Organiza tus páginas con colecciones
Guarda y categoriza el contenido según tus preferencias.
La función primitiva de función seudoaleatoria (PRF) te permite producir salidas pseudoaleatorios estables, arbitrarias para una entrada determinada.
Dado que Tink opera en conjuntos de claves, esta primitiva expone un conjunto correspondiente de PRF en lugar de una única. Las PRF se indexan con un ID de clave de 32 bits. Esto se puede usar para rotar la clave que se usa para ocultar cierta información, sin perder la asociación anterior.
PRF tiene las siguientes propiedades:
Determinista: El cálculo de una PRF para una entrada determinada siempre producirá el mismo resultado.
Aleatorización: El resultado de una PRF no se puede distinguir de los bytes aleatorios.
Elige un tipo de clave
Recomendamos usar HMAC_SHA256_PRF para la mayoría de los usos, pero también hay otras opciones.
En general, se cumple lo siguiente:
HMAC_SHA512_PRF puede o no ser más rápido según el tamaño de entrada y los detalles del hardware que usas.
HMAC_SHA512_PRF es el modo más conservador que se puede usar para una cantidad prácticamente ilimitada de mensajes.
AES_CMAC_PRF es más rápido en sistemas que admiten la aceleración de hardware AES-NI.
Garantías de seguridad mínimas
Sin conocimiento de la clave, la PRF no se puede distinguir de una función aleatoria
Seguridad de al menos 128 bits, también en situaciones multiusuario (cuando un atacante no apunta a una clave específica, sino a cualquier clave de un conjunto de hasta 232 claves)
Al menos 16 bytes de resultados disponibles
Casos de uso de ejemplo
Los casos de uso de PRF incluyen la ocultación determinista de la información de identificación personal (PII), funciones hash con clave y la creación de IDs secundarios que no permiten unirse con el conjunto de datos original sin conocer la clave.
Si bien las PRF se pueden usar para demostrar la autenticidad de un mensaje, para ese caso de uso se recomienda usar el tipo primitivo de MAC, ya que es compatible con la verificación, evita los problemas de seguridad que ocurren con frecuencia durante la verificación y cuenta con compatibilidad automática para la rotación de claves. También permite
algoritmos no determinísticos.
[[["Fácil de comprender","easyToUnderstand","thumb-up"],["Resolvió mi problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Falta la información que necesito","missingTheInformationINeed","thumb-down"],["Muy complicado o demasiados pasos","tooComplicatedTooManySteps","thumb-down"],["Desactualizado","outOfDate","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Problema con las muestras o los códigos","samplesCodeIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-07-25 (UTC)"],[[["\u003cp\u003eTink's PRF primitive provides stable, pseudo-random outputs for given inputs, enabling deterministic redaction and keyed hashing functionalities.\u003c/p\u003e\n"],["\u003cp\u003ePRFs in Tink are indexed by key IDs within keysets, allowing for key rotation without association loss.\u003c/p\u003e\n"],["\u003cp\u003eWhile offering strong security, PRFs are deterministic and do not guarantee anonymity, only pseudonymity, requiring careful application in privacy-sensitive systems.\u003c/p\u003e\n"],["\u003cp\u003eTink supports various PRF key types, with HMAC_SHA256_PRF recommended for most use cases and AES_CMAC_PRF potentially offering the best performance on hardware with AES-NI acceleration.\u003c/p\u003e\n"],["\u003cp\u003ePRFs provide a minimum of 128-bit security, even in multi-user environments with large key sets, and can generate at least 16 bytes of output.\u003c/p\u003e\n"]]],["Pseudo-Random Function (PRF) produces stable, pseudo-random outputs for a given input, managed via keysets indexed by a 32-bit key ID for rotation. Key properties include deterministic output and randomness. `HMAC_SHA256_PRF` is recommended, with alternatives like `HMAC_SHA512_PRF` and `AES_CMAC_PRF`. PRF provides pseudonymity, not anonymity, and is secure with at least 128-bit security. Use cases include deterministic PII redaction and creating non-joinable sub-IDs. MAC is recommended for proving authenticity.\n"],null,[]]
