<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Thu, Apr 21, 2016 at 9:25 PM, Trevor Perrin <span dir="ltr"><<a href="mailto:trevp@trevp.net" target="_blank">trevp@trevp.net</a>></span> wrote:<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
(d) Note that whether you pass a key to HMAC in the first or second<br>
argument, this key is processed as message data by the hash function.<br>
So security reductions for HMAC (like Bellare's 2006 proof) already<br>
need to assume that the underlying compression function is a "dual<br>
PRF", a PRF when keyed either through the chaining variable or the<br>
message.<br><br></blockquote><div><br></div><div>This is a key point.  For certain PRFs -- "dual PRF"s -- the order of arguments does not matter. The security considerations section should note that Noise depends on this property of the underlying PRF.</div></div>
</div></div>