Diskussion:Preimage-Angriff
Das Beispiel ist nicht mehr ganz passend, da bei SHA1 mittlerweile 2^69 ausreichen um eine Kollision zu finden..
http://www.heise.de/newsticker/meldung/56428
Frennkie 21:42, 22. Okt 2005 (CEST)
Da muss ich jetzt doch leicht wiedersprechen: Was die chinesische Gruppe gefunden hat (und was nicht nur in der anspruchsvollen wissenschaftlichen Literatur sondern auch in der genannten Meldung bei Heise richtig dargestellt wird; was leider dort nicht immer der Fall ist) , ist ein Verfahren mit dem zufällig Wertepaare (als Hash-Eingangswerte) gefunden werden , die das gleiche Hash-Ergebnis liefern. Das nennt man einen Kollisionsangriff der eben bei diesem gefunden Angriff mit 2^69 statt mit 2^80 Versuchen produzierbar ist (2^69 das ist Arbeit für mind. 100000 schnelle PCs , die ein Jahr durchrechnen).
Bei Preimage - Angriffen , und nur um die geht es hier, muss zu einem vorhandenen Eingangswert ein anderer Wert gefunden werden, der das gleiche Ergebnis liefert. Und da greift das chinesische Verfahren eben immer noch nicht , man benötigt immer noch durchschnittlich 2^160 Versuche !
- kleine Korrektur: Hier im Artikel werden NUR second-preimage attacks beschrieben, first-preimage attacks werden gar nicht genannt! 129.13.186.2 19:36, 12. Jun. 2009 (CEST)
Die Lehre die man daraus zieht, ist aber , dass man rechtzeitig einen Nachfolgealgorithmus finden sollte, bevor sich dieser Angriff verbessern lässt. Zitat aus einem entsprechenden Fach-Artikel: Man sollte langsam den Weg zur Tür suchen, aber man muss nicht laufen !Hansb 21:37, 16. Mär 2006 (CET)
Also wenn schon Deutsch, dann bitte "Zweites-Urbild-Angriff" oder Englisch: "second preimage attack" --217.185.121.131 13:29, 23. Jan. 2007 (CET)
- Dem kann ich nur zustimmen 129.13.186.2 19:36, 12. Jun. 2009 (CEST)
- Habe mal "Streuwert" in "Hash" geändert, weil der Begriff Hash eher bekannt ist. --Hamena314 01:04, 26. Sep. 2010 (CEST)
- hab das mal korrigiert. --Mario d 10:58, 5. Jul. 2011 (CEST)
Kann bitte mal jemand schauen, ob im letzten Abschnitt 2^63 auf 2^52 geändert werden müsste! http://www.heise.de/newsticker/Attacken-auf-SHA-1-weiter-vereinfacht--/meldung/140259
62.117.20.24 17:09, 11. Jun. 2009 (CEST)
- Ja, das muss geändert werden, auch im Artikel SHA-1. Ich hab hier noch das ursprüngliche Paper der Eurocrypt verlinkt.129.13.186.2 10:45, 20. Jun. 2009 (CEST)
Umbenennung des Artikels
BearbeitenDer Artikel sollte entweder in "Preimage-Attack" (diese Bezeichnung ist auch unter deutschen Kryptologen verbreitet) oder besser in "Urbild-Angriff" umbenannt werden.
So wie er jetzt lautet ist es nichts Halbes und nichts Ganzes.
Ich plädiere für die deutsche Variante, allerdings ist die englische Variante weiter verbreitet.129.13.186.2 00:31, 14. Jun. 2009 (CEST)
Aufwand SHA-1 Urbild-Angriff
Bearbeiten- Zum Beispiel benötigt ein Kollisionsangriff bei SHA-1 noch etwa 2^52 Versuche, ein Urbild-Angriff 2^104, also nicht doppelt, sondern 2^52-mal so viele Versuche.
Die Angabe 2^104 für Urbild-Angriff stammt von dieser Änderung: https://de.wikipedia.org/w/index.php?title=Preimage-Angriff&diff=61349299&oldid=57888031 In der dort hinzugefügten Quelle Eurocrypt 2009 - SHA-1 collisions now 2^52 ist nur von Kollisionsangriffen die Rede. Woher kommt die Verschlechterung von Preimage-Angriffen von SHA-1 von 2^160 auf 2^104?
Nach Hash function security summary - Preimage resistance gibt es noch keinen erfolgreichen Preimage-Angriff auf SHA-1. Der beste Angriff funktioniert nur bei 45 von 80 Runden. Selbst MD5 hat danach bei Preimage noch einen Aufwand von 2^123,4 - was deutlich mehr ist als die hier für SHA-1 angegebenen 2^104. (nicht signierter Beitrag von 2003:E8:9714:F601:352A:400:8945:1668 (Diskussion) 23:23, 27. Aug. 2020 (CEST))
- Sehr interessant, aber warum stehen die Quellen nicht im Artikel? --Franz Scheerer aus Wiesbaden (Diskussion) 13:32, 4. Mär. 2023 (CET)
- Zumindest gibt es keine bekannten, erfolgreichen Preimage-Angriffe bei MD5 und SHA-1. It's a matter of fact! --Franz Scheerer aus Wiesbaden (Diskussion) 13:36, 4. Mär. 2023 (CET)
- Der Fehler kommt von der Verwechslung des Aufwands von naiven Angriffsmethoden, die auf alle Hashfunktionen anwendbar sind, mit einem spezialisierten Kollisionsangriff auf SHA-1. Bei naivem Angriff auf SHA-1 gilt: Geburtstagsangriff mit 2^80 Versuchen, Brute-Force-Angriff mit 2^160. Aus der Existenz eines schnelleren, spezialisierten Kollisionsangriffs von 2^52 kann man keine Schlussfolgerung auf einen schnelleren Preimage-Angriff ziehen. --Matthäus Wander 20:16, 4. Mär. 2023 (CET)
- 2^52 ist also korrekt, aber für 2^104 gibt es keinen Beleg. --Franz Scheerer aus Wiesbaden (Diskussion) 07:58, 5. Mär. 2023 (CET)
- Korrekt. Die zunächst behaupteten 2^52 haben sich allerdings nicht bestätigt: "Although later withdrawn, McDonald et al. published an attack with claimed complexity of 2^52 compressions [MHP09]." [1]. Für 2^104 gibt es keinen Beleg. --Matthäus Wander 12:32, 5. Mär. 2023 (CET)
- Danke für die Information. --Franz Scheerer aus Wiesbaden (Diskussion) 08:42, 6. Mär. 2023 (CET)
- Korrekt. Die zunächst behaupteten 2^52 haben sich allerdings nicht bestätigt: "Although later withdrawn, McDonald et al. published an attack with claimed complexity of 2^52 compressions [MHP09]." [1]. Für 2^104 gibt es keinen Beleg. --Matthäus Wander 12:32, 5. Mär. 2023 (CET)
- 2^52 ist also korrekt, aber für 2^104 gibt es keinen Beleg. --Franz Scheerer aus Wiesbaden (Diskussion) 07:58, 5. Mär. 2023 (CET)