将SpookyHash转换为半安全的192位哈希
您认为如何通过这种方式将SpookyHash转换为半安全的192位哈希函数:
- 通过使用8*8字节=512位块而不是8*12字节块来提高安全性,但其余的8*12字节=768位状态(这样256位用于"oracle")
- 运行更多的EndPartial回合结束,以产生更多的熵
- 以h0、h1、h2为例,生成192位哈希。
- 看起来,应该删除短散列:(或重写以使用更多的状态)。
这个功能有多安全?需要运行多少个EndPartial回合?
更新:
说“半保密”我的意思是:
- CityHash被Google用来区分键和键,但是Jean表示很容易产生碰撞(以及MurmurHash3)。
- 需要散列,这对于用作签名应该是快速的。
- 但是偶然碰撞的概率应该是很小的。
- 攻击应该是无利可图的:如果一个人需要花费1个GPU*年(即平均资金投入的公司1个月)的时间来执行图像前攻击或从散列(“保密”+“公共”)中恢复“秘密”,那么函数就足够安全(但肯定不是密码)。
ie“半安全”意味着攻击是可能的,但对对手来说对当前的功能使用是无益的。偶尔的碰撞也很少见。
一个被拒绝的SHA-3竞争者"Aurora-512“被拒绝,因为它被证明2^234攻击是可能的。“半安全”-大约是2^58 (可能)阻力函数。
回答 2
Cryptography用户
发布于 2014-04-07 23:31:08
SpookyHash显然被其作者指定为非加密散列。在密码学的世界里,在这个层次上根本没有半衰期的空间。要么存在某种程度的安全漏洞,比如128位安全级别,要么就没有。这意味着,它应该能够抵御当前已知的攻击,而且该设计传达了足够多的信息,让神秘的分析人士称其为安全(接近安全的)。
小打小闹或只加子弹可能不会有任何帮助。即使是在这个领域有经验的人也很难创建一个安全的散列。查看条目的数量,退出或退出第二轮SHA-3比赛,以了解创建一个具有最低安全级别的散列是什么。
Cryptography用户
发布于 2014-04-08 19:22:53
与问题有关的问题首先:
- 安全不是什么东西,你可以胶带到任何你想要的事后,事实。
- 你永远不能通过处理数据来增加信息熵。它可以保持不变或减少,这取决于你是做无损的还是有损的转变。
- 散列(“机密”+“公共”)并不一定是所有密码哈希函数作为MAC的安全的。如果在算法的论文中明确定义了HMAC或MAC模式,则使用它。
- 你确定你的估计是正确的吗?你有办法知道吗?
回答:任何算法都不能或不应该在事实之后添加安全性。有许多很好的加密哈希函数可供选择。你不需要新的。除了速度之外,这些算法在所有方面都优于不安全函数。如果您试图使一个“安全”,那么它将是一个不同的算法,可能会更慢,否则不如严重的密码哈希函数。
有很好的算法,如Sha2,Skein,Blake,Blake-2和siphash**。Sha2是SHA家族的一部分。斯金和布莱克是沙-3候选人。Blake-2是Blake的一个更快的变体,它的安全性更小。Siphash是一个快速的PRF。
Siphash使用128位键、256位状态和64位输出。它的速度与一般的散列算法相比具有很强的竞争力。它由Jean-Philippe Aumasson和Daniel J. Bernstein设计,可用于哈希表算法,以防止基于哈希冲突的DOS攻击--如果密钥是保密的。缺点是不足以作为加密哈希使用,没有出版物分析它或减少循环模式,一个64位的输出可能太小。64位的输出提供了多达32位的碰撞电阻,所以有人拿着钥匙可以用蛮力产生碰撞。
*泛化免责声明:这是一种概括。其他算法在硬件实现中可能占用较少的机器代码字节或更少的空间,但这些通常不是问题。(例如,CRC很小,但也不安全。)
** MAC算法、PRF或通用哈希函数,其特性有助于抵抗基于哈希冲突的DOS攻击。作为Sha2等密码散列的替代物,它并不安全。
编辑:沙-1仍然是可用的,但为什么要冒它的风险,除了遗留支持?凯克卡克被选为SHA-3,但现在的状态很奇怪。
https://crypto.stackexchange.com/questions/15444
复制相似问题
腾讯云开发者
