В чем разница между множественной коллизией и атакой первого или второго предварительного изображения на хеш-функцию?

В чем разница между множественным конфликтом в хэш-функции и первым или вторым прообразом.

  • Атака по первому прообразу. По хэшу h найдите такое сообщение m, что

    хэш (м) = ч.

  • Атаки второго прообраза: для фиксированного сообщения m1 найдите другое сообщение m2 такое, что

    хеш (m2) = хеш (m1).

  • Атаки с множественными коллизиями: генерируют серию сообщений m1, m2, ... mN, таких что

    hash (m1) = hash (m2) = ... = hash (mN).

Википедия сообщает нам, что атака с использованием прообраза отличается от атаки с коллизией тем, что существует фиксированный хэш или сообщение, которое подвергается атаке.

Меня смущают статьи, в которых делаются такие утверждения, как:

Эти методы не только эффективны для поиска коллизий, но также применимы для исследования второго прообраза MD4. Что касается атаки второго прообраза, они показали, что случайное сообщение было слабым сообщением с вероятностью 2 ^ –122, и ему требовалось только одноразовое вычисление MD4, чтобы найти второй прообраз, соответствующий слабому сообщению.

Атака второго прообраза на MD4

Насколько я понимаю, авторы, похоже, говорят, что они разработали атаку с множественными коллизиями, которая охватывает достаточно большой набор сообщений, и для случайного сообщения существует значительная, хотя и очень небольшая вероятность, что оно будет перекрываться с одним из их мультиколлизионных сообщений. столкновения.

Я видел подобные аргументы во многих газетах. Мой вопрос, когда атака перестает быть атакой с множественными столкновениями и становится второй атакой прообраза ...

  • Если мультиколлизия сталкивается с 2 ^ 300 другими сообщениями, считается ли это вторым прообразом, поскольку мультиколлизия может использоваться для вычисления «прообраза» одного из сообщений, с которым оно сталкивается? Где разделительная линия, 2 ^ 60, 2 ^ 100, 2 ^ 1000?

  • Что, если вы можете создать прообраз всех хеш-дайджестов, начинающихся с 23? Конечно, это не соответствует строгому определению прообраза, но это также, безусловно, серьезный недостаток в криптографической хеш-функции.

  • Если у кого-то есть большая множественная коллизия, то они всегда могут восстановить изображение любого сообщения, хэш которого столкнулся с множественной коллизией. Например,

    хэш (m1) = хэш (m2) = хэш (m3) = h

    Кто-то запрашивает прообраз h, и они отвечают m2. Когда это перестает быть глупым и превращается в настоящую атаку?

Эмпирические правила? Знаете ли вы о каких-либо хороших ресурсах по оценке атак на хэш-функции?

Ссылки по теме:


cryptography cryptographic-hash-function cryptanalysis hash-collision
person Ethan Heilman    schedule 29.07.2009    source источник

Ответы (2)


arrow_upward
2
arrow_downward

Речь идет о сценарии атаки. Разница заключается в выборе входа. При множественном столкновении есть свободный выбор обоих входов. Второй прообраз - это поиск любого второго входа, который имеет тот же выход, что и любой указанный вход.
Если функция не имеет устойчивости к множественным столкновениям, возможно, удастся найти столкновение для некоторых сообщений - не для всех. Так что это не означает слабости второго прообраза.

person zacheusz    schedule 10.07.2011
comment
Итак, MD5 и SHA-1 только имеют атаку коллизии, значит, из-за строгих ограничений на то, для каких входов в настоящее время возможно найти какие-либо коллизии? - person JamesTheAwesomeDude; 10.05.2021
comment
Поскольку существует несколько теоретических и ограниченных способов подготовки входных данных, наиболее практичным и опасным является так называемая «коллизия выбранного префикса», когда злоумышленник может свободно выбирать префикс для двух конфликтующих сообщений. Такие коллизии меняют все с точки зрения угрозы, потому что вы можете рассмотреть возможность коллизий со значимыми данными внутри (например, именами или идентификаторами в цифровом сертификате и т. Д.). Подробности можно найти в этой статье: eprint.iacr.org/2019/459.pdf - person zacheusz; 06.07.2021

arrow_upward
0
arrow_downward

Перед тем, как опубликовать вопрос, вы провели много исследований. Я не могу ответить на много вопросов, кроме вопроса о ресурсах. А именно: я использую прикладную криптографию Менезеса / Оршота почти для всего, что я когда-либо хотел знать по темам криптографии, включая хэши.

Может быть, вы найдете копию в библиотеке вашего университета. Удачи.

person Don Johe    schedule 04.08.2009
comment
+1, спасибо, глава о хэш-функциях для Справочника по прикладной криптографии доступна онлайн здесь cacr .math.uwaterloo.ca / hac - person Ethan Heilman; 04.08.2009