Menyerang fungsi hash yang tidak memuaskan properti satu arah

Saya merevisi untuk kursus keamanan komputer dan saya terjebak pada salah satu pertanyaan terakhir. Ini dia:

Alice ( $A$ ) ingin mengirim pesan pendek $M$ ke Bob ( ) menggunakan rahasia bersama untuk mengautentikasi bahwa pesan tersebut berasal darinya. Dia mengusulkan untuk mengirim pesan tunggal dengan dua bagian: mana adalah fungsi hash dan menunjukkan penggabungan. $B$ $S_{ab}$
$A \to B : M, h (M ∥ S_{a b})$ $A \to B: \quad M, h(M \mathbin\parallel S_{ab})$ $h$ $\parallel$

Jelaskan dengan hati-hati apa yang dilakukan Bob untuk memeriksa apakah pesan itu berasal dari Alice, dan mengapa (terlepas dari properti ) ia mungkin percaya ini. $h$

Misalkan tidak memenuhi properti satu arah dan dimungkinkan untuk menghasilkan pra-gambar. Jelaskan apa yang bisa dilakukan penyerang dan bagaimana caranya. $h$

Jika menghasilkan pra-gambar relatif memakan waktu, sarankan tindakan pencegahan sederhana untuk meningkatkan protokol tanpa mengubah . $h$

Saya rasa saya tahu yang pertama. Bob perlu mengambil hash dari pesan yang diterima bersama dengan kunci bersama dan membandingkan hash dengan hash yang diterima dari Alice, jika mereka cocok maka ini harus membuktikan Alice mengirimkannya.

Saya tidak yakin tentang dua pertanyaan kedua. Untuk yang kedua, akankah jawabannya adalah bahwa seorang penyerang dapat dengan mudah mendapatkan pesan asli yang diberi hash? Saya tidak yakin bagaimana itu akan dilakukan.

cryptography hash one-way-functions

— sam
sumber

Tolong beri atribusi untuk gambar. Selain itu, harap pertimbangkan menyalin teks sehingga dapat dicari dengan benar.

— Raphael

Untuk yang kedua, akankah jawabannya adalah bahwa seorang penyerang dapat dengan mudah mendapatkan pesan asli yang diberi hash?

Nah, pesan sudah diberikan kepada musuh (dikirim ke Bob melalui saluran yang tidak aman), jadi dia tidak perlu menemukannya. Untuk memutus skema ia perlu mengirim pasangan baru sehingga Bob akan menerima sebagai pesan yang dikirim oleh Alice. $M$ $M^*, h(M^*\|S_{ab})$ $M^* \ne M$

Untuk pertanyaan kedua: Jika mudah untuk menghasilkan pra-gambar dari , musuh mungkin dapat mempelajari kunci rahasia dari sehingga melanggar skema. ^{(Perhatikan ini mungkin tidak sepele. Proses pembalikan mungkin menghasilkan}^{sedemikian rupa sehingga}^{, tetapi ini tidak berguna untuk musuh .. Selanjutnya, jika lawan mencoba lagi untuk membalikkan}^{, ia mungkin mendapatkan pra-gambar yang sama.)} $h$ $S_{ab}$ $h(M\| S_{ab})$
^{$M_1, S_1$ $h(M\|S_{ab})=h(M_1\|S_1)$ $h$}

Untuk pertanyaan ketiga: Sekarang kita asumsikan pembalikan membutuhkan banyak waktu, jadi mari kita buat hidup musuh lebih sulit dengan mengharuskannya membalikkannya berkali-kali untuk menghancurkan skema. Misalnya, gunakan hash kali . Solusi lain juga ada. $h$ $k$ $h(h(h(....h(M\|S_{ab})..))$

— Ran G.
sumber