رسالة كتبتها إلى القائمة البريدية SHA-3 في عام 2010: من: Zooko O'Whielacronx إلى: hash-forum التاريخ: 2010-10-14 03:46 UTC الناس: إذا كانت التجزئة تحتوي على مقاومة مسبقة للصورة 32 بت ، فهذا يعني أن المهاجم قد ينفق حوالي 2³² موارد للعثور على صورة مسبقة. إذا كانت التجزئة تحتوي على مقاومة مسبقة للصورة 64 بت ، فهذا يعني أن المهاجم قد ينفق حوالي 2⁶⁴ موارد للعثور على صورة مسبقة. ماذا لو كانت التجزئة تحتوي على مقاومة مسبقة للصورة 512 بت؟ ماذا يعني ذلك؟ أن المهاجم قد ينفق حوالي 2⁵¹² موارد للعثور على صورة مسبقة فيه؟ هذا احتمال لا معنى له للمناقشة لأن موارد 2⁵¹² لن تكون موجودة أبدا في حياة هذا الكون ، لذلك لا يمكن أن يعني ذلك ، أو إذا كان ذلك يعني أنه لا فائدة من الحديث عن "مقاومة ما قبل الصورة 512 بت". ربما يعني شيئا آخر؟ على سبيل القياس ، افترض أنك فكرت في بناء جسر يتحمل 10 أطنان من الضغط. يمكنك أيضا التفكير في جسر يمكنه تحمل 10 أطنان من الضغط. إذا تم نشر الجسر في حالة قد يستقر فيها أكثر من 10 أطنان ولكن أقل من 10 أطنان ، فسيكون هذا تمييزا مهما للغاية. ولكن ماذا يعني مناقشة تصميم جسر يمكنه تحمل 10 أطنان من الضغط؟ لا يمكن أبدا تطبيق مثل هذا القدر من الضغط على الجسر. هل ستكون هناك أي قيمة في التمييز بين تصميم جسر واحد يتحمل 10 أطنان من الضغط وآخر يتحمل 10 درجات مئوية من الضغط؟ على الرغم من أن أيا منهما لا يمكن أن يواجه ما يصل إلى 10 أطنان من الضغط ، فربما يظل الجسر الأخير أكثر أمانا ضد بعض التهديدات الأخرى - خطأ من جانب البناة أو المصممين أو حدث مرهق لم يتم تضمينه في النموذج الذي استخدمناه لتقييم جسورنا في المقام الأول. أو ربما لا. ربما يكون الجسر المصمم لتحمل 10 أطنان من الضغط أكثر عرضة للفشل من الجسر الآخر عند اصطدامه بهذا الحدث غير المتوقع وغير النموذجي. من يستطيع أن يقول؟ أحد المواقف المعقولة التي يجب اتخاذها هو أنه كان من الخطأ أن تحدد NIST أن بعض تجزئات SHA-3 يجب أن تتمتع بمقاومة 512 بت للصورة المسبقة. (إذا كان خطأ ، فليس لدي أي فكرة عما يجب فعله حيال ذلك في هذا المنعطف!) يقول هذا الموقف أن هناك حاجة إلى وظيفة تجزئة تستغرق وقتا أطول بكثير لوحدة المعالجة المركزية مقارنة ب SHA-3-256 من أجل توفير احتمالية أقل بكثير بأن يتمكن المهاجم من العثور على صورة مسبقة فيها مقارنة ب SHA-3-256 ، ولكن هذا "الاحتمال الأقل بكثير" لا يرتبط بأي معنى ذي مغزى بفكرة وجود "مقاومة ما قبل الصورة 512 بت". موقف معقول آخر يجب اتخاذه هو أن دالة التجزئة التي من المعروف أنها تتمتع بمقاومة ما قبل الصورة 384 بت على الأكثر من المرجح أن تفشل من تلك التي من المعروف أنها تتمتع بمقاومة 512 بت على الأكثر للصورة المسبقة. هذا هو المكان الذي ينتهي فيه فهمي المحدود لتحليل تشفير دالة التجزئة. هل هذا معقول؟ إذا أعطيتك وظيفتي تجزئة من هذا القبيل ، فهل أنت واثق من أنه يمكنك معرفة كيفية العثور على الصور المسبقة في الأولى قبل أن تجد صورا مسبقة في الأخير؟ ما مدى تأكدك؟ هل من الممكن أن يكون العكس هو الصحيح - أن تكتشف طريقة للعثور على الصور المسبقة في الأخيرة قبل اكتشاف طريقة للعثور على الصور المسبقة في الأولى؟ إذا كان بإمكان شخص لديه خبرة حقيقية في تحليل تشفير وظيفة التجزئة والذي يتخذ الموقف الأخير شرح ما يعنيه ب "أكثر عرضة للفشل" ، فسأكون مفتونا بسماع ذلك. على أي حال ، أنا متأكد من أن ما يهمني بصفتي مستخدما لوظائف التجزئة هو "من المرجح أن يفشل" (والكفاءة) ، وليس حول "أجزاء الأمان" لأي مستوى بت أكبر من حوالي 128 (بما في ذلك النظر في الهجمات الكمومية ، والهجمات متعددة الأهداف ، وما إلى ذلك). شكرا لك على الوقت الذي قضيته في قراءة هذا. يتعلق زوكو ويلكوكس أوهيرن