Зачем "SHA256 (SHA256 (данные))"?
Я понимаю точку "адрес = ripemd160 (SHA256 (ключ))"--Оно сочетает в себе безопасность ripemd160 и SHA256, так как хэш-функции должны быть сломаны, чтобы отменить хэш. Но что криптографическая причина будет ли для "SHA256 (SHA256 (данные))"?
Единственное, что я могу думать о том, что Satoshi был обеспокоен или параноик, что может быть совершено нападение на SHA256 на основе механизма заполнения. Но это не очень надежная теория. Кто-нибудь знает, почему была выбрана именно эта (необычно) установка для криптографического хэша?
Мои извинения, если это есть ответ .. мой Google-фу только появился эта нить, не где никогда не было достаточно ответил на вопрос.
|
|
||||||
23 сентября 2011, 10:53:47 PM
|
# 1 |
Сообщения: 905
цитировать ответ |
Re: Cryptographic рассуждение для двойного хэша?
Взлом Биткоин адресов.
500 Биткоинов взломаны в "мозговом кошельке" с паролем "bitcoin is awesome" Адрес кошелька: 14NWDXkQwcGN1Pd9fboL8npVynD5SfyJAE Приватный ключ: 5J64pq77XjeacCezwmAr2V1s7snvvJkuAz8sENxw7xCkikceV6e подробнее... Всем кто хочет заработать Биткоины без вложений - рекомендую сайт http://bitcoin-zarabotat.ru |
|
|
|
Как заработать Биткоины?
Без вложений. Не майнинг.
|
23 сентября 2011, 11:30:12 PM
|
# 2 |
|
Сообщения: 1428
цитировать ответ |
Re: Cryptographic рассуждение для двойного хэша?
Получил 1806 Биткоинов
Реальная история. Моя теория на это просто: если SHA256 является "сломанный," это весьма вероятно, не "ломать" двойная SHA256. Если кто-то найти способ, чтобы найти столкновения в 2 ^ 50 вычислений, то он по-прежнему непомерно (по крайней мере, раздражает), чтобы найти столкновения в одном SHA256. Тем не менее, это очень вероятно, что эта уязвимость приведет к сокращению двойного SHA256 для Somwhere между 2 ^ 75 и 2 ^ 100 вычисления. Это по-прежнему полностью неосуществимое прямо сейчас. Я считаю, что вся сеть BTC вычислила около 2 ^ 70 хэш в течение целых двух лет службы.
|
|
|
|
|
24 сентября 2011, 4:33:38 AM
|
# 3 |
|
Сообщения: 905
цитировать ответ |
Re: Cryptographic рассуждение для двойного хэша?
Ах, потому что большинство типов атак становятся менее осуществимыми по мере увеличения количества раундов, и дважды хэш криптографический аналогично работает SHA256 с удвоенным числом раундов. Это имеет смысл.
Вы знаете, если это возможно, чтобы увеличить силу алгоритмов симметричного шифрования подобным образом? то есть, "AES (AES (открытый текст))" где внешняя AES использует ключ, полученный из промежуточного шифротекста? |
|
|
|
|
24 сентября 2011, 12:55:10 PM
|
# 4 |
|
Сообщения: 360
цитировать ответ |
Re: Cryptographic рассуждение для двойного хэша?
Если кто-то найти способ, чтобы найти столкновение Обнаружение столкновений не имеет никакого значения для Bitcoin, вам нужно найти частичный прообраз продлить blockchain, или 2-го прообраза заменить необновленный блок в blockchain (в старом потоке Satoshi упомянутого добавления дополнительного поля с новой хэш-функцией для блоков, в случай второй-прообразом атака на SHA256 становится практичным). К сожалению, некоторые должности в старой нити были немного смущены, и Satoshi ответил только вниз, что нить в отношении других вопросов, которые были подняты, а не относительно оригинальный двойного хеширования вопроса. Я думаю, что мышление Satoshi было то, что дважды хэш хорош в случае, если кто-то обнаруживает прообразом нападение на SHA256, который использует определенный вид подготовленного входа, чтобы использовать слабости алгоритма SHA256, но с двойным хэша найти такие материалы были бы неэффективными. Хотя я думаю, что в более общем плане это нормально, чтобы просмотреть двойной хэш просто как регулярные SHA256, но с большим количеством раундов, так что мышление здесь только что sha256 с большим количеством раундов, вероятно, будет более устойчивым к не-BruteForce атак. |
|
|
|
|
24 сентября 2011, 2:01:01 PM
|
# 5 |
|
Сообщения: 462
цитировать ответ |
Re: Cryptographic рассуждение для двойного хэша?
Несколько хэширования раундов являются распространенный способ замедлить хеширования поиск. Единственный вопрос, на мой взгляд, почему Bitcoin используется только два раунда, так как все дело в том, чтобы сделать добычу в вычислительном дорогое предприятие.
|
|
|
|
|
24 сентября 2011, 2:11:47 PM
|
# 6 |
|
Сообщения: 1470
цитировать ответ |
Re: Cryptographic рассуждение для двойного хэша?
Несколько хэширования раундов являются распространенный способ замедлить хеширования поиск. Единственный вопрос, на мой взгляд, почему Bitcoin используется только два раунда, так как все дело в том, чтобы сделать добычу в вычислительном дорогое предприятие. Хорошая точка зрения. Почему бы не реализовать 1024 раундов + 1024 раундов каждого из других хэшей (например, джакузи, тигр или RIPEMD) в какой-то следующей версии? |
|
|
|
|
24 сентября 2011, 2:15:02 PM
|
# 7 |
|
Сообщения: 1050
цитировать ответ |
Re: Cryptographic рассуждение для двойного хэша?
Там нет причин, чтобы сделать один шаг медленным, если у вас есть целевая трудность, которая фильтрует любой требуемый процент из.
Единственная причина в том, что 128 раундов хеширования могут оставаться в безопасности несколько дольше, в случае обнаруживается прообраз нападение на 64-раундовом SHA256. |
|
|
|
|
24 сентября 2011, 7:02:42 PM
|
# 8 |
|
Сообщения: 905
цитировать ответ |
Re: Cryptographic рассуждение для двойного хэша?
Несколько хэширования раундов являются распространенный способ замедлить хеширования поиск. Единственный вопрос, на мой взгляд, почему Bitcoin используется только два раунда, так как все дело в том, чтобы сделать добычу в вычислительном дорогое предприятие. Итеративное хэширование является способом, хорошо известным в литературе и на практике. Мне пришло в голову, а также (и был популярным мнение в теме я связан с), но если бы это было намерение Satoshi, он использовал бы что-то вроде Bcrypt (). Перемешивание дважды вместо одного раза на самом деле не делает большой разницы против грубой силы атаки, такая защита не является проблемой для многих областей, в которых дважды хэш используется в Bitcoin, и любое влияние он оказывает на вычислительную сложность компенсируется по встроенной регулировке сложности Bitcoin в. Поэтому мой первоначальный вопрос: почему?Укрепления, по-дополнительные раунды аргумент имеет смысл, хотя. Кто-нибудь знает ответ на мой вопрос об усилении симметричного ключа шифра с помощью того же метода? |
|
|
|
|
24 сентября 2011, 8:00:53 PM
|
# 9 |
|
Сообщения: 360
цитировать ответ |
Re: Cryptographic рассуждение для двойного хэша?
Итеративное хэширование является способом, хорошо известным в литературе и на практике. Мне пришло в голову, а также (и был популярным мнение в теме я связан с), но если бы это было намерение Satoshi, он использовал бы что-то вроде Bcrypt (). Перемешивание дважды вместо одного раза на самом деле не делает большой разницы против грубой силы атаки, такая защита не является проблемой для многих областей, в которых дважды хэш используется в Bitcoin, и любое влияние он оказывает на вычислительную сложность компенсируется по встроенной регулировке сложности Bitcoin в. Поэтому мой первоначальный вопрос: почему? Укрепления, по-дополнительные раунды аргумент имеет смысл, хотя. Кто-нибудь знает ответ на мой вопрос об усилении симметричного ключа шифра с помощью того же метода? Опять же, беспокойство Satoshi был, вероятно, не брутфорс нападение на SHA256, то есть практическая атака, которая может найти прообразы, даже если увеличить трудность всего 256 бит, и предположение о том, что такая атака, менее вероятно, с большим количеством раундов. Следует отметить, что открытие такого нападения на SHA256, кажется, очень надуманно, хотя для сравнения существует не BruteForce прообраз нападение на md5, так что вы никогда не знаете (но, как сказал Satoshi в старой теме, Bitcoin может перейти SHA-3 в относительно изящным способом, если это необходимо). Ваши комментарии о итеративном хешировании не имеют значение для Bitcoin, поскольку сложность регулирует, и трудность можно также настроить для не BruteForce атак, которые уменьшают пространство поиска, но не полностью ломают SHA256, например атака, которая находит частичный прообраз с п ведущих нулями в 2 ^ (п / 2) Итерация бы на самом деле не влияет на Bitcoin. Что касается более раундов для симметричного шифрования, да, в общем укрепляет безопасность, см: http://www.schneier.com/blog/archives/2009/07/another_new_aes.html#c386977 Но я думаю, что в соответствии с дифференциального криптоанализа было бы убывающей отдачи, когда вы используете слишком много раундов. |
|
|
|
|
24 сентября 2011, 11:52:29 PM
|
# 10 |
|
Сообщения: 905
цитировать ответ |
Re: Cryptographic рассуждение для двойного хэша?
Ваши комментарии о итеративном хешировании не имеют значение для Bitcoin, поскольку сложность регулирует, и трудность можно также настроить для не BruteForce атак, которые уменьшают пространство поиска, но не полностью ломают SHA256, например атака, которая находит частичный прообраз с п ведущих нулями в 2 ^ (п / 2) Итерация бы на самом деле не влияет на Bitcoin. Какие именно то, что я сказал Проблема с симметричными шифрами, как вы кормите вперед до 2-го тура? Вы просто повторно зашифровать с тем же ключом? С некоторыми шифрами, который является аналогом шифрования один раз с другим ключом, и так ничего не добиться (я не уверен, что AES). Возможно, вы будете использовать шифрованный или какой-либо хэш его в качестве ключа для 2-го тура? Это было бы приковать его вместе в подобной mannor, но кто знает, что добавляет свойства, которые открывают новые линии атаки ... Это, вероятно, вопрос для sci.crypt. |
|
|
|
|
25 сентября 2011, 6:56:50 AM
|
# 11 |
|
Сообщения: 905
цитировать ответ |
Re: Cryptographic рассуждение для двойного хэша?
Я просто спросил его crypto.stackexchange:
http://crypto.stackexchange.com/questions/779/hashing-or-encrypting-twice-to-increase-security |
|
|
|
|
25 сентября 2011, 7:10:42 AM
|
# 12 |
|
Сообщения: 360
цитировать ответ |
Re: Cryptographic рассуждение для двойного хэша?
Проблема с симметричными шифрами, как вы кормите вперед до 2-го тура? Вы просто повторно зашифровать с тем же ключом? Почему повторно зашифровать с тем же ключом, а не с новым (независимым) ключом? Таким образом, вы получите больше сопротивление, не BruteForce атак из-за дополнительных раундов, и устойчивость к атакам BruteForce из-за большего размера ключа. Я рекомендую вам прочитать о 3DES, прежде чем решить, если вам нужно задать в sci.crypt, в частности, видно, что вы понимаете, что 2DES не удается из-за Meet-в-середине атаки (то же самое время, как сложность 1DES, хотя сложность пространства плохо, и это остается верным, если вы используете AES и т.д. вместо DES). |
|
|
|
|
25 сентября 2011, 7:40:11 AM
|
# 13 |
|
Сообщения: 905
цитировать ответ |
Re: Cryptographic рассуждение для двойного хэша?
Благодаря; если вы читаете этот вопрос stackexchange я упоминаю TDEA. Первое программное обеспечение безопасности я написал используюсь Triple-DES и только потом было исправлено, чтобы включить то, что было тогда известно как Rijndael.
То, что я специально искал это капля в замене для AES-128 или AES-256, либо в качестве симметричного шифрования примитивные или как специальные режимы работы. TDEA подход требует удвоения (или утроение) длины ключа, то есть приложение / протокол должен быть в курсе того, что вы делаете. |
|
|
|
|
25 сентября 2011, 9:15:39 AM
|
# 14 |
|
Сообщения: 360
цитировать ответ |
Re: Cryptographic рассуждение для двойного хэша?
То, что я специально искал это капля в замене для AES-128 или AES-256, либо в качестве симметричного шифрования примитивные или как специальные режимы работы. TDEA подход требует удвоения (или утроение) длины ключа, то есть приложение / протокол должен быть в курсе того, что вы делаете. Могу ли я спросить, почему вы хотите заменить AES128 или AES256? С таким же размером ключа, то есть таким же уровнем устойчивости к перебору, то это означает, что вы думаете, что AES является ошибочным? Если вы настаиваете на сохранении той же длины ключа, то он должен быть лучше, чтобы разработать более раундов, вместо получения 2-й ключ от 1-го ключа в какой-то тусклый образом и снова работает AES. Обратите внимание, что с 3DES имеет смысл запустить DES снова вместо добавления раундов, из-за аппаратных DES микросхем, которые могут быть повторно использованы. Но если вы просто писать собственное программное обеспечение, то я не вижу преимущества использования AES как Blackbox вместо его модификации. |
|
|
|
|
25 сентября 2011, 10:41:35 AM
|
# 15 |
|
Сообщения: 905
цитировать ответ |
Re: Cryptographic рассуждение для двойного хэша?
Я не знаю о вас, но мой процессор имеет аппаратное AES...
|
|
|
|
|
25 сентября 2011, 12:45:08 PM
|
# 16 |
|
Сообщения: 360
цитировать ответ |
Re: Cryptographic рассуждение для двойного хэша?
Да, я забыл о процессорах с аппаратным AES, так что, например, 3AES имеет смысл, если вы используете 2 или 3 независимых ключей (не уверен, если это было бы иметь смысл с одним ключом), хотя я до сих пор удивляюсь, почему регулярные AES128 не достаточно для вас?
|
|
|
|
|
25 сентября 2011, 6:08:33 PM
|
# 17 |
|
Сообщения: 905
цитировать ответ |
Re: Cryptographic рассуждение для двойного хэша?
Согласно теории, которая должна практическая атака на AES будет опубликована, это разумно держать пари, что атака не будет распространяться на укрепленную AES сразу же, как есть (или, по крайней мере, не практично). Это дает дополнительное время, чтобы найти подходящую альтернативу и переход всех к нему (что потребуется время что-то вроде сети Bitcoin).
Подход, который я подумываю бы следующее: К1 = К К2 = SHA-256 (К) .truncate () // для AES-128 или AES-192 К3 = К 3AES_Encrypt (К, х) = AES_ENCRYPT (K3, AES_DECRYPT (K2, AES_ENCRYPT (К1, х))) 3AES_Decrypt (К, х) = AES_DECRYPT (K1, K2 (AES_ENCRYPT, AES_DECRYPT (К3, х))) |
|
|
|
|
25 сентября 2011, 8:45:15 PM
|
# 18 |
|
Сообщения: 360
цитировать ответ |
Re: Cryptographic рассуждение для двойного хэша?
Согласно теории, которая должна практическая атака на AES будет опубликована, это разумно держать пари, что атака не будет распространяться на укрепленную AES сразу же, как есть (или, по крайней мере, не практично). Это дает дополнительное время, чтобы найти подходящую альтернативу и переход всех к нему (что потребуется время что-то вроде сети Bitcoin). Подход, который я подумываю бы следующее: К1 = К К2 = SHA-256 (К) .truncate () // для AES-128 или AES-192 К3 = К 3AES_Encrypt (К, х) = AES_ENCRYPT (K3, AES_DECRYPT (K2, AES_ENCRYPT (К1, х))) 3AES_Decrypt (К, х) = AES_DECRYPT (K1, K2 (AES_ENCRYPT, AES_DECRYPT (К3, х))) Такой подход очень плохо, он сломан, используя только один известный открытый текст (ptxt, ctxt) и даже более легко, чем 2DES, по Meet-в-середине с той же временной сложности как перебирая одного AES, и даже той же пространственной сложности (в отличие от 2DES). Просто итерацию по всем возможным K и сравнить AES_DECRYPT (K2, AES_ENCRYPT (K, ptxt)) с AES_DECRYPT (K, ctxt), пока они не совпадают, и вы нашли секретный ключ. Edit: извините, на самом деле то, что я написал излишне сложным, нет необходимости упоминать MITM, просто перебирать и сравнивать 3AES_Encrypt (K, ptxt) с ctxt, т.е. брут будет работать, потому что вы черпаете ключи от K, поэтому я не думаю, что там нет интересная причина использовать 3AES вместо 2AES, например ... |
|
|
|
|
25 сентября 2011, 10:57:15 PM
|
# 19 |
|
Сообщения: 905
цитировать ответ |
Re: Cryptographic рассуждение для двойного хэша?
Итак, подведет итог, вы говорите, что перебор ключ восстановление атака против из 3AES не отличается от регулярной AES?
Я не понимаю, как вы можете назвать это "сломанный"--that то, что я стремлюсь к, безопасность не снижается, и это то, что я предполагал с самого начала. Очевидно, что это не будет иметь * более * безопасность против грубой силы атаки, чем ванильный AES, так как все ключи являются производными от оригинала. Единственное, что я стремлюсь к немного лучшей защиты от математической атаки на самой AES шифра. |
|
|
|
|
26 сентября 2011, 12:08:34 AM
|
# 20 |
Сообщения: 360
цитировать ответ |
Re: Cryptographic рассуждение для двойного хэша?
Я говорю, что я не понимаю, почему это 3AES должно быть более безопасным, чем 2AES (ключ, TXT) = AES (ключ, AES (sha256 (ключ), TXT))
Я думаю, что если мы предположим, что sha256 является (вычислителен) неотличим от случайной функции, то оба этого 3AES и 2AES не менее безопасный, чем сама AES, т.е. повторного шифрования AES шифротекста с несвязанным ключом отлично (шифртекст равномерно распространено, поскольку AES или любой другой алгоритм шифрования, являются перестановками). Так что, если sha256 не имеет неслучайные причуды, которые можно использовать здесь (мы не можем доказать это), то это должно быть в порядке. Но я не имею ни малейшего представления, как оценить, насколько безопасней это должно быть, в предположении, что sha256 является случайным. Как я уже говорил есть убывающей отдачи, когда вы используете слишком много раундов с той же длиной ключа. Если вы действительно заботитесь о повышении безопасности (я до сих пор понятия не имею, почему), а затем пойти на 3AES с независимыми ключами. |
|
|
|
Как заработать Биткоины?
Bitcoin Wallet * Portefeuille Bitcoin * Monedero Bitcoin * Carteira Bitcoin * Portafoglio Bitcoin * Bitcoin Cüzdan * 比特币钱包
bitcoin-zarabotat.ru
Почта для связи: bitcoin-zarabotat.ru@yandex.ru
3HmAQ9FkRFk6HZGuwExYxL62y7C1B9MwPW
Bitcoin Wallet * Portefeuille Bitcoin * Monedero Bitcoin * Carteira Bitcoin * Portafoglio Bitcoin * Bitcoin Cüzdan * 比特币钱包
bitcoin-zarabotat.ru
Почта для связи: bitcoin-zarabotat.ru@yandex.ru
3HmAQ9FkRFk6HZGuwExYxL62y7C1B9MwPW
Регистрация для новых участников, на данный момент не доступна. Просим извинения за временные неудобства.