Kryptographische Hashfunktion

[i-mix]

Hallo, ich suche die Definition einer Kryptographischen Hashfunktion. Leider wird der Begriff in den Folien nicht definiert, taucht aber in den Übungen mehrfach auf. Ist eine Kryptographische Hashfunktion eine starke Hashfunktion (nach C. Eckert, S. 349)

[Christoph B]

ich hab das so verstanden, dass eine Kryptographische Hashfunktion im Gegensatz zu einer "normalen" Hashfunktion eine one-way funktion sein muss, es darf also nicht möglich sein, für einen ggb. Hashwert die original Nachricht wiederherstellen zu können [abgesehen von Rainbow Tables etc]
was ja alle bekannteren Hashfunktionen wie MD5, SHA etc. (noch) erfüllen

[bruse]

Ja, dazu fordert man dann noch Kollisionsresistenz, d.h. zu einem Wert x soll man keinen Wert y finden können, so dass h(x) = h(y). Meistens will man sogar starke Kollisionsresistenz, also dass man keine Werte x und y mit gleichem Hashwert finden kann (siehe auch Geburtstagsattacke). Das alles hätte die allwissende Müllhalde aber auch gewusst...

[vwm]

Gibt es überhaupt Hashfunktionen, die nicht one-way sind? Das erscheint mir aufgrund der fehlenden Injektivität von Kompressionsfunktionen irgendwie falsch. Wenn ich mir den Wiki Eintrag so ansehe, geht es beim Wort "kryptographisch" scheinbar primär um dem Komfort (die Einfachheit der Implementierung) und den Rechenaufwand für das Finden von Kollisionen. Kollisionen kann man immer finden, für kryptographische Hashfunktionen sollte es nur besonders schwierig sein. Die Begriffe stark und schwach beziehen sich also lediglich auf die Kollisionsresistenz, wobei für kryptographische Hashfunktionen starke Kollisionsresistenz nötig ist.

[Christoph B]

naja, eine normale Hashfunktion muss afaik laut Definition nicht unbedingt Komprimieren - daher kann sie auch Injektiv / bijektiv (= Kollisionsfrei) / nicht one-way sein, daher würde ich den Aspekt nicht außen vor lassen falls eine entsprechende Frage in der Klausur kommt.

[vwm]

Also nach Eckerts Definition sind Hashfunktionen nicht-injektiv (bilden Elemente einer unendlich großen Menge auf Elemente einer Menge fester Größe ab), nach manchen anderen Quellen im Netz aber unter Umständen schon. Manche widersprechen sich auch, indem sie sagen, Hashfunktionen haben ein unendliches Urbild und ein endliches Bild, können aber injektiv sein. Also... wie wünscht sich das der Veranstalter hier?

[bruse]

Also nach Eckerts Definition sind Hashfunktionen nicht-injektiv (bilden Elemente einer unendlich großen Menge auf Elemente einer Menge fester Größe ab), nach manchen anderen Quellen im Netz aber unter Umständen schon. Manche widersprechen sich auch, indem sie sagen, Hashfunktionen haben ein unendliches Urbild und ein endliches Bild, können aber injektiv sein. Also... wie wünscht sich das der Veranstalter hier?

Ich glaube nicht, dass das so wichtig sein wird. Wichtig sind halt die Tatsachen, dass man nicht so einfach zurück kommt oder eine Kollision findet, fürs genaue Definitionen abfragen sind wir doch eigentlich zu groß, oder?

Zu Eckerts Definition (hab eben nachgelesen): Sie fordert ("starke Hashfunktion") eben die starke Kollisionsfreiheit, also keine x,y auffindbar mit h(x) = h(y). Die mangelnde Injektivität ist übrigens nicht der definierende Aspekt, sondern eine Folge aus dem endlichen Bildbereich. Es gibt auch nicht injektive Funktionen mit unendlichem Bildbereich, z.B. die Funktion, die jeder natürlichen Zahl die nächstkleinere gerade Zahl zuordnet.

Für ein Buch, das injektive Hashfunktionen mit endlichem Bild und unendlichem Urbild fordert, empfehle ich folgende Behandlung: Einzeln jede Seite entfernen, in den Papierkorb werfen und den Umschlag verbrennen, wahlweise mit Verwünschungen des Autors. Bei Internetseiten reicht im Allgemeinen auch eine Voodoopuppe.

[vwm]

wenn ich so drüber nachdenke, müsste ich das Passwort für den ftp der Seite dann ja durch Invertieren von deren bijektiver Hashfunktion ganz einfach bestimmen können. Dann lösche ich die Seiten des PDF einzeln nacheinander

[Sascha]

wenn ich so drüber nachdenke, müsste ich das Passwort für den ftp der Seite dann ja durch Invertieren von deren bijektiver Hashfunktion ganz einfach bestimmen können.

Auch wenn die Funktion nicht bijektiv wäre, würde es genügen, irgendein Urbild zu dem Hashwert zu finden - es müsste gar nicht das "richtige" sein. Dass man dieses richtige wegen der Kompressionseigenschaft nicht finden kann, wurde ja oben schon gesagt (und steht in Folie 24 des Kryptographie-Foliensatzes). Mit der Einwegeigenschaft meint man bei Hashfunktionen, dass man im Allgemeinen für ein zufälliges x nicht effizient ein m findet, so dass h(m) = x. In den Folien steht die (schwache) Kollisionsresistenz als wichtigste Eigenschaft einer kryptographischen Hashfunktion.

[blowfish]

in foliensatz "Cryptography" seite 25 wird als wichtigste sicherheitseigentschaft für hashfunktionen die starke kollisionsresistenz gefordert, nicht die schwache.

[vwm]

Achwas, kryptographische Hashfunktionen brauchen doch keine Schutzmaßnahmen gegen Geburtstagsangriffe^. Sowas würden fiese Sonnenbrillenträger mit Cappy und Zahnlücke niemals ausnutzen!

[i-mix]

Hallo,
ab wann kann man in etwa mit Ergebnissen rechnnen?