Một bức thư tôi đã viết cho danh sách gửi thư SHA-3 vào năm 2010: Từ: Zooko O'Whielacronx Đến: hash-forum Ngày: 2010-10-14 03:46 UTC Các bạn: Nếu một hàm băm có khả năng chống lại hình ảnh trước 32-bit thì điều này có nghĩa là một kẻ tấn công có thể tiêu tốn khoảng 2³² tài nguyên để tìm một hình ảnh trước. Nếu một hàm băm có khả năng chống lại hình ảnh trước 64-bit thì điều này có nghĩa là một kẻ tấn công có thể tiêu tốn khoảng 2⁶⁴ tài nguyên để tìm một hình ảnh trước. Còn nếu một hàm băm có khả năng chống lại hình ảnh trước 512-bit thì sao? Điều đó có nghĩa là một kẻ tấn công có thể tiêu tốn khoảng 2⁵¹² tài nguyên để tìm một hình ảnh trước trong đó? Đó là một khả năng vô nghĩa để thảo luận vì 2⁵¹² tài nguyên sẽ không bao giờ tồn tại trong cuộc sống của vũ trụ này, vì vậy nó không thể có nghĩa như vậy, hoặc nếu nó có nghĩa như vậy thì không có lý do gì để nói về "khả năng chống lại hình ảnh trước 512-bit". Có thể nó có nghĩa gì khác? Theo phép tương tự, giả sử bạn xem xét việc xây dựng một cây cầu có thể chịu được áp lực 10³ tấn. Bạn cũng có thể xem xét một cây cầu có thể chịu được 10⁶ tấn áp lực. Nếu cây cầu được triển khai trong một tình huống mà áp lực lớn hơn 10³ tấn nhưng nhỏ hơn 10⁶ tấn có thể đặt lên nó, thì đây sẽ là một sự phân biệt rất quan trọng cần thực hiện. Nhưng điều gì sẽ có nghĩa khi thảo luận về một thiết kế cho một cây cầu có thể chịu được 10¹⁵⁰ tấn áp lực? Một lượng áp lực như vậy sẽ không bao giờ được áp dụng lên cây cầu. Liệu có giá trị gì trong việc phân biệt giữa một thiết kế cầu có thể chịu được 10¹⁵⁰ tấn áp lực và một thiết kế khác có thể chịu được 10³⁰⁰ tấn áp lực không? Mặc dù cả hai đều không thể trải nghiệm áp lực lên đến 10¹⁵⁰ tấn, có thể cây cầu sau vẫn an toàn hơn trước một mối đe dọa khác—một lỗi từ phía các nhà xây dựng hoặc thiết kế hoặc một sự kiện căng thẳng không được đưa vào mô hình mà chúng tôi đã sử dụng để đánh giá các cây cầu của mình ngay từ đầu. Hoặc có thể không. Có thể cây cầu được thiết kế để chịu được 10³⁰⁰ tấn áp lực thực sự có khả năng thất bại cao hơn so với cây cầu khác khi bị tác động bởi sự kiện không được dự đoán, không được mô hình hóa này. Ai có thể nói được? Một quan điểm hợp lý là NIST đã sai khi chỉ định rằng một số hàm băm SHA-3 phải có khả năng chống lại hình ảnh trước 512-bit. (Nếu đó là một sai lầm thì tôi thực sự không biết phải làm gì về điều đó vào lúc này!) Quan điểm đó nói rằng cần có một hàm băm mà tiêu tốn nhiều thời gian CPU hơn so với SHA-3-256 để cung cấp khả năng ít có khả năng hơn rằng một kẻ tấn công sẽ có thể tìm thấy một hình ảnh trước trong đó hơn là trong SHA-3-256, nhưng rằng "khả năng ít hơn" này không có mối tương quan nào có ý nghĩa với ý tưởng về việc có "khả năng chống lại hình ảnh trước 512-bit". Một quan điểm hợp lý khác là một hàm băm được biết đến có khả năng chống lại hình ảnh trước tối đa 384-bit có khả năng thất bại cao hơn so với một hàm băm được biết đến có khả năng chống lại hình ảnh trước tối đa 512-bit. Đây là nơi mà sự hiểu biết hạn chế của tôi về phân tích mật mã hàm băm kết thúc. Điều đó có hợp lý không? Nếu tôi đưa cho bạn hai hàm băm như vậy, bạn có tự tin rằng bạn có thể học cách tìm hình ảnh trước trong hàm băm đầu tiên trước khi tìm hình ảnh trước trong hàm băm thứ hai không? Bạn chắc chắn đến mức nào? Có thể rằng sẽ là ngược lại—rằng bạn sẽ phát hiện ra một phương pháp tìm hình ảnh trước trong hàm băm thứ hai trước khi phát hiện ra một phương pháp tìm hình ảnh trước trong hàm băm đầu tiên? Nếu có ai đó có chuyên môn thực sự về phân tích mật mã hàm băm và người đó giữ quan điểm sau có thể giải thích điều họ có nghĩa là "có khả năng thất bại cao hơn", thì tôi sẽ rất thích nghe điều đó. Dù sao đi nữa, tôi khá chắc chắn rằng với tư cách là một người sử dụng hàm băm, điều tôi quan tâm là "có khả năng thất bại cao hơn" (và hiệu suất), không phải về "số bit bảo mật" cho bất kỳ mức bit nào lớn hơn khoảng 128 (bao gồm cả việc xem xét các cuộc tấn công lượng tử, các cuộc tấn công đa mục tiêu, v.v.). Cảm ơn bạn đã dành thời gian để đọc điều này. Trân trọng, Zooko Wilcox-O'Hearn