สมมติว่ามีฟังก์ชันแฮชที่ป้องกันการชนกันสองฟังก์ชัน $h_1$ และ $h_2$ ด้วยขนาดเอาต์พุตของ $n_1$ และ $n_2$ ตามลำดับ
เป็น $H'(x) = h_1(h_2(x))$ ทนต่อการชนกันสำหรับความสัมพันธ์ที่แตกต่างกันระหว่าง $n_1$ และ $n_2$?
สิ่งนี้ทำให้ฉันและเพื่อนร่วมงานสับสนในช่วงสองสามวันที่ผ่านมา เนื่องจากสองแนวทางที่แตกต่างกันขัดแย้งกัน:
ตามคำจำกัดความของความต้านทานการชน $H'$ มีเอาต์พุตของ $n_1$ ความยาวและดังนั้นหากเราพบการโจมตีที่มีความซับซ้อนน้อยกว่า $\mathcal O(2^{n_1/2})$ มันไม่ทนต่อการชน
พวกเราต้องการ $$\mathcal O(2^{n_2/2}) < \mathcal O(2^{n_1/2}) \implies \ldots \implies n_2 < n_1$$
ดังนั้นหาก $n_2 < n_1, H'$ ไม่ทนต่อการชน และในกรณีอื่นๆ
สมมติว่า $H'$ ไม่ทนต่อการชน
แล้วมีอยู่แตกต่างกัน $x_1$ และ $x_2$ ดังนั้น $H'(x_1) = H'(x_2)$ เช่น. $h_1(h_2(x_1)) = h_1(h_2(x_2))$
ที่สามารถเกิดขึ้นได้หาก $h_2(x_1) = h_2(x_2)$, แต่ $h_2$ มีความทนทานต่อการชน
นอกจากนี้ยังสามารถเกิดขึ้นได้หาก $h_1(A) = h_1(B)$ ที่ไหน $A = h_2(x_1)$ และ $B = h_2(x_2)$ แต่ $h_1$ มีความทนทานต่อการชน
เราได้พิสูจน์แล้วว่า $H'$ มีความทนทานต่อการชนและความสัมพันธ์ของ $n_1$ และ $n_2$ ไม่เป็นไร
สิ่งนี้ทำให้ฉันและเพื่อนร่วมงานสับสนในช่วงสองสามวันที่ผ่านมา เนื่องจากสองแนวทางที่แตกต่างกันขัดแย้งกัน
เหตุผลก็คือว่าทั้งสองแนวทางนี้มีคำจำกัดความที่แตกต่างกันของคำว่า 'ทนต่อการชน' คำจำกัดความทั้งสองนี้ไม่เท่ากัน นั่นคือเราสามารถค้นหาฟังก์ชันที่ตรงกับนิยามหนึ่งและไม่ใช่อีกความหมายหนึ่ง
ความพยายามครั้งแรกใช้คำจำกัดความ 'ไม่มีการชนกันของการค้นหาสิ่งที่แนบมาซึ่งใช้เวลาน้อยกว่านั้น $\mathcal{O}(2^{n/2})$ การดำเนินงาน; เพราะ $n$ ได้รับการแก้ไขแล้ว เราใช้สิ่งนี้เป็นชวเลขสำหรับ 'การจู่โจม $c2^{n/2}$ การดำเนินการสำหรับบางคน $ค$ ไม่ไกลจาก 1 มากนัก และคำจำกัดความของการดำเนินการที่สมเหตุสมผล (ในกรณีนี้ การประเมินฟังก์ชันแฮช)
ปัญหาของคำจำกัดความนี้คือมันนำไปสู่ข้อสรุปที่ไร้สาระ เช่น SHA-256 ที่ถูกตัดเหลือ 8 บิตคือ 'ทนต่อการชนกัน' ตามคำจำกัดความนี้ ในอีกทางหนึ่ง เอาต์พุต 1kbyte จาก SHAKE-256 ไม่ใช่ 'การต้านทานการชน' เนื่องจากคุณจะพบการชนกันที่น้อยกว่า $2^{8192/2}$ การประเมินแฮช
ในทางตรงกันข้าม แนวทางที่ 2 ใช้คำจำกัดความ 'ฟังก์ชันแฮชสามารถต้านทานการชนกันได้หากเราไม่พบการชนกัน' การแสดงสิ่งนี้อย่างเป็นทางการนั้นค่อนข้างยุ่งยาก (เพราะตราบใดที่อินพุตได้รับอนุญาตให้ยาวกว่าเอาต์พุต จะต้องมีการชนกัน เราแค่ไม่รู้ว่ามันคืออะไร) และเนื่องจากสิ่งนี้สัมพันธ์กับทรัพยากรการคำนวณ เรามี (ตอนนี้ SHA-256 ที่ตัดเหลือ 200 บิตสามารถทนต่อการชนกันได้ อาจไม่ใช่อีก 20 ปีนับจากนี้เมื่อเราได้รับพลังการคำนวณมากขึ้น) ในทางกลับกัน มันใกล้เคียงกับแนวคิดของ 'การต้านทานการชน' ที่เรามีโดยสัญชาตญาณมากกว่า
ด้วยคำจำกัดความนี้ แนวทางที่ 2 อาจถูกเปลี่ยนใหม่เป็น 'หากเราคิดไปเอง' $H'$ ไม่ชนกันก็รู้แล้ว $x \n y$ กับ $H'(x) = H'(y)$. แล้วอย่างใดอย่างหนึ่ง $h_2(x) = h_2(y)$ (และด้วยเหตุนี้ $h_2$ ไม่ทนต่อการชนอย่างที่เราทราบกันดีว่าเกิดการชนกัน) หรือ $h_2(x) \ne h_2(y)$ซึ่งในกรณีนี้เรามี $h_1(u) = h_1(v)$ สำหรับ $u = h_2(x), v = h_2(y), คุณ \ne v$ (และด้วยเหตุนี้ $h_1$ ไม่ทนต่อการชน ดังที่เราทราบกันดีว่าเกิดการชนกัน)
ฉันได้โอกาสถามอาจารย์ของฉัน และเขาคาดหวังคำตอบแรก ตามที่ครั้งที่สองสันนิษฐาน $ n_1 = n_2 $ (ฉันยังไม่รู้ว่าทำไปทำไมหรือที่ไหน)
นอกจากนี้เขายังอธิบายว่า:
สิ่งนี้ช่วยให้ฉันเข้าใจแนวคิดด้วยวิธีที่เข้าใจได้ง่ายและมีเหตุผล
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
