主要观点：介绍了 NIST SP 800-108 及其相关内容，包括其出版物类型、800 系列文档的作用等，重点探讨了 NIST SP 800-108 中使用伪随机函数进行密钥推导的相关问题，如 AES-CMAC 在 KDF 计数器模式下的攻击及导致的密钥控制安全丢失等，还提及了缓解措施及该问题未广泛公开的原因。
关键信息：

• NIST SP 800-108 是关于信息技术实验室研究等的系列报告，2009 年首次发布，2021 年 10 月发布更新草案。
• 其中使用 AES-CMAC 作为 PRF 的 KDF 存在安全问题，攻击者可通过操纵输入强制得到特定的 128 位值，导致密钥控制安全丢失。
• 缓解措施包括使用 HMAC 或 KMAC 替代 CMAC，或改变输入等。
• 该问题未广泛公开是因为相对不像 Heartbleed 或 Log4shell 那样轰动，但仍应关注 NIST 的工作。
  重要细节：
• Special Publications 由 NIST 发布，800 系列报告涉及计算机安全等方面，常支持 FIPS。
• KDF 安全概念强于 PRF 安全，PRF 要求均匀分布密钥，KDF 可容忍非均匀随机密钥。
• 密钥控制安全假设在使用 KDF 时，多方输入下输出应随机且不可被某一方影响。
• 攻击通过特定计算步骤，利用 AES 加密和 XOR 操作来实现，公共评论和附录 B 描述了具体计算步骤。
• 攻击者可在控制部分输入的情况下强制 KDF 输出特定值，可用于引入后门，目前未发现有产品或服务以这种方式使用该 KDF，且这不是 NIST 标准的故意后门，只是算法的意外属性。