много итераций на хэше: разве это не уменьшает энтропию?

поскольку вы отметили md5, я буду использовать это в качестве примера. От Википедия:

Если можно построить два префикса с одинаковым хэшем, к обоим можно добавить общий суффикс, чтобы сделать столкновение более вероятным для принятия в качестве допустимых данных приложением, использующим его. Кроме того, современные методы поиска столкновений позволяют указать произвольный префикс: злоумышленник может создать два файла столкновения, которые начинаются с одного и того же содержимого. Все злоумышленник должен для создания двух сталкивающихся файлов используется файл шаблона со 128-байтовым блоком данных, выровненным по 64-байтовой границе, которая может быть свободно изменена алгоритмом поиска столкновений. Пример столкновения MD5 с двумя сообщениями, различающимися в 6 битах:

и тогда пример plaintexts они дают 256 байт. Поскольку атака столкновения зависит от 128 байт блок данных, а хэш-дайджест-всего 128 bits, там действительно нет повышенный риск столкновения атаки после первой итерации-то есть вы не можете реально повлиять на вероятность столкновения за пределами первого хэша.

также учтите, что энтропия хэша равна вышеупомянутым 128 битам. Даже учитывая, что общий шанс столкновения составляет всего 2^20.96 (опять же от Википедия), потребовалось бы большое количество итераций, чтобы вызвать столкновение двух входов. На первый взгляд, я думаю, что ты ... жертвой становится:

• любые два произвольных входа имеют шанс столкновения x%.
• выходы первого хэша сами по себе являются двумя такими входами.
• таким образом, каждая итерация увеличивает вероятность столкновения на x%.

Это может быть опровергнуто контрпример довольно легко. Рассмотрим еще раз MD5:

• вероятность столкновения двух входов равна 1: 2^21 (принимая худший сценарий из криптографический анализ Википедии MD5)
• хеширование снова вызывает одинаково вероятный шанс столкновения, поэтому вероятность столкновения во втором раунде составляет 1: 2^20
• поэтому для любых двух входов, хэшированных несколько раз, равных энтропии дайджеста, гарантируется столкновение.

MD5 любые два входа 128 раз подряд, и вы увидите, что это не так. Вы, вероятно, не найдете ни одного повторяющегося хэша между ними - в конце концов, вы создали только 256 из возможных 2^128 хэш-значений, оставив 2^120 возможностей. Вероятность столкновений между раундами равна независимая всех остальных раундов.

есть два подхода, чтобы понять, почему это так. Во-первых, каждая итерация по существу пытается поразить движущуюся цель. Я думаю, вы могли бы построить доказательство, основанное на парадоксе дня рождения, что существует удивительно низкое количество итераций хэширования, где вы вероятно, один хэш-дайджест из одного входа будет соответствовать хэш-дайджесту другого входа. Но они почти наверняка произошли бы в разные шагов итерации. И как только это происходит, они никогда не могут иметь одинаковые выходные данные на одной итерации, потому что сам хэш-алгоритм детерминирован.

другой подход заключается в том, чтобы понять, что хэш-функция фактически добавляет энтропию во время работы. Считаю, что пустая строка имеет 128-битный дайджест, как и любой другой вход; это не может произойти без добавления энтропии во время шагов алгоритма. На самом деле это обязательно часть криптографической хэш-функции: данные должны быть уничтожены, иначе вход может быть восстановлен из дайджеста. Для входов дольше, чем дайджест, да, энтропия теряется в целом; она должна быть, чтобы соответствовать длине дайджеста. Но также добавляется некоторая энтропия.

У меня нет точных чисел для других хэш-алгоритмов, но я думаю, что все точки, которые у меня есть сделано обобщение на другие хэш-функции и односторонние / картографические функции.