XOR-Cascade of hash debole sicuro?

Question

XOR-Cascade of hash debole sicuro?

#1 da (1 voti)
#2 da (0 voti)

1

Ho seguito la domanda teorica:

Lascia che H(X) sia una funzione di hash considerata debole perché è possibile produrre collisioni (ad esempio SHA1, MD5).

Mi chiedo se le seguenti funzioni:

H2(X) = H(H(X)) xor H(X)
H3(X) = H(H(H(X))) xor H(H(X)) xor H(X)
H4(X) = ...

può essere considerato sicuro, se H(X) è considerato non sicuro. Se l'autore dell'attacco può trovare una collisione in H(X) , dovrà inoltre trovare una collission anche in H(H(X)) , per poter avere una collisione in H2(X) = H(H(X)) xor H(X) . O non è ancora sicuro? (Perché?)

Sono consapevole che tale cascata non è performante rispetto a una funzione hash più recente come SHA256 o SHA3.

hash

posta Daniel Marschall 25.10.2014 - 01:35

fonte

2 risposte

Leggi altre domande sui tag hash

Architettura di sicurezza basata su host per la rete di server web bit.ly non è sicuro e una pagina di attacco? [duplicare]

score 1 · Answer 1

No. Una collisione per H è una coppia di input m e m ' tale che m ≠ m' ma H ( m ) = H ( m '). Ne consegue che H ( H ( m )) = H ( H ( m ')), e anche H ( H ( m )) xor H ( m ) = H ( H ( m ')) xor H ( m '), e così via.

Quindi, qualsiasi collisione per H è anche una collisione per tutte le tue funzioni H ₂, H < sub> 3 , H ₄ ... Queste funzioni non sono in alcun modo più sicure di H quando si considera la resistenza alle collisioni . Possono anche essere meno sicuri, anche, dal momento che la tua premessa è sbagliata:

If the attacker could find a collission in H(X), he would need to additionally find a collission in H(H(X)) too, to be able to have a collission in H2(X) = H(H(X)) xor H(X).

Questo non è vero. Se un utente malintenzionato trova una collisione per H che collide anche per H ( H ), quindi ottiene una collisione per H ₂. Ma non funziona nel modo inverso: non c'è un requisito assoluto per una collisione su H ₂ essere tale che sia una collisione su entrambi H e H ( H ).

Quindi, tutte le collisioni per H sono collisioni per H ₂ (e H ₃, H ₄ ...) ma H ₂ può avere collisioni proprie che non lo sono collisioni per H . Trovare collisioni su H ₂ può quindi essere più semplice che trovare collisioni su H .

score 0 · Answer 2

No, generalmente no. L'iterazione degli hash aumenta il rischio di collisione, dal momento che iterando da H (000 ... 128 ... 000) a H (111 ... 128 ... 111) - assumendo che H abbia un output a 128 bit, non è garantito per l'output 000 ... 128 ... 000 a 111 ... 128 ... 111. Invece, usando questa cosa, si riduce effettivamente la resistenza di collisione.

L'iterazione delle funzioni di hash deve essere eseguita come un fattore chiave di rafforzamento, ad esempio se si desidera generare una chiave di crittografia avanzata con una password non sicura. Un fattore chiave di rafforzamento rallenta l'aggressore abbastanza da rendere la bruteforcing della password sfavorevole rispetto alla bruteforcing della chiave stessa. Quindi qualsiasi collisione non ha importanza in quanto richiederà più tempo all'aggressore di trovare una collisione in una funzione di potenziamento della chiave piuttosto che attaccare direttamente la chiave di crittografia.

Si noti che l'utente malintenzionato ha la funzione hash, quindi l'utente malintenzionato può eseguire facilmente test contro la funzione hash per trovare eventuali collisioni e quindi eseguire il risultato del test sui dati reali.

Invece, modifica la funzione di hash nel tuo sistema con una nuova funzione di hash, come SHA512.