В чем разница между многооборудованием и первой или второй атакой предварительного изображения на функцию хэш?
Вопрос
В чем разница между многооборудованием в хэш-функции и первым или вторым предварительным изображением.
Первые атаки предварительного изображения: Учитывая хэш H, найдите сообщение M, такое, что
хэш (m) = h.
Второе предварительное атаки: Учитывая фиксированное сообщение M1, найдите другое сообщение M2 таким, что
хэш (M2) = хэш (M1).
Атаки с несколькими столкновениями: генерировать серию сообщений M1, M2, ... Mn, так что
hash (m1) = hash (m2) = ... = hash (mn).
Википедия говорит нам, что атака предварительного изображения отличается от атаки столкновения тем, что существует фиксированный хэш или сообщение, которое подвергается атаке.
Я смущен документами, с которыми делают такие заявления, как:
Методы не только эффективны для поиска столкновений, но и применимы к изучению второго предварительного изображения MD4. Что касается атаки второго приправы, они показали, что случайное сообщение было слабым сообщением с вероятностью 2^–122, и ему потребовалось лишь одноразовое вычисление MD4, чтобы найти второе возмещение, соответствующее слабому сообщению.
Если я пойму, что авторы, кажется, говорят, что они разработали мульти-столкновение, которая охватывает достаточно большой набор сообщений, с учетом случайного сообщения, существует значительная, хотя чрезвычайно небольшая вероятность, что он будет перекрываться с одним из их многочисленных столкновения.
Я видел аналогичные аргументы во многих статьях. Мой вопрос, когда атака перестает быть атакой из нескольких столкновений и станет второй атакой предварительного изображения.
Если многопрофильное столкновение сталкивается с 2^300 другими сообщениями, считается ли это второе предварительное представление, поскольку можно использовать многоошибение для расчета «предварительного изображения» одного из сообщений, с которыми он сталкивается? Где разделительная линия, 2^60, 2^100, 2^1000?
Что если вы сможете сгенерировать предварительное изображение всех хэш -дайджестов, которые начинаются с 23? Конечно, это не соответствует строгому определению предварительного изображения, но это также, безусловно, является серьезным недостатком криптографической функции хэш.
Если у кого-то есть большое многооборудование, то он всегда может восстановить изображение любого сообщения, которое столкнулось с многооборудованием. Например,
hash (m1) = hash (m2) = hash (m3) = h
Кто -то запрашивает предварительное представление H, и они отвечают M2. Когда это перестает быть глупым и становится настоящей атакой?
Эмпирические правила? Знаете какие -либо хорошие ресурсы по оценке хэш -функциональных атак?
Ссылки по теме:
Решение
Речь идет о сценарии атаки. Разница заключается в выборе ввода. В нескольких столкновениях есть свободный выбор обоих входов. Анкет 2 -е предварительное представление о том, чтобы найти любой второй вход, который имеет тот же выход, что и любой конкретный вход.
Когда функция не обладает множественной сопротивлением, возможно, можно найти столкновение для некоторых сообщений - не все из них. Так что это не подразумевает 2 -ю слабость.
Другие советы
Вы провели много исследований, прежде чем разместить вопрос. Я не могу ответить сильно в стороне от ресурсов. Это: я использую Applied Cryptography Be Menezes/Oorschot практически для всего, что я когда -либо хотел знать по темам криптографии, включая хэши.
Может быть, вы найдете копию в вашей библиотеке университетов. Удачи.