Truncando la salida de SHA256 a 128 bits

Aunque SHA-256 ofrece nominalmente una salida de 256 bits, no se conoce ninguna debilidad cuando la salida se trunca a 128 bits, excepto, por supuesto, debilidades inherentes a la longitud de salida más corta; p.ej. la resistencia a la colisión cae de lo inviable 2 ¹²⁸ a lo posible (pero difícil) 2 ⁶⁴ .

Esto no es una propiedad genérica de las funciones hash (*), pero es algo "obvio" de cómo se define SHA-256. En particular, cuando NIST definió SHA-224, una función hash con una salida de 224 bits, simplemente tomaron SHA-256, con un vector de inicialización distinto y una salida truncada.

^{(*) Se puede mostrar que una función hash segura determinada, cuando se trunca, no puede ser muy mala, pero aún puede ser un poco peor de lo esperado. Para SHA-256, el truncamiento parece seguro.}

Como Tom acaba de decir, puede truncar la salida del SHA-256 a 128 bits por integridad, porque 128 bits es suficiente para evitar colisiones de forma razonable.

Sin embargo, las funciones hash como SHA-256 no son adecuadas para la generación de claves o la autenticidad del archivo (solo integridad).

Si desea generar una clave, use algo como PKBDF2 o scrypt. Si desea autenticar un archivo, use las funciones HMAC (que pueden confiar en SHA-256).

Fuente: Introducción a la criptografía en Coursera.