Tại sao SHA3 an toàn hơn SHA2?

Tại sao các thuật toán SHA3 được coi là an toàn hơn so với các thuật toán SHA2 của chúng? Chắc chắn một phần là do chúng có khả năng chống lại các cuộc tấn công kéo dài. Nhưng cụ thể, khi xem xét khả năng chống va chạm, chúng có cùng thời gian tấn công O(n).

Có phải vì chúng có khả năng chống lại các cuộc tấn công trước?

Đây giống như một phụ lục cho câu trả lời của fgrieu hơn là một câu trả lời, nhưng có 3 điều nổi bật CÓ THỂ làm cho SHA3 an toàn hơn SHA2 từ quan điểm thiết kế.

Đầu tiên và rõ ràng nhất là kích thước trạng thái, SHA3 lớn hơn đáng kể ở 1600 bit so với SHA512... chỉ ở 512 bit. SHA3 ​​là một hàm bọt biển có được mức độ bảo mật từ kích thước trạng thái mà nó ẩn khỏi đầu ra hàm băm cuối cùng và đó là một trong những lý do khiến nó miễn nhiễm với các cuộc tấn công mở rộng độ dài. SHA-512 và SHA-256 đưa ra toàn bộ trạng thái của chúng, phần còn lại của họ SHA2 cắt ngắn theo độ dài mong muốn. Việc có sẵn toàn bộ trạng thái có thể khiến một số cuộc tấn công nhất định chống lại hàm băm dựa trên mật mã khối như SHA2 trở nên dễ dàng hơn, việc cắt bớt khó khăn có thể dẫn đến các cuộc tấn công khác.

Thứ hai có thể thay đổi theo thời gian, bộ đệm bảo mật hoặc số lượng vòng đầy đủ không bị phá vỡ bởi các cuộc tấn công tốt nhất chống lại hàm băm. Đối với các va chạm với SHA2, tỷ lệ này nằm trong khoảng 56% (va chạm thực tế cho SHA-256) và 30% (giả va chạm cho SHA-256) nhưng con số khổng lồ 79% cho SHA3 (va chạm 5 vòng thực tế)

Và điều cuối cùng là về cách có thể triển khai hàm băm trong phần mềm, SHA3 trên nền tảng 64 bit yêu cầu ít mã hơn để triển khai, điều đó có nghĩa là ít mã hơn có thể được triển khai một cách không an toàn. Nó cũng được coi là (bởi hầu hết những người mà tôi biết) dễ đọc mã SHA3 hơn và các hằng số tròn có thể được tạo theo thuật toán khi chạy.

Tại sao các thuật toán SHA3 được coi là an toàn hơn so với các thuật toán SHA2 của chúng

Cuộc thi SHA3 được tạo ra do các cuộc tấn công mới chống lại MD5 và SHA-1, điều này tạo ra mối đe dọa có thể nhận thấy rằng phân tích SHA2 trong tương lai có thể dẫn đến các cuộc tấn công thực tế. Điều này đã không thành hiện thực và SHA2 đã đứng vững trước sự phân tích mật mã.

Cuộc cạnh tranh SHA3 đã tạo ra nhiều hàm băm tuyệt vời có khả năng hoạt động tốt hơn SHA2, có hiệu suất phần cứng tốt hơn hoặc có hiệu suất tốt hơn so với tỷ lệ bảo mật. Nhưng điều đó không có nghĩa là SHA3 là hàm băm an toàn HƠN trên thực tế.. nhưng điều đó cũng không có nghĩa là SHA2 cũng vậy. Chúng có thiết kế rất khác nhau và SHA3 có nhiều khả năng hơn, VÀ SHA3 có bộ đệm bảo mật tiềm năng cao hơn, nhưng cả hai đều không bị hỏng (ngoại trừ các cuộc tấn công mở rộng độ dài, nhưng điều đó đã được biết đến).

Tôi biết bạn đã đề cập đến các cuộc tấn công mở rộng độ dài trong câu hỏi của mình, nhưng tôi không nghĩ rằng tầm quan trọng của điều đó có thể được cường điệu hóa trong cách SHA3 hoạt động thực tế an toàn hơn SHA2 - đặc biệt là bất cứ khi nào bạn thiết kế các giao thức/hệ thống mã hóa của riêng mình trên nền tảng đó. Nhờ các cuộc tấn công mở rộng độ dài, việc sử dụng SHA2 có thể yêu cầu các biện pháp tích cực (ví dụ: HMAC) ngoài chính hàm băm để sử dụng nó một cách an toàn và hầu hết mọi người sử dụng nó không hiểu điều này. Ngay cả khi họ làm như vậy, nhu cầu chiếm chỗ trong mô hình tinh thần của một người mà có thể được chi cho những thứ có giá trị hơn.

Ngoài ra, việc triển khai SHA2 có thể tùy thuộc vào các kênh bên, trong một số ngữ cảnh nhất định, làm rò rỉ thông tin về dữ liệu được băm. Điều này có thể rất quan trọng khi hàm băm được sử dụng với tài liệu chính, chẳng hạn như trong HMAC hoặc chữ ký. Tờ giấy này tuyên bố khôi phục thành công các khóa riêng tư từ triển khai WolfSSL (2017) của Ed25519 bằng kênh phụ như vậy. SHA3 ​​theo thiết kế không mời rò rỉ kênh bên.