我在2010年寫給SHA-3郵件列表的一封信： 發件人：Zooko O'Whielacronx 收件人：hash-forum 日期：2010-10-14 03:46 UTC 各位： 如果一個哈希具有32位的前像抗性，這意味著攻擊者可能需要花費大約2³²的資源來找到一個前像。 如果一個哈希具有64位的前像抗性，這意味著攻擊者可能需要花費大約2⁶⁴的資源來找到一個前像。 如果一個哈希具有512位的前像抗性，那意味著什麼呢？攻擊者可能需要花費大約2⁵¹²的資源來找到一個前像？這是一個毫無意義的討論，因為在這個宇宙的生命中，2⁵¹²的資源永遠不會存在，所以這不能意味著那樣，或者如果確實意味著那樣，那麼討論“512位前像抗性”就沒有意義了。也許它意味著其他東西？ 通過類比，假設你考慮建造一座能夠承受10³噸壓力的橋。你也可以考慮一座能夠承受10⁶噸壓力的橋。如果這座橋被部署在一個可能承受超過10³噸但少於10⁶噸的情況下，那麼這將是一個非常重要的區別。 但是討論一座能夠承受10¹⁵⁰噸壓力的橋的設計意味著什麼呢？這樣的壓力永遠無法施加在橋上。區分一座能夠承受10¹⁵⁰噸壓力的橋和另一座能夠承受10³⁰⁰噸壓力的橋有什麼價值嗎？即使它們都無法經歷10¹⁵⁰噸的壓力，也許後者的橋在面對某種其他威脅時仍然會更安全——例如建築者或設計者的錯誤，或者一個未包含在我們用來評估橋的模型中的壓力事件。 或者也許不是。也許設計為承受10³⁰⁰噸壓力的橋在遭遇這種不可預測、未建模的事件時實際上更容易失敗。誰能說得清？ 一個合理的立場是，NIST規定某些SHA-3哈希必須具有512位前像抗性是一個錯誤。（如果這是一個錯誤，那麼在這個時刻我真的不知道該怎麼做！） 這個立場認為，需要一種哈希函數，其CPU時間遠遠超過SHA-3-256，以提供攻擊者在其中找到前像的可能性遠低於SHA-3-256，但這種“遠低的可能性”在任何有意義的意義上與“512位前像抗性”的概念沒有相關性。 另一個合理的立場是，已知最多具有384位前像抗性的哈希函數比已知最多具有512位前像抗性的哈希函數更容易失敗。這是我對哈希函數密碼分析的有限理解的終點。這合理嗎？如果我給你兩個這樣的哈希函數，你是否有信心在找到前像之前能學會在前者中找到前像？你有多確定？是否有可能情況正好相反——你會在找到前者的前像之前發現找到後者前像的方法？ 如果有真正的哈希函數密碼分析專家並且持有後者立場的人能解釋他們所說的“更容易失敗”是什麼意思，我會很感興趣。 無論如何，我很確定作為哈希函數的用戶，我關心的是“更容易失敗”（以及效率），而不是關於任何超過大約128位的“安全位數”（包括考慮量子攻擊、多目標攻擊等）。 感謝您花時間閱讀這封信。 此致， Zooko Wilcox-O'Hearn