O scrisoare pe care am scris-o pe lista de discuții SHA-3 în 2010: De la: Zooko O'Whielacronx Către: hash-forum Data: 2010-10-14 03:46 UTC Oameni buni: Dacă un hash are rezistență la pre-imagine pe 32 de biți, atunci înseamnă că un atacator ar putea cheltui aproximativ 2³² de resurse pentru a găsi o pre-imagine. Dacă un hash are rezistență la pre-imagine pe 64 de biți, atunci înseamnă că un atacator ar putea cheltui aproximativ 2⁶⁴ resurse pentru a găsi o pre-imagine. Ce se întâmplă dacă un hash are rezistență la pre-imagine pe 512 biți? Ce ar însemna asta? Că un atacator ar putea cheltui aproximativ 2⁵¹² resurse pentru a găsi o pre-imagine în ea? Aceasta este o posibilitate lipsită de sens de discutat, deoarece resursele de 2⁵¹² nu vor exista niciodată în viața acestui univers, deci nu poate însemna asta, sau dacă înseamnă asta, atunci nu are rost să vorbim despre "rezistența la pre-imagine pe 512 biți". Poate înseamnă altceva? Prin analogie, să presupunem că ați luat în considerare construcția unui pod care să reziste la o presiune de 10 tone. De asemenea, ați putea lua în considerare un pod care ar putea rezista la o presiune de 10⁶ tone. Dacă podul ar fi instalat într-o situație în care mai mult de 10³ tone, dar mai puțin de 10⁶ tone s-ar putea sprijini pe el, atunci aceasta ar fi o distincție foarte importantă de făcut. Dar ce ar însemna să discutăm despre un proiect pentru un pod care ar putea rezista la 10¹⁵⁰ de presiune? O astfel de presiune nu ar putea fi aplicată niciodată podului. Ar exista vreo valoare într-o distincție între un design de pod care ar rezista la 10¹⁵⁰ de presiune și altul care ar rezista la 10³⁰⁰? Chiar dacă niciunul dintre ei nu ar putea experimenta vreodată o presiune de 10 tone, poate că ultimul pod ar fi totuși mai sigur împotriva unei alte amenințări – o eroare din partea constructorilor sau proiectanților sau un eveniment stresant care nu a fost inclus în modelul pe care l-am folosit pentru a evalua podurile noastre în primul rând. Sau poate nu. Poate că podul care este proiectat să reziste la o presiune de 10³⁰⁰ tone este de fapt mai probabil să se defecteze decât celălalt atunci când este lovit de acest eveniment neprevăzut și nemodelat. Cine poate spune? O poziție rezonabilă de luat este că a fost o greșeală din partea NIST să specifice că unele dintre hash-urile SHA-3 trebuiau să aibă rezistență la preimagini de 512 biți. (Dacă a fost o greșeală, atunci chiar nu am idee ce să fac în acest moment!) Această poziție spune că este nevoie de o funcție hash care necesită mult mai mult timp CPU decât SHA-3-256 pentru a oferi mult mai puține probabilități ca un atacator să poată găsi o pre-imagine în ea decât în SHA-3-256, dar că această "probabilitate mult mai mică" nu este corelată în niciun sens semnificativ cu ideea de a avea "rezistență pre-imagine pe 512 biți". O altă poziție rezonabilă de luat este că o funcție hash despre care se știe că are cel mult rezistență pre-imagine de 384 de biți este mai probabil să eșueze decât una care este cunoscută ca având cel mult rezistență pre-imagine de 512 biți. Aici se încheie înțelegerea mea limitată a criptoanalizei funcției hash. Este plauzibil? Dacă vă dau două funcții hash de genul acesta, sunteți încrezător că ați putea învăța cum să găsiți pre-imagini în prima înainte de a găsi pre-imagini în cea de-a doua? Cât de sigur ești? Este posibil să fie invers – să descoperi o metodă de a găsi pre-imagini în cea din urmă înainte de a descoperi o metodă de a găsi pre-imagini în prima? Dacă cineva care are expertiză reală în criptoanaliza funcțiilor hash și care ia cea de-a doua poziție ar putea explica ce înțelege prin "mai probabil să eșueze", atunci aș fi fascinat să aud acest lucru. În orice caz, sunt destul de sigur că, în calitate de utilizator al funcțiilor hash, ceea ce mă interesează este "mai probabil de a eșua" (și eficiență), nu de "biți de securitate" pentru orice nivel de biți mai mare de aproximativ 128 (inclusiv luarea în considerare a atacurilor cuantice, a atacurilor multi-țintă etc.). Vă mulțumim că v-ați făcut timp să citiți acest articol. Cu stimă Zooko Wilcox-O'Hearn