マルチ衝突とハッシュ関数に対する第1または2回目の画像前攻撃の違いは何ですか？

Question

ハッシュ関数のマルチ衝突と1回目または2回目のプリイメージの違いは何ですか。

• 最初のプリイメージ攻撃： ハッシュhが与えられた場合、そのようなメッセージを見つけてください

  ハッシュ（m）= h。

• 2番目のプリイメージ攻撃： 固定メッセージM1が与えられた場合、別のメッセージM2を見つけてください。

  ハッシュ（M2）=ハッシュ（M1）。

• マルチ衝突攻撃： 一連のメッセージm1、m2、... mnを生成します。

  ハッシュ（M1）=ハッシュ（M2）= ... =ハッシュ（MN）。

ウィキペディアは、a プリイメージ攻撃 攻撃されている固定ハッシュまたはメッセージがあるという点で、衝突攻撃とは異なります。

私は次のような声明を作成する論文に混乱しています：

この手法は、衝突を検索するのに効率的であるだけでなく、MD4の2番目の前イメージを探索するためにも適用できます。 2番目のプレイマージ攻撃について、彼らはランダムメッセージが確率2^–122の弱いメッセージであり、弱いメッセージに対応する2番目のプリメージを見つけるために1回限りのMD4計算のみが必要であることを示しました。

MD4に対する2番目のプレイマージ攻撃

著者が言っているように見えることを理解している場合、彼らはランダムなメッセージを与えられたメッセージが与えられたメッセージが非常に大きいが、それが彼らのマルチの1つと重複する非常に小さなメッセージがあるという十分な大きなメッセージを含むマルチ衝突攻撃を開発したということです。衝突。

多くの論文で同様の議論を見ました。私の質問は、攻撃がマルチ衝突攻撃になるのを止めて、2回目のプリイメージ攻撃になるのはいつですか。

• マルチ衝突が2^300の他のメッセージと衝突した場合、それは2回目のプリイメージとしてカウントされます。これは、マルチ衝突を使用して衝突するメッセージの1つの「事前イメージ」を計算できるためですか？分割線はどこにありますか、2^60、2^100、2^1000？

• 23で始まるすべてのハッシュダイジェストのプリイメージを生成できる場合はどうなりますか？確かに、それはプリイメージの厳格な定義を満たしていませんが、それは確かに暗号化ハッシュ関数の深刻な欠陥でもあります。

• 誰かが大きなマルチ衝突を持っている場合、ハッシュがマルチ衝突と衝突したメッセージの画像を常に回復することができます。例えば、

  ハッシュ（M1）=ハッシュ（M2）=ハッシュ（M3）= H

  誰かがHのプリイメージを要求し、M2で応答します。これはいつ馬鹿げているのをやめ、本当の攻撃になりますか？

経験則？ハッシュ関数攻撃の評価に関する良いリソースを知っていますか？

関連リンク：

• ハッシュ衝突Q＆A
• 暗号化ハッシュ
• EHASHメインページ

Answer 1

It is about an attack scenario. The difference lies in the choice of input. In multi-collision there is free choice of both inputs. 2nd preimage is about finding any second input which has the same output as any specified input.
When a function doesn't have multi-collision resistance, it may be possible to find collision for some kind of messages - not all of them. So this doesn't imply 2nd preimage weakness.

Answer 2

You did a lot of research before posting the question. I cannot answer much aside the resources-question. Which is: I use Applied Cryptography be Menezes/Oorschot for almost everything I ever wanted to know on topics of cryptography, including hashes.

Maybe you'll find a copy at your universities library. Good luck.