Resistencia a la colisión

Propiedad de las funciones hash criptográficas

En criptografía , la resistencia a las colisiones es una propiedad de las funciones hash criptográficas : una función hash H es resistente a las colisiones si es difícil encontrar dos entradas que generen la misma salida; es decir, dos entradas a y b donde a ≠ b pero H ( a ) = H ( b ). ^{[1] : 136} El principio de casillero significa que cualquier función hash con más entradas que salidas necesariamente tendrá tales colisiones; ^{[1] : 136} cuanto más difíciles sean de encontrar, más segura criptográficamente será la función hash.

La " paradoja del cumpleaños " pone un límite superior a la resistencia a la colisión: si una función hash produce N bits de salida, un atacante que calcula sólo 2 ^{N /2} (o ) operaciones hash en entradas aleatorias probablemente encontrará dos salidas coincidentes. Si existe un método más sencillo para hacer esto que el ataque de fuerza bruta , generalmente se considera una falla en la función hash. ^[2] ${\displaystyle \scriptstyle {\sqrt {2^{N}}}}$

Las funciones hash criptográficas suelen estar diseñadas para ser resistentes a colisiones. Sin embargo, muchas funciones hash que alguna vez se pensaron que eran resistentes a colisiones se rompieron posteriormente. MD5 y SHA-1 en particular han publicado técnicas más eficientes que la fuerza bruta para encontrar colisiones. ^{[3] [4]} Sin embargo, algunas funciones hash tienen una prueba de que encontrar colisiones es al menos tan difícil como algún problema matemático complicado (como la factorización de enteros o el logaritmo discreto ). Esas funciones se denominan demostrablemente seguras . ^[2]

Definición

Una familia de funciones { h _k  : {0, 1} ^{m ( k )} → {0, 1} ^{l ( k )} } generada por algún algoritmo G es una familia de funciones hash resistentes a colisiones, si | m ( k )| > | l ( k )| para cualquier k , es decir, h _k comprime la cadena de entrada, y cada h _k se puede calcular dentro del tiempo polinomial dado k , pero para cualquier algoritmo polinomial probabilístico A , tenemos

Pr [ k ← G (1 ⁿ ), ( x ₁ , x ₂ ) ← A ( k , 1 ⁿ ) st x ₁ ≠ x ₂ pero h _k ( x ₁ ) = h _k ( x ₂ )] < negl( n ),

donde negl(·) denota alguna función insignificante y n es el parámetro de seguridad. ^[5]

Resistencia a colisiones débil y fuerte.

Hay dos tipos diferentes de resistencia a la colisión.

Una función hash tiene una resistencia a la colisión débil cuando, dada una función hash H y una x, no se puede encontrar ninguna otra x' tal que H(x)=H(x'). En palabras, cuando se da una x, no es posible encontrar otra x' tal que esa función hash cree una colisión.

Una función hash tiene una fuerte resistencia a la colisión cuando, dada una función hash H, no se pueden encontrar x y x' arbitrarios donde H(x)=H(x'). En palabras, no se pueden encontrar dos x donde la función hash crearía una colisión.

Razón fundamental

La resistencia a las colisiones es deseable por varias razones.

• En algunos sistemas de firma digital , una parte da fe de un documento publicando una firma de clave pública en un hash del documento. Si es posible producir dos documentos con el mismo hash, un atacante podría lograr que una de las partes dé fe de uno y luego afirmar que la parte dio fe del otro.
• En algunos sistemas de contenido distribuido, las partes comparan hashes criptográficos de archivos para asegurarse de que tengan la misma versión. Un atacante que pudiera producir dos archivos con el mismo hash podría engañar a los usuarios haciéndoles creer que tienen la misma versión de un archivo cuando en realidad no es así.

Ver también

• Ataque de cumpleaños
• Compatibilidad con los rompecabezas
• Ataque de colisión
• Ataque de preimagen
• Competencia de función hash del NIST
• Función hash criptográfica demostrablemente segura
• Detección y corrección de errores

Referencias

1. Goldwasser, S. y Bellare, M. "Notas de conferencias sobre criptografía" Archivado el 21 de abril de 2012 en Wayback Machine . Curso de verano sobre criptografía, MIT, 1996-2001
2. Pass, R. "Conferencia 21: Funciones hash resistentes a colisiones y esquema general de firma digital". Curso de Criptografía, Universidad de Cornell, 2009
3. Xiaoyun Wang; Hongbo Yu. "Cómo descifrar MD5 y otras funciones hash" (PDF) . Archivado desde el original (PDF) el 21 de mayo de 2009 . Consultado el 21 de diciembre de 2009 .
4. Xiaoyun Wang; Yiqun Lisa Yin ; Hongobo Yu. Encontrar colisiones en el SHA-1 completo (PDF) . CRIPTO 2005. doi :10.1007/11535218_2.
5. Dodis, Yevgeniy. «Lección 12 de Introducción a la Criptografía» (PDF) . Consultado el 3 de enero de 2016 ., definitivamente 1.