是什么使SHA-256安全？

#1 楼

值得指出的是，在SHA2和大多数其他散列的情况下，压缩功能以分组密码（键置换）为核心。

基本上，您要问的内容与询问如何可以分组密码相同能够抵抗已知明文攻击和选择明文攻击（可能不适用于SHA2，因为攻击者无法控制该方面），甚至在SHA2情况下也可以进行相关密钥攻击（因为它使用了Davies-Meyer攻击者可以控制进入关键时间表的内容）。

没有证据表明该方法可简化为证明是安全的方法。由于扩散和混淆特性，据信它是安全的，就目前所知，这种特性不允许有效的回溯。您可以将其视为离散的非连续域中对初始条件的极端敏感性。

编辑：之所以要阻止密码，是因为哈希安全性可证明可简化为核心键置换（如果您查看SHA3，甚至是无键）-这就是散列设计的开始方式。我相信这是您查询的精神。但是责任到此为止，没有针对这些的安全证明。

#2 楼

SHA-256的设计和安全性依赖于两种密码结构。一种单向压缩函数，该函数基于使用SHACAL-2块密码的Davies-Meyer结构以及最顶部的使用Davies-Meyer结构的Merkle-Damgård结构。压缩功能：将$ 2n $位的输入转换为$ n $位。转换以达到雪崩效应的方式执行，即每当输入补充一位时，每个输出位就会以50％的概率发生变化。 />
一种压缩函数应该具有这些属性；



易于计算：对于给定的输入，输出的计算很容易。 >
抗预映像：给定哈希值$ h $，找到一条消息$ m $，使$ h = Hash（m）$。考虑在服务器上存储密码哈希。例如。攻击者将尝试为您的帐户找到有效的密码。

第二个防止镜像前的攻击：给定一条消息$ m_1 $在计算上不可能找到另一条消息$ m_2 $这样的$ m_1 \ neq m_2 $和$ Hash（m_1）= Hash（m_2）$。对给定的消息进行伪造。

抗冲突性：如果很难找到两个输入散列到相同输出$ a $和$ b $的输入，使得$ H（a）= H（b）$，$ a \ neq b。$




耐碰撞性意味着第二次成像前耐性。如果攻击者能够找到第二个原像，则他选择任意$ m_1 $，然后计算第二个原像$ m_2 $以获得冲突。但是抗碰撞性并不意味着原像抗性。详见Rogaway等。纸。

（SHA256压缩功能，来自维基百科）

中级；


Davies-Meyer结构是基于分组密码的单向压缩功能。这种构造的安全性在理想密码模型中。但是，这种结构是有财产的。即使底层的分组密码是安全的，也可以找到固定点。
SHA-256的分组密码称为SHA-CAL-2。在陆等。 Lu等人针对42轮SHACAL-2攻击提出了一个相关的关键矩形攻击。等后来，卢等人。等人针对SHACAL-2的44轮攻击提出了另一种使用“相关密钥矩形密码分析”的攻击。

顶层；




Merkle–Damgård结构（MD）使用压缩功能。如果压缩功能是抗碰撞单向压缩功能，则MD是抗碰撞的。MD结构具有长度扩展攻击，SHA-256也很容易受到这种攻击。建议切换SHA-3。

注意：在64轮SHA-256攻击中有52次有图像前抵抗攻击。