Kirje, jonka kirjoitin SHA-3-postituslistalle vuonna 2010: Lähettäjä: Zooko O'Whielacronx Vastaanottaja: hash-forum Päiväys: 2010-10-14 03:46 UTC Väki: Jos hajautusarvolla on 32-bittinen esikuvaresistenssi, hyökkääjä voi käyttää noin 2³² resursseja esikuvan löytämiseen. Jos hajautusarvolla on 64-bittinen esikuvan vastustuskyky, hyökkääjä voi käyttää noin 2⁶⁴ resursseja esikuvan löytämiseen. Entä jos hajautusarvolla on 512-bittinen esikuvavastus? Mitä se tarkoittaisi? Että hyökkääjä saattaa käyttää noin 2⁵¹² resursseja löytääkseen siitä esikuvan? Tämä on merkityksetön mahdollisuus keskustella, koska 2⁵¹² resursseja ei koskaan tule olemaan tämän universumin elämässä, joten se ei voi tarkoittaa sitä, tai jos se tarkoittaa, niin ei ole mitään hyötyä puhua "512-bittisestä esikuvaresistenssistä". Ehkä se tarkoittaa jotain muuta? Oletetaan analogisesti, että harkitset sillan rakentamista, joka kestää 10 ³ tonnia painetta. Voit myös harkita siltaa, joka kestää 10⁶ tonnia painetta. Jos silta otettaisiin käyttöön tilanteessa, jossa sen päällä voisi olla yli 10 tonnia mutta alle 10 tonnia, tämä olisi erittäin tärkeä ero. Mutta mitä tarkoittaisi keskustella sillasta, joka kestäisi 10¹⁵⁰ tonnin painetta? Sellaista painetta ei voitu koskaan kohdistaa siltaan. Olisiko mitään arvoa erottaa yksi siltamalli, joka kestäisi 10¹⁵⁰ tonnia painetta, ja toinen, joka kestäisi 10³⁰⁰? Vaikka kumpikaan niistä ei koskaan pystyisi kokemaan 10¹⁵⁰ tonnin painetta, ehkä jälkimmäinen silta olisi silti turvallisempi joltakin muulta uhalta – rakentajien tai suunnittelijoiden virheeltä tai stressaavalta tapahtumalta, joka ei sisältynyt malliin, jota käytimme siltojemme arvioinnissa. Tai ehkä ei. Ehkä silta, joka on suunniteltu kestämään 10³⁰⁰ tonnin painetta, epäonnistuu todennäköisemmin kuin toinen, kun siihen osuu tämä odottamaton, mallintamaton tapahtuma. Kuka osaa kertoa? Yksi järkevä kanta on, että NIST:n oli virhe täsmentää, että joillakin SHA-3-hajautusarvoilla oli oltava 512-bittinen esikuvan vastus. (Jos se oli virhe, minulla ei todellakaan ole aavistustakaan, mitä tehdä asialle tässä vaiheessa!) Tämä kanta sanoo, että tarvitaan hajautusfunktio, joka vie paljon enemmän prosessoriaikaa kuin SHA-3-256, jotta hyökkääjä löytäisi siitä esikuvan paljon pienemmän todennäköisyyden kuin SHA-3-256:ssa, mutta että tämä "paljon pienempi todennäköisyys" ei millään merkityksellisellä tavalla korreloi ajatuksen kanssa "512-bittisestä esikuvan resistenssistä". Toinen järkevä kanta on, että hajautusfunktio, jolla tiedetään olevan enintään 384-bittinen esikuvaresistenssi, epäonnistuu todennäköisemmin kuin sellainen, jolla tiedetään olevan enintään 512-bittinen esikuvan vastus. Tähän rajallinen ymmärrykseni hajautusfunktioiden kryptoanalyysistä päättyy. Onko se uskottavaa? Jos annan sinulle kaksi tällaista hajautusfunktiota, oletko varma, että voit oppia löytämään esikuvia edellisestä ennen kuin löydät esikuvia jälkimmäisestä? Kuinka varma olet? Onko mahdollista, että asia olisi päinvastoin – että löytäisit menetelmän esikuvien löytämiseksi jälkimmäisestä ennen kuin löytäisit menetelmän esikuvien löytämiseksi ensimmäisestä? Jos joku, jolla on todellista kokemusta hajautusfunktioiden kryptoanalyysistä ja joka omaksuu jälkimmäisen kannan, voisi selittää, mitä he tarkoittavat "todennäköisemmin epäonnistua", olisin kiehtova kuulemaan sen. Joka tapauksessa olen melko varma, että hajautusfunktioiden käyttäjänä välitän "todennäköisemmin epäonnistua" (ja tehokkuudesta), en "tietoturvabiteistä" millekään bittitasolle, joka on suurempi kuin noin 128 (mukaan lukien kvanttihyökkäykset, usean kohteen hyökkäykset jne.). Kiitos, että käytit aikaa tämän lukemiseen. Terveisin Zooko Wilcox-O'Hearn