktı elde edilir.
- Rastgelelik: PRF çıkışı, rastgele baytlardan ayırt edilemez.
Anahtar türü seçin
Çoğu kullanım için HMAC_SHA256_PRF
kullanmanızı öneririz ancak başka seçenekler de vardır.
Genel olarak aşağıdakiler geçerlidir:
HMAC_SHA512_PRF
, giriş boyutunuza ve kullandığınız donanımın özelliklerine bağlı olarak daha hızlı olabilir veya olmayabilir.HMAC_SHA512_PRF
, neredeyse sınırsız sayıda mesaj için kullanılabilecek en konservatif moddur.AES_CMAC_PRF
, AES-NI donanım hızlandırmayı destekleyen sistemlerde en hızlıdır.
Minimum güvenlik garantisi
- Anahtar bilgisi olmadan PRF rastgele bir işlevden ayırt edilemez
- Çok kullanıcılı senaryolarda (bir saldırgan belirli bir anahtarı değil, en fazla 232 anahtar arasından herhangi bir anahtarı hedeflediğinde) en az 128 bit güvenlik
- En az 16 baytlık çıkış kullanılabilir
Örnek kullanım alanları
PRF'nin kullanım alanları arasında kimliği tanımlayabilecek bilgilerin (PII) belirleyici çıkarımı, anahtarlı karma işlevleri ve anahtarı bilmeden orijinal veri kümesiyle birleştirmeye izin vermeyen alt kimlikler oluşturma yer alır.
PRF'ler bir mesajın gerçekliğini kanıtlamak için kullanılabilir. Ancak bu kullanım alanında doğrulama desteği olduğundan, doğrulama sırasında sıklıkla yaşanan güvenlik sorunlarından kaçındığınızdan ve anahtar rotasyonu için otomatik destek aldığınızdan temel MAC adresini kullanmanız önerilir. Ayrıca belirleyici olmayan algoritmalara da izin verir.