È più facile calcolare una collisione SHA256 parziale rispetto a una piena?

Sì. Questo è un "problema" noto. Per sicurezza, dovresti controllare un numero di bit appropriato per il tuo livello di sicurezza. Nel codice, dovresti semplicemente controllare l'intera faccenda. Per gli umani, potrebbe valerne la pena abbreviare l'hash per renderlo meno spiacevole da verificare (rendendo quindi più probabile che la gente lo verifichi effettivamente).

Per proteggersi dagli attacchi attualmente plausibili, dovresti controllare almeno ~ 180 bit, perché una collisione richiede solo 2 ^{n / 2} bit da calcolare ( vedi Wikipedia ). Ad esempio, con SHA-256, puoi scegliere di controllarne tre quarti (192 bit): nessuno al momento può forzarlo, e nessuno (per quanto ne sappiamo) ha un attacco su SHA-2 che è abbastanza buono per falso 192 bit di esso. Oppure, se ti senti fortunato, scegli alcuni byte a caso e spera che l'attaccante non abbia preso lezioni di psicologia per prevedere quali controllerai.

Questo può essere usato anche per scopi benigni. Vedi Bitcoin e Tor, dove le persone generano indirizzi vanity Bitcoin e nomi di dominio vanity . Questi sono esempi di una forza bruta parziale usata per ottenere valori divertenti.

Per chiarire, l'attacco di cui sei preoccupato (qualcuno che sostituisce un file diverso che esegue lo hash con lo stesso hash noto) è in realtà un secondo attacco preimage, non un attacco di collisione. Un secondo attacco di preimage è molto più difficile da raggiungere rispetto a un attacco di collisione.

Detto questo, nel tuo scenario descritto di abbinare solo un numero indefinito (e presumibilmente piccolo) di caratteri in un hash, un secondo attacco preimage è certamente possibile, ed è anche probabile che qualcuno faccia uno sforzo sufficiente. Quindi, si , è (ovviamente?) Più facile abbinare meno caratteri di un hash, rispetto ad altri.

Come nota a margine, se qualcuno fosse in grado di accedere in qualche modo al tuo server e scambiare il file con uno diverso, sembra ragionevole che probabilmente potrebbero anche cambiare il valore hash dichiarato, il che sarebbe probabilmente molto più facile e un attacco più efficace rispetto alla generazione di un file che corrisponde parzialmente all'hash dichiarato.

Let's consider brute-force still too expensive, ...

Il presupposto della tua domanda è errato.

Diciamo che sei pigro e basta verificare dieci cifre esadecimali. Questo è 40 bit, quindi l'attaccante deve provare in media 2 ⁴⁰ = 10 ¹² . Se è in grado di aggiungere spazzatura casuale alla fine del file modificato, è economico calcolare nuovi hash poiché non dovrà eseguire l'hash dell'intero file più volte. Su una GPU puoi ottenere facilmente 10 ¹⁰ hash al secondo ( fonte ). Quindi ci vorrebbe un minuto per generare una corrispondenza.

Ovviamente se controlli più cifre il tempo cresce in modo esponenziale. Ma l'attaccante può compensare (fino ad un certo punto) usando hardware più / migliore.