두 번째 사전 이미지 공격과 충돌 공격의 차이점은 무엇입니까?

Wikipedia는 두 번째 사전 이미지 공격 을 다음과 같이 정의합니다 .

고정 메시지 m1이 주어지면 hash (m2) = hash (m1)와 같은 다른 메시지 m2를 찾으십시오.

Wikipedia는 충돌 공격 을 다음과 같이 정의합니다 .

hash (m1) = hash (m2)가되도록 두 개의 임의의 다른 메시지 m1 및 m2를 찾으십시오.

내가 볼 수있는 유일한 차이점은 두 번째 사전 이미지 공격에서 m1이 이미 존재하며 공격자에게 알려져 있다는 것입니다. 그러나 그것이 중요한 것으로 나를 깨뜨리지는 않습니다. 최종 목표는 여전히 동일한 해시를 생성하는 두 개의 메시지를 찾는 것입니다.

두 번째 사전 이미지 공격과 충돌 공격이 수행되는 방식의 근본적인 차이점은 무엇입니까? 결과의 차이점은 무엇입니까?

(제쳐두고, 나는이 질문에 올바르게 태그를 지정할 수 없습니다. "암호화 보안 사전 이미지 충돌"이라는 태그를 적용하려고하는데 평판이 충분하지 않습니다. 누군가가 적절한 태그를 적용 할 수 있습니까?)

cr.crypto-security hash-function

— 토마스 오웬스
소스

당신의 인상은 정확합니다 – 그것이 차이점입니다. 당신이 틀린 부분은 이것이 실제로 큰 차이라는 것입니다. 충돌이있는 두 가지를 찾을 수 있고 특정 일반 텍스트에 대한 충돌을 찾을 수있는 것은 또 다른 것입니다. 예를 들어, 특정 메시지를 스푸핑하려는 경우 실존 위조를 커밋 할 수 없습니다. 가로채는 메시지와 동일한 것으로 해시되는 다른 메시지가 필요합니다.

— Adrian Petrescu

@Adrian Petrescu : 그 답을 좀 더 정교하게 설명해 주시겠습니까? 각 이미지 (사전 이미지 공격의 상황을 제공하지만 충돌 공격의 상황은 아님)와 같은 것이 가장 적합합니까?

— Thomas Owens

답변:

공격 시나리오를 통해 차이를 유발할 수 있습니다.

A의 첫 번째 프리 이미지 공격 , 우리는 주어진 적이 물어 찾기 위해, 또는 일부 등이 = . 웹 사이트 가 대신 를 데이터베이스에 저장한다고 가정합니다 . 웹 사이트는 암호를 수락하고 비교하여 사용자의 진위 여부를 확인할 수 있습니다 (의 확률 일부 대형 대 가양 경우). 이제이 데이터베이스가 유출되거나 그렇지 않다고 가정합니다. 첫 번째 프리 이미지 공격 $H(m)$ $m$ $m'$ $H(m')$ $H(m)$ $\{username, H(password)\}$ $\{username, password\}$ $H(input) =? H(password)$ $1/2^n$ $n$ 공격자가 메시지 요약에만 액세스 할 수 있고이 값으로 해시되는 메시지를 생성하려고하는 상황입니다.

A의 두 번째 프리 이미지 공격 , 우리는 상대의 더 많은 정보를 수 있습니다. 구체적으로, 우리는 그에게 를 줄뿐만 아니라 도줍니다 . 해시 함수를 고려하십시오 $H(m)$ $m$ 와 큰 소수되고, 공용 상수이다. 명백히첫 번째 사전 이미지 공격의 경우이것은 RSA 문제가되고 어렵습니다. 그러나두 번째 사전 이미지 공격의 경우충돌을 쉽게 찾을 수 있습니다. 한 세트의 경우 , $H(m) = m^d \mod{pq}$ $p$ $q$ $d$ $m' = mpq + m$ . 그래서 적은 계산이 거의 또는 전혀없는 충돌을 발견했습니다. $H(mpq + m) = (mpq + m)^d \mod{pq} = m^d \mod{pq}$

우리에 내성으로 일방향 해시 함수를 원하는 초 프리 이미지 공격 하는 경우로 인해 디지털 서명 방식, 와 공개 정보로 간주되며 (간접의 레벨을 통해)을 따라 전달되고 문서의 모든 사본. 여기서 공격자는 와 에 모두 액세스 할 수 있습니다 $H(document)$ $document$ $H(document)$ . 공격자가 원본 문서 (또는 완전히 새로운 메시지)를 변경 하여 와 같이 문서를 게시 한 것처럼 원래 서명자. $d'$ $H(d') = H(document)$

충돌 공격은 원수에게 더 많은 기회가 있습니다. 이 계획에서 우리는 적에게 (Bob이라고 부를 수 있습니까) 와 같은 두 개의 메시지 과 를 찾도록 요청합니다 . 비둘기 구멍 원리와 생일 역설로 인해 '완벽한'해시 함수조차도 사전 이미지 공격보다 충돌 공격에 2 차적으로 약합니다. 다시 말해, 예측 불가능하고 돌이킬 수없는 메시지 요약 함수가 주어진 경우 $m_1$ $m_2$ $H(m_1) = H(m_2)$ 무차별 대입 시간에 시간이 걸리면예상 시간 에서 충돌을 항상 찾을 수 있습니다. $f(\{0,1\}^*) = \{0,1\}^n$ $O(2^n)$ $O(sqrt(2^n)) = O(2^{n/2})$

Bob은 여러 가지 방법으로 충돌 공격을 사용하여 이점을 얻을 수 있습니다. 가장 간단한 방법 중 하나는 다음과 같습니다. Bob은 b가 유효한 Microsoft Windows 보안 패치이고 가 맬웨어가되도록 두 이진 와 ( ) 간의 충돌을 찾습니다 . (Bob은 Windows에서 작동합니다). Bob은 보안 패치를 명령 체인으로 보내고, 볼트 뒤에서 코드에 서명하고 바이너리를 전 세계 Windows 사용자에게 제공하여 결함을 수정합니다. Bob은 이제 전 세계의 모든 Windows 컴퓨터에 및 Microsoft가 대해 계산 한 서명으로 연락하여 감염시킬 수 있습니다. $b$ $b'$ $H(b) = H(b')$ $b'$ $b'$ $b$ . 이러한 종류의 공격 시나리오 외에도 해시 함수가 충돌 방지 기능으로 여겨지면 해시 함수도 사전 이미지 방지 기능이 될 가능성이 높습니다.

— 로스 스나이더
소스

아름답게 설명되어 있습니다. 내가 찾던 것보다 훨씬 더 많은 수학이 있었지만 노력에 대단히 감사합니다. 나는 각각을 통해 당신을 따랐습니다. 감사.

— Thomas Owens

와우 동료 RIT 학생.

— Thomas Owens

토마스는 어때? 내 친구 Alan Meekins와 물리학을 가졌다 고 생각합니다. RIT 사람들을 만나서 반가워요! 또한 답변을 받아 주셔서 감사합니다.

— 로스 스나이더

꽤 좋아요 가을에 캠퍼스를 돌아 다니고 보안에 관심이 있다면 직접 만날 수 있습니다. 나는 이번 여름에 적용되는 보안 작업 (인구 법, steganalysis, 공개 키 암호화, 디지털 서명 적용)을 해왔으며 이론적 측면에 대해 듣고 싶습니다. 주제에 관한 많은 논문을 습득하는 시간 또는 수학적 배경).

— Thomas Owens

rws1236@cs.rit.edu

— Ross Snider

충돌 공격이 훨씬 쉬울 수 있지만 성공하면 유용성이 떨어집니다.

— 주카 수오 멜라
소스

Ross가 이산 로그 문제로 언급 한 문제는 실제로 전혀 다른 문제인 RSA 문제로, 이산 로그보다 루트를 계산하는 것과 훨씬 관련이 있습니다.

이것은 확실히 사실입니다! 죄송합니다. 원래 불연속 로그 문제를 사용하고 나중에 체계의 세부 정보를 편집했습니다. 잘 잡았습니다. 이것이 새로운 답변을 구성하는지 확실하지 않습니다. 아마도 내 답변 아래에 의견을 남기는 것이 더 적절했을 것입니다.

— 로스 스나이더