Uma carta que escrevi para a lista de discussão SHA-3 em 2010: De: Zooko O'Whielacronx Para: hash-forum Data: 2010-10-14 03:46 UTC Pessoal: Se um hash tem resistência a pré-imagem de 32 bits, isso significa que um atacante pode gastar cerca de 2³² recursos para encontrar uma pré-imagem. Se um hash tem resistência a pré-imagem de 64 bits, isso significa que um atacante pode gastar cerca de 2⁶⁴ recursos para encontrar uma pré-imagem. E se um hash tiver resistência a pré-imagem de 512 bits? O que isso significaria? Que um atacante poderia gastar cerca de 2⁵¹² recursos para encontrar uma pré-imagem nele? Essa é uma possibilidade sem sentido para discutir, uma vez que 2⁵¹² recursos nunca existirão na vida deste universo, então não pode significar isso, ou se isso significar, então não há utilidade em falar sobre "resistência a pré-imagem de 512 bits". Talvez signifique outra coisa? Por analogia, suponha que você considerasse a construção de uma ponte que suportasse 10³ toneladas de pressão. Você também poderia considerar uma ponte que pudesse suportar 10⁶ toneladas de pressão. Se a ponte fosse implantada em uma situação onde mais de 10³ toneladas, mas menos de 10⁶ toneladas, poderiam repousar sobre ela, então essa seria uma distinção muito importante a ser feita. Mas o que significaria discutir um projeto para uma ponte que pudesse suportar 10¹⁵⁰ toneladas de pressão? Tal quantidade de pressão nunca poderia ser aplicada à ponte. Haveria algum valor em uma distinção entre um projeto de ponte que suportaria 10¹⁵⁰ toneladas de pressão e outro que suportaria 10³⁰⁰? Mesmo que nenhum deles pudesse experimentar tanto quanto 10¹⁵⁰ toneladas de pressão, talvez a última ponte ainda fosse mais segura contra alguma outra ameaça—um erro por parte dos construtores ou projetistas ou um evento estressante que não foi incluído no modelo que usamos para avaliar nossas pontes em primeiro lugar. Ou talvez não. Talvez a ponte que é projetada para suportar 10³⁰⁰ toneladas de pressão seja na verdade mais propensa a falhar do que a outra quando atingida por esse evento não previsto e não modelado. Quem pode dizer? Uma posição razoável a ser adotada é que foi um erro para o NIST especificar que alguns dos hashes SHA-3 deveriam ter resistência a pré-imagem de 512 bits. (Se foi um erro, então realmente não tenho ideia do que fazer a respeito neste momento!) Essa posição diz que há uma necessidade de uma função hash que consuma muito mais tempo de CPU do que o SHA-3-256 para fornecer uma probabilidade muito menor de que um atacante consiga encontrar uma pré-imagem nela do que no SHA-3-256, mas que essa "probabilidade muito menor" não está de forma alguma correlacionada com a ideia de ter "resistência a pré-imagem de 512 bits". Outra posição razoável a ser adotada é que uma função hash que se sabe ter no máximo resistência a pré-imagem de 384 bits é mais propensa a falhar do que uma que se sabe ter no máximo resistência a pré-imagem de 512 bits. É aqui que meu entendimento limitado da criptoanálise de funções hash chega ao fim. Isso é plausível? Se eu lhe der duas funções hash assim, você está confiante de que poderia aprender a encontrar pré-imagens na primeira antes de encontrar pré-imagens na segunda? Quão certo você está? É possível que seja o contrário—que você descubra um método de encontrar pré-imagens na segunda antes de descobrir um método de encontrar pré-imagens na primeira? Se alguém que tem verdadeira expertise em criptoanálise de funções hash e que adota a segunda posição pudesse explicar o que quer dizer com "mais propenso a falhar", eu ficaria fascinado em ouvir. De qualquer forma, tenho certeza de que, como usuário de funções hash, o que me importa é "mais propenso a falhar" (e eficiência), não sobre "bits de segurança" para qualquer nível de bits maior que cerca de 128 (incluindo consideração de ataques quânticos, ataques a múltiplos alvos, etc.). Obrigado por dedicar seu tempo para ler isso. Atenciosamente, Zooko Wilcox-O'Hearn