Una carta que escribí a la lista de correo SHA-3 en 2010: De: Zooko O'Whielacronx Para: hash-forum Fecha: 2010-10-14 03:46 UTC Gente: Si un hash tiene resistencia previa a la imagen de 32 bits, esto significa que un atacante podría gastar alrededor de 2³² recursos para encontrar una imagen previa. Si un hash tiene resistencia previa a la imagen de 64 bits, esto significa que un atacante podría gastar alrededor de 2⁶⁴ recursos para encontrar una imagen previa. ¿Qué pasa si un hash tiene resistencia previa a la imagen de 512 bits? ¿Qué significaría eso? ¿Que un atacante podría gastar alrededor de 2⁵¹² recursos para encontrar una imagen previa en él? Esa es una posibilidad sin sentido para discutir, ya que los recursos de 2⁵¹² nunca existirán en la vida de este universo, por lo que no puede significar eso, o si significa eso, entonces no sirve de nada hablar de "resistencia previa a la imagen de 512 bits". ¿Quizás signifique algo más? Por analogía, supongamos que considera la construcción de un puente que soporta 10³ toneladas de presión. También podría considerar un puente que pueda soportar 10⁶ toneladas de presión. Si el puente se desplegara en una situación en la que más de 10³ toneladas pero menos de 10⁶ toneladas pudieran descansar sobre él, entonces esta sería una distinción muy importante que hacer. Pero, ¿qué significaría discutir un diseño para un puente que pudiera soportar 10¹⁵⁰ toneladas de presión? Tal cantidad de presión nunca podría aplicarse al puente. ¿Habría algún valor en una distinción entre un diseño de puente que soportaría 10¹⁵⁰ toneladas de presión y otro que soportaría 10³⁰⁰? Aunque ninguno de ellos podría experimentar tanto como 10¹⁵⁰ toneladas de presión, tal vez este último puente aún sería más seguro contra alguna otra amenaza: un error por parte de los constructores o diseñadores o un evento estresante que no se incluyó en el modelo que usamos para evaluar nuestros puentes en primer lugar. O tal vez no. Quizás el puente que está diseñado para soportar 10³⁰⁰ toneladas de presión es en realidad más probable que falle que el otro cuando es golpeado por este evento impredecible y no modelado. ¿Quién puede decirlo? Una posición razonable a tomar es que fue un error que el NIST especificara que algunos de los hashes SHA-3 tenían que tener resistencia de preimagen de 512 bits. (Si fue un error, ¡entonces realmente no tengo idea de qué hacer al respecto en este momento!) Esa posición dice que existe la necesidad de una función hash que tome mucho más tiempo de CPU que SHA-3-256 para proporcionar mucha menos probabilidad de que un atacante pueda encontrar una imagen previa en ella que en SHA-3-256, pero que esta "probabilidad mucho menor" no se correlaciona en ningún sentido significativo con la idea de tener "resistencia a la imagen previa de 512 bits". Otra posición razonable a tomar es que una función hash que se sabe que tiene como máximo una resistencia previa a la imagen de 384 bits tiene más probabilidades de fallar que una que se sabe que tiene como máximo una resistencia previa a la imagen de 512 bits. Aquí es donde mi comprensión limitada del criptoanálisis de la función hash llega a su fin. ¿Es eso plausible? Si te doy dos funciones hash como esa, ¿estás seguro de que podrías aprender a encontrar pre-imágenes en la primera antes de encontrar pre-imágenes en la última? ¿Qué tan seguro estás? ¿Es posible que sea al revés, que descubras un método para encontrar pre-imágenes en la última antes de descubrir un método para encontrar pre-imágenes en la primera? Si alguien que tiene experiencia real en criptoanálisis de funciones hash y que toma la última posición pudiera explicar lo que quiere decir con "más probabilidades de fallar", entonces me fascinaría escucharlo. En cualquier caso, estoy bastante seguro de que, como usuario de funciones hash, lo que me importa es "más probabilidades de fallar" (y la eficiencia), no los "bits de seguridad" para cualquier nivel de bits superior a 128 (incluida la consideración de ataques cuánticos, ataques multiobjetivo, etc.). Gracias por tomarse el tiempo de leer esto. Saludos Zooko Wilcox-O'Hearn