I progetti di funzionalità hash a tubo stretto sono stati recentemente messi sotto accusa, in particolare in riferimento ad alcuni candidati SHA-3. Questa critica è valida? Può essere spiegato più semplicemente di questo documento fa?
Sono curioso perché voglio sapere se questo è un criterio con cui possono essere valutate anche le vecchie funzioni di hash.
In una visione molto stretta e ristretta, la critica del pipe stretto è un attacco valido, nel senso che mostra una funzione hash con una dimensione di output a 256 bit e una "narrow pipe" (stato di esecuzione non più grande dell'output) offre, al massimo, la resistenza di preimage che potrebbe essere ottenuta con una funzione hash con un'uscita di 255,34 bit. Da un punto di vista più pratico, ciò non ha alcuna conseguenza sulla reale sicurezza. Gligoroski ha offerto questo articolo come argomento per progetti di tubi larghi, in particolare la sua proposta per SHA-3, chiamata Blue Midnight Wish .
Aumasson, uno dei designer di BLAKE , un altro candidato SHA-3 (un progetto a tubo stretto), disse che questo attacco era del tipo "my-pipe-is-bigger-than-yours" e non era molto serio. E 'comunque abbastanza chiaro che tra tutti i risultati della ricerca sui 14 candidati SHA-3 del secondo round, la critica del tubo stretto da parte di Gligoroski è probabilmente l'attacco più noto - il che significa che tutte e 14 le funzioni sono, per quanto ne sappiamo, abbastanza robusto. Si può anche notare che per il 3 ° round della competizione SHA-3, BLAKE è stato selezionato, ma non BMW.
MD4, MD5, SHA-1, SHA-256 e SHA-512 sono design a tubi stretti e su questo non manca un battito cardiaco.
La ragione per cui questo attacco funziona (per valori molto bassi di opere) è che una funzione casuale non ha probabilità di avere un 1 - > 1 mappatura degli ingressi alle uscite se si tratta di una funzione veramente casuale. In effetti, il modo in cui la matematica funziona, una mappatura casuale perfetta produrrebbe solo 1 - 1 / e del possibile spazio di output. Questo funziona a 0.632 circa, e poiché un po 'meno della metà delle uscite non accadrà, riduce la difficoltà di trovare una pre-immagine di un bit parziale (un bit completo sarebbe se metà delle uscite non accadesse) .
Come puoi vedere, questo è puramente teorico e francamente piuttosto sciocco.
Leggi altre domande sui tag cryptography hash cryptanalysis