HMACとNMACの話 再び

今年の5月位にはてなの認証APIんときに出てきてた話→2006/05/08 MAC_k(x)=MD5(k,x) としたときに不味い理由とかで.
Cryptology ePrint Archive 2006/319 - S. Contini and Y. L. Yin "Forgery and Partial Key-Recovery Attacks on HMAC and NMAC Using Hash Collisions"
ASIACRYPT2006に出てる論文. BellareがCRYPTO2006で今までのよりもうちょっと弱い仮定からの安全性証明を付けたんだけど, 実際に衝突が見つかっているようなハッシュ関数だとアタック出来るよという話(らしい).
実用的には, メッセージの量が2^{40}以上のオーダーなので大丈夫ぽいけども.

段数を減らした版のSHA1についても衝突発見の報告がされているので, そろそろHMAC-SHA1も嫌だなぁ. SHA0とSHA1捨てろという話か. はてなの認証APIは未だにMD5だけど大丈夫かしら(ひとごと