XOF
extendable-output function 拡張出力機能
暗号ハッシュ関数,MACの出力長が可変のもの
NIST FIPS PUB 202
NIST SP 800-185
SHA-3系? ハッシュ関数の出力を充分攪拌できるブロックサイズつきで可変サイズにしたようなもの
Keccakのところてん方式で長さが拡張できる仕組みを利用したもの。他のものでも似たようなことができればいいのかも。
次期軽量暗号ASCONでも利用可能
CTRのようにストリーム暗号として利用できるかどうかは不明
SHAKE
cSHAKE
KMACXOF
TupleHashXOF
ParallelHashXOF
などがある
KMAC,TupleHah, ParallelHash (XOFのつかないもの)は長さが変わると値が変わるので駄目かもしれない
SHA-3などの固定サイズの代用としては利用しない方がいいらしいがSHAKE128/SHAKE256が固定サイズでも標準になっているようだ
MGFとして利用可能 RFC 8702
RSAES-OAEP?, RSASSA-PSS
KDFとして使えるとFIPS PUB 202 A.2 にも描いてあるかもしれず
NIST SP 800-108r1upd1 4.4. でKMACがKDFとして使える、繰り返し数なし(仮)がその他は不明 S は "KDF" または "KDF4X"
https://csrc.nist.gov/pubs/sp/800/108/r1/upd1/final