Обрезаные хеши
Если нет желания хранить длинные SHA-2 значения, что лучше – использовать MD5/SHA1 или обрезать значения более длинных функций?
|
||||||||||||||||||||||||||
|
||||||||||||||||||||||||||
Нормы пользования. Некоторые права на материалы сайта защищены по условиям лицензии CreativeCommons. Движок
openSpace 0.8.25a и дизайн сайта © 2006-2007 Vlad "SATtva" Miller.
|
||||||||||||||||||||||||||
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 9796 документов: 488 редакций: 5664
Только в конкурсе SHA-3 было заявлено требование: стойкость ограниченного подмножества должна быть такой же как и исходного, но с пересчётом на его размер (мощность). Поиск более слабых подмножеств должен быть невозможен.
Иными словами, атаки на сокращённый выход должны быть невозможны (в сравнении с грубой силой и тривиальными различителями).
Для SHA-2 показана существенная неидеальность теоретической модели, включая саму конструкцию Дамгарда-Меркла. Несмотря на это, специальных атак на урезанные версии SHA-2 хэшей пока не опубликовано.
Можно лишь предполагать, что пока не открыты новые методы криптоанализа SHA-2, урезанные версии SHA-2 будут более стойкими, чем SHA-1 из-за большего количества раундов и размера внутреннего состояния.
Кроме того, некоторые финалисты конкурса SHA-3 используют в качестве основы своей стойкости именно "срезание" части своего внутреннего состояния, что затрудняет атаки (т.н. Wide Pipe Design).