Рейтинг:3

Метод обнаружения столкновений

флаг tr

«Парадокс дня рождения» устанавливает верхнюю границу устойчивости к коллизиям: если хеш-функция выдает $N$ битов вывода, злоумышленник, который вычисляет только $2^{N/2}$ (...) хеш-операции со случайным вводом, скорее всего, найдут два совпадающих выхода. Если есть более простой метод чем это лобовая атака, это обычно считается недостатком в хэш-функции.

Возможно ли с математической точки зрения, что существует хэш-функция без более простого метода?

kelalaka avatar
флаг in
Наиболее близкими являются универсальные хеш-функции...
poncho avatar
флаг my
@kelalaka: на самом деле универсальные хэш-функции не являются хеш-функциями :-). Причина: «хеш-функция» (по крайней мере, когда мы говорим об этом в криптографии) не имеет ключа; универсальная хеш-функция имеет ключ (который должен быть секретным, чтобы сохранить его свойства)
kelalaka avatar
флаг in
@poncho `Хеш-функции без ключей. Криптографические хэш-функции, используемые на практике обычно не имеют ключей и имеют фиксированную длину вывода (по аналогии с блоком шифры), что означает, что хэш-функция — это просто фиксированная, детерминированная функция от Lindell & Katz. Конечно, мы делаем различие, говоря хэш с ключом. Здесь я читаю хеш как криптографические хеш-функции, так как мы находимся в Crypto.SE.
poncho avatar
флаг my
@kelalaka: я до сих пор не уверен, что универсальная хэш-функция соответствует критериям криптографической хеш-функции. Даже если есть секретный ключ, пока у вас есть доступ оракула к универсальной хэш-функции, легко (по крайней мере, с помощью известных мне универсальных хэш-функций) найти коллизию (или даже найти секретный ключ) с несколько запросов оракула — это намного меньше, чем мы ожидаем от криптографической хеш-функции.
kelalaka avatar
флаг in
@poncho хороший момент, да, гарантия UHF основана на новом случайном ключе на хеш.Если мы установим доступ к оракулу, они обречены. Это то, что происходит в GCM, верно?
poncho avatar
флаг my
@kelalaka: не совсем: в GCM ключ к универсальному является функцией ключа GCM (следовательно, один и тот же универсальный хеш-ключ используется для всех сообщений, зашифрованных одним и тем же ключом GCM) — однако универсальный хэш-вывод маскируется (функция) одноразового номера - вот почему повторение одноразовых номеров смертельно опасно (потому что это позволяет нам эффективно разоблачать вывод универсальной функции)
kelalaka avatar
флаг in
@poncho Да, это точность. [Фергюсон и Жу отметили это] (https://csrc.nist.gov/csrc/media/projects/block-cipher-techniques/documents/bcm/comments/800-38-series-drafts/gcm/joux_comments.pdf) , однако, предлагаемые модификации все еще существуют.
Fleeep avatar
флаг br
Задает ли вопрос *эффективно вычислимую* хеш-функцию или просто *любую математическую конструкцию*?
Fractalice avatar
флаг in
Я не понимаю вопроса. Если это невозможно, то все хэш-функции "сломаны". Это то, что спрашивают? Что такое "математически"?
Рейтинг:-2
флаг jp

Рассмотрим, что означает выражение «парадокс дня рождения»:

Защита: Предположим, что длина дайджеста равна N. Сколько сообщений и релевантных дайджестов нужно создать на стороне атакующего, чтобы найти два сообщения с одинаковыми дайджестами (происходит коллизия) с вероятностью нахождения этих двух сообщений выше 50% ?

Ответ $ c*\sqrt{N} $. Это означает, что злоумышленник должен собрать как минимум $ c*\sqrt{N} $ количество сообщений среди N сообщений, чтобы найти два одинаковых дайджеста и найти коллизию. Более четко, в $ c*\sqrt{N} $ количество сообщений, должно быть два сообщения m и $ \ острый {м} $ что H(m) = H($ \ острый {м} $), где вероятность найти эти два сообщения составляет примерно 50% (что является приемлемой вероятностью). В этой формуле $с$ является постоянной величиной, приблизительно равной 1,2, и в большинстве работ и расчетов игнорируется. Кроме того, эта статистика верна только для теоретических хеш-функций, которые спроектированы правильно и безупречны. В данном случае мы просто находим эти два сообщения только методом грубой силы, а не какими-либо другими атаками, поскольку хеш-функция безупречна и разработана на основе чистой теоретической математики.

Если мы хотим привести простой пример, поясняющий это, предположим, что U = {0,1} 128 длина дайджеста, то количество сообщений, которое атакующий должен выбрать из U, чтобы найти два одинаковых дайджеста и обнаружить коллизию (вероятность этого инцидента почти 50%), должно быть: $$ 1.2 * \sqrt{2^{128}} \cong 1.2 * (2^{64} ) \cong 2^{64} $$ Это верхняя граница устойчивости к коллизиям, основанная на проверенном парадоксе математической вероятности, и она верна только в том случае, если разработанная хеш-функция верна теоретически и математически. Если мы хотим найти столкновения в количестве меньшем, чем $2^{64}$ сообщений, исходя из этой теории, вероятность снижается до менее 50%, другими словами, меньше вероятность найти два сообщения с одинаковыми дайджестами.

Теперь, если я хочу ответить на вопрос о «более простом методе, чем атака грубой силой», это произойдет, если мы сможем найти недостаток в конструкции хеш-функции, которую злоумышленник использует для поиска двух сообщений, которые имеют идентичные дайджесты. в нижнем ряду $ c*\sqrt{N} $ Сообщения. Как я упоминал выше, исходя из парадокса дня рождения, мы должны, по крайней мере, проверить $ c*\sqrt{N} $ количество сообщений для поиска коллизии (при таком количестве тестов вероятность найти коллизию примерно равна 50%). Однако, если в конструкции хэш-функции есть недостаток, злоумышленник использует этот недостаток и никогда не применяет грубую силу для обнаружения коллизии. Более того, здесь «более простой метод» — это тип атаки, который может быть применен к хеш-функциям, а не к атаке методом полного перебора.

Криптографы разрабатывают свои схемы на основе вычислительной безопасности, а не совершенной безопасности; то есть они доказывают безопасность своей схемы на основе вычислительных мощностей. С другой стороны, разработанные схемы без прочной математической основы, которые не могли противостоять обычным теоретическим атакам, вообще неприемлемы. В настоящее время безопасные хеш-функции вычислительно устойчивы к обычным вычислительным атакам, а их надежность математически доказана. Теоретически можно спроектировать безопасную хеш-функцию, но на практике на разработанную схему влияет множество факторов, таких как реализация.

Wilson avatar
флаг se
Этот ответ не является ответом на конкретный вопрос в сообщении.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.