Score:2

เส้นใยจำกัดของ SHA512

ธง br

อนุญาต $\{0,1\}^*$ เป็นเซตของขอบเขต $\{0,1\}$-สตริง จากนั้น SHA512 สามารถดูเป็นแผนที่ได้ $s: \{0,1\}^*\ถึง \{0,1\}^{512}$.

เดอะ หลักการของนกพิราบ หมายความว่ามี $y\in \{0,1\}^{512}$ ดังนั้น $s^{-1}(\{y\})$ เป็นอนันต์

อยู่ที่นั่น $y\in\{0,1\}^{512}$ กับ $\emptyset \neq s^{-1}(\{y\})$ และ $s^{-1}(\{y\})$ เป็นที่สิ้นสุด?

kelalaka avatar
in flag
ไม่มีใครรู้ข้อมูลดังกล่าว... แม้เราจะไม่รู้ว่าข้อมูลนั้นมีค่า $\{0,1\}^{512}$ ทั้งหมด...
fgrieu avatar
ng flag
สิ่งนี้พยายามศึกษา SHA-512 เวอร์ชันแก้ไข: [ต้นฉบับ](https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.180-4.pdf#page=8) มีการจำกัดชุดอินพุต ไปยังเซตย่อยขนาดใหญ่แต่จำกัดของ $\{0,1\}^*$ $$\mathcal D=\bigcup_{k=0}^{2^{128}-1}\{0,1\}^k$$
Score:3
ธง ng

อยู่ที่นั่น $y\in\{0,1\}^{512}$ กับ $\emptyset \neq s^{-1}(\{y\})$ และ $s^{-1}(\{y\})$ เป็นที่สิ้นสุด?

สำหรับ SHA-512 ตามที่กำหนดไว้จริง ใช่เล็กน้อย เนื่องจาก ขนาดอินพุตถูกจำกัด ถึง $2^{128}-1$ นิดหน่อย. นั่นทำให้ $s^{-1}(\{y\})$ จริงสำหรับข้อใด $y\in\{0,1\}^{512}$. และ $y$ แฮชของบิตสตริงว่างตรงตามเงื่อนไข $\emptyset \neq s^{-1}(\{y\})$. ต่อไปนี้เราถือว่า $2^{128}-1$ ขีดจำกัดบิตจะถูกลบออก

การเดิมพันของฉันคือข้อเสนอนี้เป็นเท็จโดยอาร์กิวเมนต์ต่อไปนี้ (ไม่ใช่ข้อพิสูจน์)

  1. ดูเหมือนว่ามีความเป็นไปได้ที่ SHA-512 จะเข้าถึงทุกแฮช 512 บิตสำหรับข้อความ 895 บิตสูงสุดบางส่วน อาร์กิวเมนต์: ภายใต้รูปแบบการเข้ารหัสแบบบล็อกในอุดมคติสำหรับการเข้ารหัสแบบบล็อกที่เป็นหัวใจของ SHA-512 แต่ละแฮชของข้อความดังกล่าวเป็นแบบสุ่มและเป็นอิสระใน $\{0,1\}^{512}$. โดย นักสะสมคูปองผูกพันเราคาดว่าจะได้รับค่าทั้งหมดหลังจากคร่าวๆ $2^{520.5}$ วาดและ ประมาณการหาง โดยพื้นฐานแล้วออกกฎ (ความน่าจะเป็น $<2^{-(2^{384})}$) เราจะไม่ได้รับพวกเขาทั้งหมดในภายหลัง $2^{896}-1$ ความพยายาม สิ่งนั้นอาจล้มเหลวตามความเป็นจริงหากโมเดลของเราแย่มาก

  2. เป็นไปได้ยิ่งกว่าที่ SHA-512 เข้าถึงแฮชทุกๆ 512 บิตสำหรับข้อความสูงสุด 1919 บิต (ข้อความจัดแนวบล็อกที่ใหญ่ที่สุดต้องใช้รอบสองรอบ) เนื่องจากรอบสองจำนวนอินพุตที่เป็นไปได้ในรอบแรกถึง $2^{1024}$ทำให้ (โดยอาร์กิวเมนต์ 1) มีแนวโน้มใกล้เคียงกับ $2^{512}$ ค่าสามารถเข้าถึงอินพุตสถานะ 512 บิตของรอบที่สอง และเราได้รับ $2^{896}-1$ บล็อคข้อความเหมือนรอบแรก ดังนั้นเราจึงก้าวผ่านตัวสะสมคูปองได้มากขึ้น และที่สำคัญกว่านั้น เนื่องจากเรามีบิตอินพุตมากกว่า 512 บิตที่แตกต่างกันไป ดูเหมือนว่าโมเดลของเราไม่น่าจะแย่ขนาดนั้น

  3. การให้เหตุผลสำหรับรอบที่สองนี้สามารถทำซ้ำได้สำหรับจำนวนรอบที่มากขึ้น ซึ่งนำไปสู่ข้อสรุปว่าแต่ละค่าใน $\{0,1\}^{512}$ น่าจะถึงรอบมากที่สุด

  4. มันจะน่าประหลาดใจยิ่งกว่าเมื่อเราปล่อยให้โมดูโลความยาวข้อความ $2^{128}$ นำค่าที่เป็นไปได้ทั้งหมด ค่าใดก็ได้ $2^{512}$ ถึงค่าสำหรับไม่มีข้อความ $2^{128}$ ถึง $2^{129-1}$ บิต: เรามีอินพุตเพิ่มเติมเกือบ 128 บิตที่สามารถเปลี่ยนแปลงได้

  5. และเนื่องจากความยาวของข้อความสามารถขยายได้อย่างไม่มีกำหนด เราจึงมีแนวโน้มเช่นนั้น อะไรก็ได้ $y$ มีอนันต์ $s^{-1}(\{y\})$.

  6. เดอะ $\emptyset \neq s^{-1}(\{y\})$ ส่วนหนึ่งของข้อเสนอทำให้มีโอกาสน้อยลงมาก สมมติว่า 512 บิต ค่าเริ่มต้นของ SHA-512 มาถึงอีกครั้ง (ภายใน) หลังจากนั้น $2^{119}$ รอบอย่างน้อยหนึ่งรอบ (พูด $w$) ของ $2^{(2^{129})}$ ข้อความต่าง ๆ เริ่มต้นจาก $2^{129}$ บิตซึ่งน่าจะเป็นไปตามเวอร์ชันที่แก้ไขเล็กน้อยของ 3 ข้างต้น (เรามีอิสระอย่างเต็มที่สำหรับไฟล์ $2^{119}$ บล็อกอินพุต 1024 บิตของ $w$). ตอนนี้ถ้าบางอย่าง $y\in\{0,1\}^{512}$ เป็น $\operatorname{SHA-512}(x)$แล้วก็ยัง $\operatorname{SHA-512}(w\mathbin\|x)$ และโดยทั่วไป $\operatorname{SHA-512}(w\mathbin\|\ldots\mathbin\|w\mathbin\|x)$ ดังนั้นจึงหักล้างข้อเสนออย่างสร้างสรรค์

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา