512 位哈希与 4 128 位哈希

Question

有趣的是，我还没有找到足够的信息，关于单个 512 位哈希（如 Whirlpool）与 4 128 位哈希（如 md5、sha1 等）串联的碰撞机会的任何测试或实验。4

128 位哈希出现相同的可能性似乎比单个 512 位哈希的可能性更小。执行散列的数据相当小，平均只有 100 个字符。

但这只是一个明显的猜测，没有任何依据，因为我没有进行任何测试。你对此有何看法？

编辑其喜欢 512 位哈希与 128 位哈希。 128位哈希。 128位哈希。 128位哈希（4个128位哈希连接）

Edit2 我想对此使用哈希 考虑 RAM 的 url 索引或哈希 目的是尽量减少冲突的可能性，因为我想将哈希列设置为唯一而不是 url 列。

编辑3 请注意，此问题的目的是找到最小化碰撞可能性的方法。话虽如此，为什么我需要更多地关注尽量减少碰撞的可能性呢？这是我的 Edit2 描述，它导致找到使用更少 RAM 的解决方案。因此，我们的兴趣在于最大限度地减少冲突和降低 RAM 使用量。但这个问题的主要焦点是降低碰撞的可能性。

Answer 1

听起来您想将以下内容的碰撞行为进行比较：

hash512(x)

与以下内容的碰撞行为：

hash128_a(x) . hash128_b(x) . hash128_c(x) . hash128_d(x)

其中“.”表示串联，hash128_a、hash128_b等是四种不同的128位哈希算法。

答案是：这完全取决于所涉及的各个哈希的属性。

例如，考虑 128 位哈希函数可以实现为：

uint128_t hash128_a(T x)   { return hash512(x)[  0:127]; }
uint128_t hash128_b(T x)   { return hash512(x)[128:255]; }
uint128_t hash128_c(T x)   { return hash512(x)[256:383]; }
uint128_t hash128_d(T x)   { return hash512(x)[384:511]; }

在这种情况下，性能将是相同的。

Answer 2

关于这个问题的经典文章来自 Hoch 和 Shamir 。它建立在之前的发现之上，尤其是 Joux 的发现。底线如下：如果您采用四个具有 128 位输出的哈希函数，并且这四个哈希函数使用 Merkle-Damgård 构造，那么为整个 512 位输出找到碰撞不再困难而不是寻找哈希函数之一的冲突。 MD5、SHA-1...使用 MD 结构。

另一方面，如果某些哈希函数使用不同的结构，特别是在更广泛的运行状态下，则串联可能会产生更强大的函数。请参阅@Oli 的示例：如果所有四个函数都是 SHA-512，并对输出进行一些手术，那么串联的哈希函数可能是普通的 SHA-512。

关于四个哈希函数的串联唯一确定的是，结果的抗碰撞性不会低于四个哈希函数中最强的一个。这已在 SSL/TLS 中使用，直到版本 1.1，内部使用同时使用 MD5 和 SHA-1，以防止其中任何一个出现中断。

Answer 3

512位就是512位。唯一的区别在于哈希值的缺陷不同。最好的整体哈希值是使用可用的最佳算法的 512。

编辑以添加说明，因为对于评论来说太长了：

理想的哈希将内容统一映射到 x 位。如果您有 4 个（完全独立的）x 位哈希值，则将文件统一映射到 4x 位； 4x 位散列仍然将同一文件统一映射到 4x 位。 4x 位就是 4x 位；只要它是完全一致的，无论它是来自 1 (4x) 个哈希函数还是 4 (x) 个哈希函数，都没有关系。然而，没有哈希可以是完全理想的，因此您需要最均匀的可获得分布，并且如果您使用 4 个不同的函数，则只有 1 个可以最接近最优，因此您有 x 个最优位和 3x 个次优位，而单个算法可以覆盖整个4x空间的最优分布。

我认为足够大的算法可能具有比单个 512 分布更均匀的位子集，并且可以组合起来以获得更多均匀性，但这似乎是一个很大的交易额外的研究和实施几乎没有潜在的好处。

Answer 4

如果您将连接四种不同的“理想”128 位哈希算法与一种理想的 512 位哈希算法进行比较，那么是的，这两种方法都会获得相同的冲突概率。不过，使用 md5 可以更轻松地破解哈希值。例如，如果攻击者知道您正在执行 md5 + md5 w/ salt + md5 与另一种盐.. 那么作为 md5 碰撞攻击，这将更容易破解。 查看此处了解有关已知攻击的哈希函数的更多信息。