超軽量Twitterクライアント「もふったー」コンシューマシークレットキー難読化最後の挑戦 - GIGAZINE もふったーコンシューマシークレットキー難読化最後の挑戦 ・ω・ - Windows 2000 Blog あたりの話について。記憶に頼って書いてるので間違ってたらごめんなさい。

問：鍵を隠すことができるか

答：以下の理由から可能なはず。

• HMACのキーは前置型でハッシュ関数のブロックサイズ
• SHA-1*1はMerkle-Damgaard法で構築される
• ブロックをまたぐ際のステート値はファイナライズ処理を除けば最終的なハッシュ値と同じ

以上より、鍵のハッシュを演算後の内部ステートをもつ、鍵ごとに特化したHMAC関数（正確に言うと、鍵ごとに特化したハッシュ値同様の安全性をもつ（つまり鍵を回復することのできないステート値）を生成し、鍵のかわりに、そのステート値を埋め込んだ専用HMAC関数をプログラム中に記述することができる。そして、ステート値から鍵を回復することはできない*2。

問：そのようにして鍵を隠すことに意味はあるのか

答：ない。

鍵を隠すのは、鍵を使って署名できないようにするためのはず。だが、上記のような方法で鍵を隠したとしても、そのステート値を使って、鍵を知らなくても署名することができる。

つまり、鍵を隠したところで意味がない。鍵を奪われなければ、ピッキングされても構わないと考えるなら話は別ですが。

10:33追記: 確認しましたが、HMACの鍵から導出したステート値を持ちまわることができるという特性と、一方で導出されたステート値も鍵同様の保護が必要であるという点は RFC 2104 の 4. Implementation Note に記載されています。HMACを提案した論文 Keying Hash Functions for Message Authentication の 5.3 もあわせて参照のこと