Điểm:10

Tại sao SHA3 an toàn hơn SHA2?

lá cờ in

Tại sao các thuật toán SHA3 được coi là an toàn hơn so với các thuật toán SHA2 của chúng? Chắc chắn một phần là do chúng có khả năng chống lại các cuộc tấn công kéo dài. Nhưng cụ thể, khi xem xét khả năng chống va chạm, chúng có cùng thời gian tấn công O(n).

Có phải vì chúng có khả năng chống lại các cuộc tấn công trước?

poncho avatar
lá cờ my
"Tại sao các thuật toán SHA3 được coi là an toàn hơn so với các thuật toán SHA2 của chúng?" - Cá nhân tôi nghi ngờ một phần lớn lý do mà nhiều người cho rằng đó là vì $3 > 2$...
kelalaka avatar
lá cờ in
Không có hàm băm mật mã nào đã phá vỡ khả năng chống tiền hình ảnh, ngay cả MD5, cuộc tấn công tiền hình ảnh hiện có cũng không thực tế hơn so với lực lượng vũ phu.
Maarten Bodewes avatar
lá cờ in
"Tại sao các thuật toán SHA3 được coi là an toàn hơn so với các thuật toán SHA2 của chúng?" Đây không phải là Wikipedia, nhưng đây chỉ là yêu cầu \[cần dẫn nguồn\].
Dmitry Grigoryev avatar
lá cờ us
@poncho Nhắc tôi về việc tại các quốc gia không nói tiếng Nga, số lượng bán xe tải [KAMAZ](https://en.wikipedia.org/wiki/Kamaz) sửa đổi xuất khẩu luôn ở dưới mức sửa đổi cho thị trường nội địa, bởi vì sau này có phiên bản tiếng Nga của logo, ÐÐÐÐÐ, và mọi người cho rằng KAMA3 tốt hơn KAMA2.
Điểm:29
lá cờ ng

TL; DR: khẳng định "SHA3 an toàn hơn SHA2" chưa được chứng minh khi chúng tôi xem xét khả năng chống va chạm hoặc khả năng chống tạo ảnh trước.

Ngoài ra: có nhiều lý do để thích SHA3 hơn, bao gồm cả việc trở thành một công cụ tổng quát hơn vì nó là một khởi tạo hợp lý của một lời tiên tri ngẫu nhiên (trái ngược với SHA2 do thuộc tính mở rộng độ dài). Tôi muốn đề cập đến câu trả lời này để biết thêm.


Chúng tôi không biết SHA2 hoặc SHA3 nào có khả năng chống va chạm tốt hơn. Cả hai đều cố gắng đạt được khả năng chống va chạm tốt nhất có thể cho một $n$-bit băm, ví dụ: giá trị của $2^{n/2}$ băm (trong một hệ số không quá xa so với 1) để đạt được va chạm với xác suất thành công â39%.

Chúng tôi không biết SHA2 hay SHA3 nào có khả năng chống tạo ảnh trước tốt hơn. Cả hai đều cố gắng đạt được khả năng chống tạo ảnh trước tốt nhất có thể cho một $n$-bit băm, ví dụ: giá trị của $2^n$ băm (trong một hệ số không quá xa so với 1) để đạt được hình ảnh trước với xác suất thành công â63%. Điều đó không phải lúc nào cũng đúng: trong một thời gian ngắn, khả năng chống tạo ảnh trước của bản nháp SHA3 đã được hạ xuống, để làm cho nó nhanh hơn, thấp hơn nhiều so với (phỏng đoán) đối với SHA2. Nhưng sự thay đổi đó đã gây ra tranh cãi và bị đảo ngược lại, xem cái này. Bây giờ chúng ta phải sử dụng SHAKE khi chúng ta không muốn khả năng chống tạo ảnh quá mức cần thiết được cho là của SHA2 và thay vào đó, chúng ta thích tốc độ cao hơn.

Đối số mà chúng tôi không biết: nếu chúng tôi biết SHA2 hoặc SHA3 nào là an toàn nhất từ ​​quan điểm về khả năng chống va chạm hoặc khả năng tạo ảnh trước (bởi một hệ số lớn hơn chênh lệch tốc độ, điều này làm cho thuật toán nhanh hơn tương ứng kém an toàn hơn), một trong số SHA2 hoặc SHA3 sẽ bị phá vỡ theo quan điểm đó.

Patriot avatar
lá cờ cn
Chính xác: chúng tôi không biết. Lịch sử của mật mã phần lớn là câu chuyện về những người nói rằng điều gì đó là chắc chắn - cho đến khi nó không còn nữa.
lá cờ cn
"Nhưng thay đổi đó đã gây ra tranh cãi và đã bị đảo ngược" Điều đáng buồn về quyết định này là việc tăng số vòng SHAKE-256 để phù hợp với hiệu suất của SHA3-512 sẽ dẫn đến một chức năng mà tôi tin tưởng hơn nhiều so với SHA3- 512.
corsiKa avatar
lá cờ us
@Patriot chỉ thỏa thuận tuyệt đối với người Sith
Điểm:22
lá cờ cn

Đây giống như một phụ lục cho câu trả lời của fgrieu hơn là một câu trả lời, nhưng có 3 điều nổi bật CÓ THỂ làm cho SHA3 an toàn hơn SHA2 từ quan điểm thiết kế.

Đầu tiên và rõ ràng nhất là kích thước trạng thái, SHA3 lớn hơn đáng kể ở 1600 bit so với SHA512... chỉ ở 512 bit. SHA3 ​​là một hàm bọt biển có được mức độ bảo mật từ kích thước trạng thái mà nó ẩn khỏi đầu ra hàm băm cuối cùng và đó là một trong những lý do khiến nó miễn nhiễm với các cuộc tấn công mở rộng độ dài. SHA-512 và SHA-256 đưa ra toàn bộ trạng thái của chúng, phần còn lại của họ SHA2 cắt ngắn theo độ dài mong muốn. Việc có sẵn toàn bộ trạng thái có thể khiến một số cuộc tấn công nhất định chống lại hàm băm dựa trên mật mã khối như SHA2 trở nên dễ dàng hơn, việc cắt bớt khó khăn có thể dẫn đến các cuộc tấn công khác.

Thứ hai có thể thay đổi theo thời gian, bộ đệm bảo mật hoặc số lượng vòng đầy đủ không bị phá vỡ bởi các cuộc tấn công tốt nhất chống lại hàm băm. Đối với các va chạm với SHA2, tỷ lệ này nằm trong khoảng 56% (va chạm thực tế cho SHA-256) và 30% (giả va chạm cho SHA-256) nhưng con số khổng lồ 79% cho SHA3 (va chạm 5 vòng thực tế)

Và điều cuối cùng là về cách có thể triển khai hàm băm trong phần mềm, SHA3 trên nền tảng 64 bit yêu cầu ít mã hơn để triển khai, điều đó có nghĩa là ít mã hơn có thể được triển khai một cách không an toàn. Nó cũng được coi là (bởi hầu hết những người mà tôi biết) dễ đọc mã SHA3 hơn và các hằng số tròn có thể được tạo theo thuật toán khi chạy.

Tại sao các thuật toán SHA3 được coi là an toàn hơn so với các thuật toán SHA2 của chúng

Cuộc thi SHA3 được tạo ra do các cuộc tấn công mới chống lại MD5 và SHA-1, điều này tạo ra mối đe dọa có thể nhận thấy rằng phân tích SHA2 trong tương lai có thể dẫn đến các cuộc tấn công thực tế. Điều này đã không thành hiện thực và SHA2 đã đứng vững trước sự phân tích mật mã.

Cuộc cạnh tranh SHA3 đã tạo ra nhiều hàm băm tuyệt vời có khả năng hoạt động tốt hơn SHA2, có hiệu suất phần cứng tốt hơn hoặc có hiệu suất tốt hơn so với tỷ lệ bảo mật. Nhưng điều đó không có nghĩa là SHA3 là hàm băm an toàn HƠN trên thực tế.. nhưng điều đó cũng không có nghĩa là SHA2 cũng vậy. Chúng có thiết kế rất khác nhau và SHA3 có nhiều khả năng hơn, VÀ SHA3 có bộ đệm bảo mật tiềm năng cao hơn, nhưng cả hai đều không bị hỏng (ngoại trừ các cuộc tấn công mở rộng độ dài, nhưng điều đó đã được biết đến).

Điểm:10
lá cờ cn

Tôi biết bạn đã đề cập đến các cuộc tấn công mở rộng độ dài trong câu hỏi của mình, nhưng tôi không nghĩ rằng tầm quan trọng của điều đó có thể được cường điệu hóa trong cách SHA3 hoạt động thực tế an toàn hơn SHA2 - đặc biệt là bất cứ khi nào bạn thiết kế các giao thức/hệ thống mã hóa của riêng mình trên nền tảng đó. Nhờ các cuộc tấn công mở rộng độ dài, việc sử dụng SHA2 có thể yêu cầu các biện pháp tích cực (ví dụ: HMAC) ngoài chính hàm băm để sử dụng nó một cách an toàn và hầu hết mọi người sử dụng nó không hiểu điều này. Ngay cả khi họ làm như vậy, nhu cầu chiếm chỗ trong mô hình tinh thần của một người mà có thể được chi cho những thứ có giá trị hơn.

Ngoài ra, việc triển khai SHA2 có thể tùy thuộc vào các kênh bên, trong một số ngữ cảnh nhất định, làm rò rỉ thông tin về dữ liệu được băm. Điều này có thể rất quan trọng khi hàm băm được sử dụng với tài liệu chính, chẳng hạn như trong HMAC hoặc chữ ký. Tờ giấy này tuyên bố khôi phục thành công các khóa riêng tư từ triển khai WolfSSL (2017) của Ed25519 bằng kênh phụ như vậy. SHA3 ​​theo thiết kế không mời rò rỉ kênh bên.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.