При использовании HMAC для подписания сообщения оказывается ли солью ключ, сообщение или оба?

Сказать, что я проектирую библиотеку, чтобы подписать / проверить сообщения с SHA-256 HMAC Отказ Если конечный пользователь использует слабый общий ключ и отправляет много коротких сообщений, я предполагаю, что будет рискнул злоумышленник, обнаруживающий ключ.

Моя интуиция говорит, что я должен добавить уникальное (на сообщение) солью к ключу, чтобы сделать реверсивную инженеров ключом сложнее.

Сколько будет ключевым засорением помощи, и я позволил бы мне получить что-либо, также соленую пособие сообщения?