Лист, який я написав до списку розсилки SHA-3 у 2010 році: Від: Zooko O'Whielacronx Кому: hash-forum Дата: 2010-10-14 03:46 UTC Люди: Якщо хеш має 32-бітний опір до зображення, то це означає, що зловмисник може витратити близько 2³² ресурсів, щоб знайти попереднє зображення. Якщо хеш має 64-бітний опір до зображення, то це означає, що зловмисник може витратити близько 2⁶⁴ ресурсів на пошук попереднього зображення. Що робити, якщо хеш має 512-бітний опір до зображення? Що б це означало? Що зловмисник може витратити близько 2⁵¹² ресурсів, щоб знайти в ньому попереднє зображення? Це безглузда можливість обговорювати, оскільки ресурси 2⁵¹² ніколи не будуть існувати в житті цього Всесвіту, тому це не може означати це, або якщо це означає, що немає сенсу говорити про «512-бітний передобразний опір». Може, це означає щось інше? За аналогією припустимо, ви розглядали конструкцію мосту, який витримав 10 тонн тиску. Ви також можете розглянути міст, який міг би витримати тиск 10⁶ тонни. Якби міст був розгорнутий у ситуації, коли на ньому може лежати понад 10 тонн, але менше 10 тонн, то це було б дуже важливою відмінністю. Але що означало б обговорювати конструкцію мосту, який міг би витримати тиск у 10¹⁵ тонн? Такого тиску на міст ніколи не можна було чинити. Чи є якась цінність у розрізненні між однією конструкцією мосту, яка витримує тиск 10¹⁵⁰, і іншою, яка витримує 10³⁰⁰? Незважаючи на те, що жоден з них ніколи не міг відчути тиск у 10¹⁵ тонн, можливо, останній міст все одно був би безпечнішим від якоїсь іншої загрози — помилки з боку будівельників чи проектувальників або стресової події, яка не була включена до моделі, яку ми використовували для оцінки наших мостів у першу чергу. А може, й ні. Можливо, міст, який сконструйований таким чином, щоб витримувати тиск у 10³⁰⁰ тонни, насправді має більше шансів вийти з ладу, ніж інший, при ударі цією непередбачуваною, не змодельованою подією. Хто може підказати? Одна з розумних позицій полягає в тому, що було помилкою для NIST уточнити, що деякі з хешів SHA-3 повинні мати 512-бітний опір попередньому образу. (Якщо це була помилка, то я дійсно не знаю, що з цим робити на цьому етапі!) Ця позиція говорить, що існує потреба в хеш-функції, яка займає набагато більше процесорного часу, ніж SHA-3-256, щоб забезпечити набагато меншу ймовірність того, що зловмисник зможе знайти в ній попереднє зображення, ніж в SHA-3-256, але ця «набагато менша ймовірність» в жодному значущому сенсі не корелює з ідеєю наявності «512-бітного опору перед зображенням». Інша розумна позиція полягає в тому, що хеш-функція, яка, як відомо, має не більше 384-бітного опору перед зображенням, з більшою ймовірністю вийде з ладу, ніж та, яка, як відомо, має щонайбільше 512-бітний опір перед зображенням. На цьому моє обмежене розуміння криптоаналізу хеш-функції добігає кінця. Чи це правдоподібно? Якщо я дам вам дві такі хеш-функції, ви впевнені, що могли б навчитися знаходити попередні зображення в першому, перш ніж знаходити попередні зображення в другому? Наскільки ви впевнені? Чи можливо, що все буде навпаки – що ви відкриєте метод пошуку пре-зображень у другому, перш ніж відкриєте метод пошуку пре-зображень у першому? Якби хтось, хто має реальний досвід криптоаналізу хеш-функцій і займає останню позицію, міг пояснити, що вони мають на увазі під "більшою ймовірністю зазнають невдачі", то я був би зачарований цим почути. У будь-якому випадку, я майже впевнений, що як користувач хеш-функцій мене хвилює "більша ймовірність збою" (і ефективність), а не "біти безпеки" для будь-якого бітового рівня, що перевищує близько 128 (включаючи розгляд квантових атак, багатоцільових атак і т.д.). Дякую, що знайшли час, щоб прочитати це. З повагою Зооко Вілкокс-О'Хірн