减少哈希冲突的最佳方法：多个哈希还是更大的哈希？

评论

---

$ \ begingroup $
虽然这当然很有趣，但它确实遗漏了一点：如果被逃跑的大猩猩殴打的概率是$ 2 ^ {-60} $，那么被两个逃跑的大猩猩砸伤的概率不是$ 0.5 \乘以2 ^ {-60} $，但$（2 ^ {-60}）^ 2 = 2 ^ {-120} $。因此，在发现碰撞之前，您真的不能指望被25万只连续的大猩猩所伤。但是，您仍然比被撞伤的可能性更大。
$ \ endgroup $
–雨披
2011年11月11日在21:49

---

$ \ begingroup $
@poncho：每天$ 2 ^ {-60} $。因此，$ 2 ^ {-120} $是同一天遇到两只大猩猩的概率。您可以按时间范围进行查看：平均而言，每2 ^ {60} $天，您就会遇到一只大猩猩。您每$ 2 ^ {76} $天就会遇到一次SHA-256碰撞（我的估计有误，因此有65000头大猩猩，而不是250000）（假设您每天重新生成$ 2 ^ {90} $ 1MB块）。因此，每次碰撞您实际上都会获得$ 2 ^ {16} $的大猩猩-但不是一次就发生，这是一次大规模的大猩猩军队进攻！ （这很怪异）
$ \ endgroup $
–托马斯·波宁（Thomas Pornin）
2011年11月11日22:00

---

$ \ begingroup $
啊，我错过了这一点。另一方面，我正在研究您真的会受到从动物园逃脱的大猩猩的攻击的可能性：快速Google展示了过去十年间至少三人实际上受到了大猩猩从动物园逃跑的攻击（没有严重）。这将此类事件的概率限制为约3美元/（7000000000 x 365 x 10）\大约2 ^ {-43} $。因此，与在同一天遭到两个独立大猩猩袭击的可能性相比，发现碰撞的可能性不大（！）
$ \ endgroup $
–雨披
2011年11月12日14:39

---

$ \ begingroup $
@Ricky：如果我们知道如何手工制作数据块以触发SHA-256冲突，并且比随机块获得更好的成功，那么这将被宣传为SHA-256的突破。目前尚不知道SHA-256有这种中断。当前攻击MD5和SHA-1的方法似乎不太适用于SHA-256（已尝试过）。
$ \ endgroup $
–托马斯·波宁（Thomas Pornin）
2011-11-13 14:48

---

$ \ begingroup $
请记住，大猩猩逃逸不一定是独立事件。 :-)
$ \ endgroup $
–善待您的Mod
2012年12月22日在20:03

---

评论

---

$ \ begingroup $
如另一条评论中所述，增加碰撞可能性的任何成功都将破坏哈希。因此，您正在猜测研究人员可以破解哈希的可能性，而不是冲突的可能性。 crypto.stackexchange.com/questions/1170/…
$ \ endgroup $
–布伦特
20 Dec 25 '21：26

---

评论

---

$ \ begingroup $
感谢您的答复。我想我的问题是：SHA-384是否比SHA-256和MD-5组合更好？是的，我确实预期会有大量的数据块。假设有$ 2 ^ {64} $个区块，这是否意味着发生碰撞的可能性为25％？
$ \ endgroup $
– Theodor Kleynhans
2011年11月11日15:10

---

$ \ begingroup $
不，对于$ 2 ^ {64} $个块，大约有$（2 ^ {64}）^ 2/2 ^ {256} = 2 ^ {-128} \约3 * 10 ^ {-仅使用SHA-256作为散列，发生冲突的概率为39}％。我认为，这种可能性非常低，因此不值得再做任何事情。
$ \ endgroup $
–雨披
2011年11月11日15:19

---

$ \ begingroup $
@TheodorKleynhans，看起来像大猩猩答案中指出的SHA-384比SHA-256 + MD5更好。 :)而且，$ 2 ^ {64} $大约是一个Exbibyte。您甚至预期会有这么多存储空间吗？
$ \ endgroup $
–mikeazo
2011年11月11日17:16

---

$ \ begingroup $
@Theodor：对于随机碰撞，简单地看一下组合输出大小$ n $（以位为单位）就足够了：您需要大约$ 2 ^ {n / 2} $块才有机会。由于$ 256 + 128 = 384 $，概率完全相同。如果您担心攻击者会进行恶意冲突，请避免MD5的冲突抗性被破坏，并避免串联不同的哈希函数，例如Thomas的回答。
$ \ endgroup $
–PaŭloEbermann
2011年11月12日在2:36

---

$ \ begingroup $
SHA-384比SHA-256和MD-5组合要好得多。首先，它甚至比单独使用SHA-256还要快（在现代硬件上，假设大多数散列都在32字节以上的对象上）。其次，由于MD5的弱点，每个SHA-512位要比每个MD5位要强，因此它的安全性可能比SHA-256和MD5更好。您提议将SHA位换成MD5位，这显然是个失败的主张。 （这无关紧要。这就像太阳会在100亿年还是150亿年内燃烧掉。）
$ \ endgroup $
– David Schwartz
2011年11月13日4:24

---

评论

---

$ \ begingroup $
如果发生恶意冲突，则通过创建哈希冲突来构建一个非常慢的哈希图，可能导致拒绝服务攻击。
$ \ endgroup $
–PaŭloEbermann
2012-12-26 at 0:44

---

$ \ begingroup $
@PaŭloEbermann：的确如此，但是建议的另一种说法将使备份的数据混乱，这更糟！
$ \ endgroup $
– jimis
2012-12-26 19:05：

---

$ \ begingroup $
我认为对DoS的关注在很大程度上不重要；它要求某人找到许多SHA-256冲突（目前尚不知道），即使如此，DoSing仍受用户可以上传块的速度的严格限制。即使在将来的某个时刻，许多SHA-256冲突都为人所知，您也有足够的时间对其做出反应-这些冲突不会一次全部变为可用，即使如此，上传速度也会受到限制将给您时间做出反应。只需每隔一段时间对数据库中的冲突计数进行一次检查，您可能会好起来的。
$ \ endgroup $
–乔纳森·林斯塔德（Jonathan Ringstad）
2014年7月26日14:56

---

$ \ begingroup $
@Amadiro SHA-256容易受到长度扩展攻击。一旦发现1个碰撞，就可以将其用作前缀来产生无限的碰撞。 DoS风险是真实的！
$ \ endgroup $
– Navin
17年3月13日在11:10

---

$ \ begingroup $
@Navin意味着比较长度（相等）后，从最后一个字节开始逐个字节进行比较会更有效率
$ \ endgroup $
– nitzel
20年1月2日，15：12

---