Los diseños de funciones de hash de tubería estrecha han sido recientemente atacados, particularmente en referencia a algunos candidatos SHA-3. ¿Es válida esta crítica? ¿Puede explicarse más simplemente que este documento hace?
Tengo curiosidad porque quiero saber si este es un criterio por el que también se pueden evaluar las funciones hash antiguas.
En una vista muy estricta y estrecha, la crítica de tubería estrecha es un ataque válido, ya que muestra que una función de hash con un tamaño de salida de 256 bits y una "tubería estrecha" (estado de ejecución no mayor que la salida) ofrece, como máximo, la resistencia de preimagen que se podría lograr con una función de hash con una salida de 255.34 bits. Desde un punto de vista más práctico, esto no tiene ninguna consecuencia en la seguridad real. Gligoroski ofreció este documento como un argumento para los diseños de tubería ancha, en particular su propia propuesta para SHA-3, llamada Blue Midnight Wish .
Aumasson, uno de los diseñadores de BLAKE , otro candidato de SHA-3 (un diseño de tubo estrecho), dijo que este ataque fue del tipo "mi-tubo-es-más grande que el tuyo" y no fue muy serio. Sin embargo, es bastante revelador que entre todos los resultados de la investigación de los 14 candidatos de SHA-3 de segunda ronda, la crítica de Gligoroski es probablemente el ataque más conocido, lo que significa que las 14 funciones son, por lo que sabemos, Bastante robusto. También se puede observar que para la tercera ronda de la competencia SHA-3, se seleccionó BLAKE, pero no BMW.
MD4, MD5, SHA-1, SHA-256 y SHA-512 son diseños de tubería estrecha y nadie pierde un latido en ese hecho.
El motivo por el que funciona este ataque (para valores muy bajos de trabajos) es que no es probable que una función aleatoria tenga un 1 - > 1 mapeo de entradas a salidas si es una función verdaderamente aleatoria. De hecho, la forma en que funcionan las matemáticas, una asignación aleatoria perfecta solo produciría 1 - 1 / e del espacio de salida posible. Esto equivale a 0.632 o algo así, y como poco menos de la mitad de las salidas no ocurrirá, reduce la dificultad de encontrar una imagen previa en un bit parcial (un bit completo sería si la mitad de las salidas no ocurriera) .
Como puedes ver, esto es puramente teórico y francamente bastante tonto.
Lea otras preguntas en las etiquetas hash cryptography cryptanalysis