Atak na funkcje mieszające, które nie spełniają właściwości jednokierunkowej

Zastanawiam się nad kursem bezpieczeństwa komputerowego i utknąłem w jednym z poprzednich pytań. Tutaj jest to:

Alice ( ) chce wysłać krótką wiadomość do Boba ( ) za pomocą wspólnego tajnego aby potwierdzić, że wiadomość od niej pochodzi. Proponuje wysłanie pojedynczej wiadomości z dwoma częściami: gdzie jest funkcją skrótu, a oznacza konkatenację. $A$ $M$ $B$ $S_{ab}$
$A \to B : M, h (M ∥ S_{a b})$ $A \to B: \quad M, h(M \mathbin\parallel S_{ab})$ $h$ $\parallel$

Wyjaśnij dokładnie, co robi Bob, aby sprawdzić, czy wiadomość pochodzi od Alicji, i dlaczego (oprócz właściwości ) może w to uwierzyć. $h$

Załóżmy, że nie spełnia właściwości jednokierunkowej i możliwe jest wygenerowanie obrazów wstępnych. Wyjaśnij, co atakujący może zrobić i jak. $h$

Jeśli generowanie obrazów wstępnych jest stosunkowo czasochłonne, zasugeruj proste środki zaradcze w celu ulepszenia protokołu bez zmiany . $h$

Myślę, że znam pierwszy. Bob musi wziąć skrót otrzymanej wiadomości wraz ze swoim kluczem współdzielonym i porównać ten skrót z skrótem otrzymanym od Alice, jeśli pasują, to powinno to udowodnić, że Alice je wysłała.

Nie jestem jednak pewien dwóch drugich pytań. Po drugie, czy odpowiedź byłaby taka, że osoba atakująca może po prostu uzyskać oryginalną wiadomość z haszowaniem? Nie jestem jednak pewien, jak by to było zrobione.

cryptography hash one-way-functions

— sam
źródło

Podaj informację o obrazie. Rozważ także skopiowanie tekstu, aby można go było właściwie wyszukać.

— Raphael

Po drugie, czy odpowiedź byłaby taka, że osoba atakująca może po prostu uzyskać oryginalną wiadomość z haszowaniem?

Cóż, wiadomość jest już przekazana przeciwnikowi (jest wysyłana do Boba przez niepewny kanał), więc nie musi go znaleźć. Aby złamać schemat, musi wysłać nową parę tak, że Bob zaakceptuje jako wiadomość wysłaną przez Alice. $M$ $M^*, h(M^*\|S_{ab})$ $M^* \ne M$

W przypadku drugiego pytania: jeśli łatwo jest wygenerować wstępne obrazy , przeciwnik może być w stanie nauczyć się tajnego klucza od co złamie schemat. ^{(Uwaga: może to nie być trywialne. Proces odwracania może}^{tak, że}^{, ale nie jest to przydatne dla przeciwnika. Ponadto, jeśli przeciwnik próbuje ponownie odwrócić}^{, może uzyskać ten sam obraz wstępny.)} $h$ $S_{ab}$ $h(M\| S_{ab})$
^{$M_1, S_1$ $h(M\|S_{ab})=h(M_1\|S_1)$ $h$}

Trzecie pytanie: zakładamy, że odwrócenie zajmuje dużo czasu, dlatego utrudnijmy życie przeciwnikowi, wymagając od niego wielokrotnego odwracania w celu złamania schematu. Na przykład użyj skrótu razy . Istnieją również inne rozwiązania. $h$ $k$ $h(h(h(....h(M\|S_{ab})..))$

— Ran G.
źródło