Рейтинг:1

Почему выходной размер ровно вдвое меньше, чем у sha-3?

флаг jp

Для семейства хеш-функций SHA-3 размер вывода $д$ всегда выбирается как $d=c/2$, т.е. ровно половину емкости. В чем рациональность этого?

Наивно, я так думаю $д=с$ будет иметь больше смысла, потому что

  • Сопротивление столкновению кажется $\мин(д/2, с/2)$ и
  • Сила прообраза, кажется, $\мин(д, в)$.

Итак, выбирая $д=с$ сделает атаки на мощность эквивалентными атакам на выход. Что мне не хватает?

kelalaka avatar
флаг in
Отвечает ли это на ваш вопрос? [Защита Keccak/SHA3 от атак дня рождения] (https://crypto.stackexchange.com/questions/41413/security-of-keccak-sha3-against-birthday-attacks) и [Почему общая атака обнаружения столкновений конструкции губки сложность O(min(2^(-n/2) , 2^(-c/2)))?](https://crypto.stackexchange.com/q/12668/18298)
Simon avatar
флаг jp
@kelalaka Не совсем, я думаю. Эти вопросы говорят только об атаках столкновений. Ответ пончо объясняет, почему на самом деле речь идет об атаках прообразов, которых я раньше не осознавал.
kelalaka avatar
флаг in
Я не вижу предварительного изображения в вашем вопросе, здесь [дополнительный охват с добавлением кванта] (https://crypto.stackexchange.com/a/67677/18298)
Simon avatar
флаг jp
@kelalaka Я не спрашивал, в частности, об атаках столкновений. Я спрашивал о рациональности выбора $d=c/2$ в стандарте sha3 (потому что мои собственные рассуждения, казалось, указывали на то, что $d=c$ был бы лучшим выбором), я просто отредактировал вопрос, чтобы сделать это более ясным. Я (неправильно) думал только об атаках столкновений. Во всяком случае, ответ пончо полностью удовлетворительный.
kelalaka avatar
флаг in
В последней ссылке упоминаются причины NIST, а затем исправление в серии SHAKE.
Рейтинг:4
флаг my

Почему выходной размер ровно вдвое меньше, чем у SHA-3?

Потому что интерес представляют не только атаки столкновений; мы также ожидаем, что для атак по прообразу (и второму прообразу) лучшая атака не лучше, чем грубая сила (которая занимает ожидаемое время). $2^n$ хеш-оценки для $n$-битная хеш-функция).

Для SHA-3 у нас есть альтернативный подход:

  • Выберите большое количество исходных изображений $A_1, A_2, ..., A_k$ и вычислить промежуточное состояние, когда они передаются SHA-3 $\alpha_1, \alpha_2, ..., \alpha_k$

  • Выберите большое количество финальных изображений $B_1, B_2, ..., B_k$ и, используя тот факт, что перестановка Кекчака обратима, вычислить из известного конечного состояния (которое выводит целевое значение) необходимое промежуточное состояние, которое приведет к конечному состоянию; эти промежуточные состояния $\beta_1, \beta_2, ..., \beta_k$

  • Поиск через $\alpha_i$, $\бета_j$ промежуточные состояния для поиска пары $\alpha_x, \beta_y$ которые согласуются в своих разрядных битах; вызвать xor их битов скорости $С$

Если мы найдем такую ​​пару, то хэш сообщения $A_x C B_y$ является целевым значением.

Чтобы иметь хорошую вероятность найти такую ​​пару, нам нужно было бы иметь $j \приблизительно 2^{c/2}$.

Итак, чтобы сделать этот подход не проще, чем метод грубой силы, потребуется $c \ge 2n$

Simon avatar
флаг jp
Это имеет смысл. Я не думал, что функция Кекчака обратима. Спасибо, что просветили меня.
Рейтинг:1
флаг us

В дополнение к атакам столкновений и прообразов существует также проблема атак с расширением длины (которые я считаю «настоящей» причиной этого свойства SHA3).

Если у вас есть хэш-функция $Ч$ тогда заманчиво лечить $Ч(к,м)$ в качестве MAC $м$, с секретным ключом $к$. К сожалению, это не приводит к безопасному MAC-адресу, если вы используете хэш-функции предыдущего поколения (SHA1, SHA2).

Атаки на увеличение длины происходят именно потому, что хэш-функция выводит все внутреннее состояние. Идея атак с увеличением длины заключается в следующем: если $м$ является префиксом $м'$ затем вывод $Ч(к,м)$ возникает как внутреннее состояние при вычислении $Ч(к,м')$. Фактически, поскольку $Ч(к,м)$ это весь внутреннее состояние в какой-то момент, тогда вы можете вычислить $Ч(к,м')$ если ты знаешь $Ч(к,м)$ - даже если вы не знаете $к$! Это нарушает свойство безопасности, которое вы хотели бы получить от MAC (изучение MAC-адреса $м$ не должен помочь вам предсказать MAC другого $м'$, даже если $м$ является префиксом $м'$). (Здесь я умалчиваю о проблемах заполнения длины, которые не представляют существенного препятствия для той атаки, которую я описываю.)

Во время конкурса SHA3 большинство представленных материалов были спроектированы так, чтобы быть устойчивыми к атакам с расширением длины. Способ сделать это с помощью так называемой конструкции «широкой трубы»: просто сделайте внутреннее состояние больше, чем вывод. Иными словами, хэш должен выводить только часть своего внутреннего состояния в конце вычисления. Если ты это сделаешь, то $Ч(к,м)$ не будет содержать всего необходимого для вычисления $Ч(к,м')$, и это мешает атаке расширения длины.

флаг pe
Чтобы предотвратить увеличение длины с усилием не более $2^n$, вам нужно всего $n$ бит емкости, а не $2n$. Емкость $2n$ на SHA-3 определенно должна была сохранить $2^n$ (секундную) безопасность прообраза случайного оракула с длиной выходного вывода $n$.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.