В чем разница между множественным конфликтом в хэш-функции и первым или вторым прообразом.
Атака по первому прообразу. По хэшу h найдите такое сообщение m, что
хэш (м) = ч.
Атаки второго прообраза: для фиксированного сообщения m1 найдите другое сообщение m2 такое, что
хеш (m2) = хеш (m1).
Атаки с множественными коллизиями: генерируют серию сообщений m1, m2, ... mN, таких что
hash (m1) = hash (m2) = ... = hash (mN).
Википедия сообщает нам, что атака с использованием прообраза отличается от атаки с коллизией тем, что существует фиксированный хэш или сообщение, которое подвергается атаке.
Меня смущают статьи, в которых делаются такие утверждения, как:
Эти методы не только эффективны для поиска коллизий, но также применимы для исследования второго прообраза MD4. Что касается атаки второго прообраза, они показали, что случайное сообщение было слабым сообщением с вероятностью 2 ^ –122, и ему требовалось только одноразовое вычисление MD4, чтобы найти второй прообраз, соответствующий слабому сообщению.
Атака второго прообраза на MD4
Насколько я понимаю, авторы, похоже, говорят, что они разработали атаку с множественными коллизиями, которая охватывает достаточно большой набор сообщений, и для случайного сообщения существует значительная, хотя и очень небольшая вероятность, что оно будет перекрываться с одним из их мультиколлизионных сообщений. столкновения.
Я видел подобные аргументы во многих газетах. Мой вопрос, когда атака перестает быть атакой с множественными столкновениями и становится второй атакой прообраза ...
Если мультиколлизия сталкивается с 2 ^ 300 другими сообщениями, считается ли это вторым прообразом, поскольку мультиколлизия может использоваться для вычисления «прообраза» одного из сообщений, с которым оно сталкивается? Где разделительная линия, 2 ^ 60, 2 ^ 100, 2 ^ 1000?
Что, если вы можете создать прообраз всех хеш-дайджестов, начинающихся с 23? Конечно, это не соответствует строгому определению прообраза, но это также, безусловно, серьезный недостаток в криптографической хеш-функции.
Если у кого-то есть большая множественная коллизия, то они всегда могут восстановить изображение любого сообщения, хэш которого столкнулся с множественной коллизией. Например,
хэш (m1) = хэш (m2) = хэш (m3) = h
Кто-то запрашивает прообраз h, и они отвечают m2. Когда это перестает быть глупым и превращается в настоящую атаку?
Эмпирические правила? Знаете ли вы о каких-либо хороших ресурсах по оценке атак на хэш-функции?
Ссылки по теме: