ฉันพยายามที่จะเข้าใจว่าปลอดภัยแค่ไหน ส มาจากผู้โจมตี สมมติว่าพวกเขามีพลังการแฮชมหาศาล เช่นเดียวกับในกรณีที่พวกเขาเป็นเจ้าของแท่นขุดคริปโตเคอเรนซี
กล่าวอีกนัยหนึ่งผู้โจมตีจะต้องไม่สามารถค้นพบความลับได้ ส:
แต่ผู้โจมตีมีความรู้ทั้งสองอย่างครบถ้วน:
SHA3(K + SHA3(เล็ก)) = 9cc2679d4eb37c26cb82db4fdec8ac3787b3eff6efd18ec839397798a9ed402fดูครั้งแรกที่ $\operatorname{SHA3}(S)$
$\operatorname{SHA3}$ เป็นฟังก์ชันแฮชการเข้ารหัสที่สร้างขึ้นสำหรับภาพล่วงหน้า ภาพล่วงหน้ารอง และความต้านทานการชนกัน ถ้าคุณใช้ $\operatorname{SHA3}-512$ จากนั้นคุณจะได้รับการต้านทานภาพล่วงหน้าที่หนึ่งและสอง 512 บิตและความต้านทานการชนกัน 256 บิต
ในกรณีของคุณ ความต้านทานต่อภาพล่วงหน้ามีความสำคัญและความสำเร็จในการค้นหาภาพล่วงหน้านั้นเป็นเหตุการณ์ที่ไม่สำคัญ โดยเฉลี่ยแล้วผู้โจมตีจำเป็นต้องพยายาม $2^{512}$ อินพุตที่แตกต่างกันเพื่อค้นหาภาพล่วงหน้า
กรณีที่มีปัญหาเพียงอย่างเดียวคือขนาดของความลับ หากข้อมูลลับมีขนาดเล็กกว่า 512 บิต การรักษาความปลอดภัยภาพล่วงหน้าจะไม่ใช่ 512 บิต นั่นคือ $= \min\{512,bitLen(ความลับ)\}$ เนื่องจากผู้โจมตีต้องการค้นหาพื้นที่นี้เท่านั้น ดังนั้นควรเก็บความลับไว้อย่างน้อยต้องมากกว่า 256¡ บิตเพื่อให้ได้ความปลอดภัยอย่างน้อย 256 บิต
$h = \operatorname{SHA3}(K + \operatorname{SHA3}(S))$
ผู้แนบได้รับ $K$ และ $h$. ดังที่กล่าวไว้ข้างต้น เวลานี้ด้วยความต้านทานภาพล่วงหน้าเต็มรูปแบบ (512 บิต) จะป้องกันไม่ให้ผู้โจมตีได้รับ $SHA3(S)$ ยังเข้าถึงคนเดียว $S$. อย่างไรก็ตาม พวกเขายังสามารถค้นหา $S$ ถึงกระนั้นเราก็มี $ \min\{512,bitLen(ลับ)\}$ ความปลอดภัย. ขนาดลับที่ดีสำหรับ $S$ จำเป็นอีกครั้ง
แม้แต่ตัวเดียว $\operatorname{SHA3}$ โทรก็พอดับเบิ้ล $\operatorname{SHA3}$ การโทรเกินความจำเป็นด้วยขนาดคีย์ (ลับ) ที่ดี
โครงสร้างของคุณคล้ายกับ HMAC ที่ใช้ double hash เนื่องจากฟังก์ชัน MD hash เสี่ยงต่อการถูกโจมตีด้วยการขยายความยาว ในทางกลับกัน SHA3 มีความต้านทานต่อสิ่งนี้เช่นเดียวกับ BLAKE2
มีการสร้าง MAC จาก SHA3 ที่เรียกว่า KMAC ซึ่งพูดง่ายๆ ต้องขอบคุณการต้านทานต่อการโจมตีแบบขยายความยาว
$$\operatorname{KMAC}(key,m) = \operatorname{SHA3}( คีย์\mathbin\|m)$$
ในสัญกรณ์ของคุณ
$$\operatorname{KMAC}(S,K) = \operatorname{SHA3}( S\mathbin\|K)$$
นี่เป็นการรักษาความปลอดภัย MAC ที่ปลอดภัยและไม่เปิดเผยรหัสแก่ผู้โจมตีไม่ว่าด้วยวิธีใด คุณสามารถใช้ KMAC เพื่อบรรลุสิ่งที่คุณต้องการด้วยขนาดคีย์ที่ดี!
¡บางคนอาจแย้งว่าการรักษาความปลอดภัย 128 บิตก็เพียงพอแล้ว อย่างไรก็ตาม การพัฒนาในอนาคต เช่น คอมพิวเตอร์ควอนตัมเข้ารหัสเป็นภัยคุกคามต่อภาพก่อนหน้าของฟังก์ชันแฮช 128 บิต และเพื่อเป็นการตอบโต้การโจมตีแบบหลายเป้าหมาย เราควรใช้การรักษาความปลอดภัยอย่างน้อย 256 บิตเช่นกัน
ฉันพยายามที่จะเข้าใจว่า S ปลอดภัยแค่ไหนจากผู้โจมตี
ในการโจมตีอินสแตนซ์เดียว (ด้วยค่าเฉพาะของ K) การโจมตีเดียวที่ผู้โจมตีทำได้คือการเดาจำนวนมากที่ $S$; คำนวณ $SHA3(K+SHA3(S))$ สำหรับแต่ละรายการ และตรวจสอบเพื่อดูว่าค่าเป้าหมายเกิดขึ้นหรือไม่ สามารถมองเห็นได้ง่ายโดยสังเกตว่าแท็กนี้เป็นฟังก์ชันของ $SHA3(S)$ - เราเชื่อว่า SHA3 สามารถต้านทานพรีอิมเมจได้
ตอนนี้ หากผู้โจมตีมีแท็กจำนวนมาก (ทั้งหมดมี K เดียวกัน) เขาสามารถโจมตีพร้อมกันได้ ไม่ว่าจะโดยการเปรียบเทียบค่าที่คำนวณกับแท็กเป้าหมายทั้งหมด หรือ (หากผู้โจมตีไม่มีแท็กทั้งหมด ในครั้งเดียว) สร้างตารางสายรุ้ง อย่างไรก็ตาม ไม่มีวิธีใดที่ช่วยลดเวลาที่ใช้ในการโจมตีแท็กใดแท็กหนึ่ง
ดังนั้น เพื่อตอบคำถามของคุณ: ความปลอดภัย S จะขึ้นอยู่กับว่ามันคาดเดาไม่ได้เพียงใด หากเป็นวลีเดียว เช่น 'วลีลับของฉัน' นั่นอาจเป็นหนึ่งในค่าที่ผู้โจมตีพยายามใช้ตั้งแต่เนิ่นๆ และเพื่อที่เขาจะได้ค้นพบอย่างรวดเร็ว ในทางกลับกัน หากเป็นวลีลับให้พูดว่า CNjlOQn,FXyEPAxNSYz/0VAP0Gxd,osl4zQlXQNqE7K5gPjiwld3n1f$rcmh ดูเหมือนจะเป็นการเดิมพันที่ค่อนข้างปลอดภัยที่ผู้โจมตีจะไม่ลองใช้ค่านั้น
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
