Attaque sur les fonctions de hachage qui ne satisfont pas à la propriété unidirectionnelle

Je suis en train de réviser pour un cours de sécurité informatique et je suis coincé sur l'une des questions passées. Le voici:

Alice ( ) veut envoyer un court message à Bob ( ) en utilisant un secret partagé pour authentifier que le message est venu d'elle. Elle propose d'envoyer un seul message en deux parties: où est une fonction de hachage et désigne la concaténation. $A$ $M$ $B$ $S_{ab}$
$A \to B : M, h (M ∥ S_{a b})$ $A \to B: \quad M, h(M \mathbin\parallel S_{ab})$ $h$ $\parallel$

Expliquez soigneusement ce que Bob fait pour vérifier que le message vient d'Alice et pourquoi (en dehors des propriétés de ), il peut croire cela. $h$

Supposons que ne satisfasse pas la propriété unidirectionnelle et qu'il soit possible de générer des pré-images. Expliquez ce qu'un attaquant peut faire et comment. $h$

Si la génération de pré-images est relativement longue, suggérez une contre-mesure simple pour améliorer le protocole sans changer . $h$

Je pense que je connais le premier. Bob doit prendre un hachage du message reçu avec sa clé partagée et comparer ce hachage avec le hachage reçu d'Alice, s'ils correspondent, cela devrait prouver qu'Alice l'a envoyé.

Je ne suis pas sûr cependant des deux secondes questions. Pour le second, la réponse serait-elle qu'un attaquant peut simplement obtenir le message d'origine avec un hachage? Je ne sais pas comment cela serait fait.

cryptography hash one-way-functions

— sam
source

Veuillez attribuer l'image. Veuillez également envisager de copier le texte afin qu'il puisse être correctement recherché.

— Raphael

Pour le second, la réponse serait-elle qu'un attaquant peut simplement obtenir le message d'origine avec un hachage?

Eh bien, le message est déjà donné à l'adversaire (il est envoyé à Bob sur un canal non sécurisé), il n'a donc pas besoin de le trouver. Pour briser le schéma, il doit envoyer une nouvelle paire telle sorte que Bob accepte comme message envoyé par Alice. $M$ $M^*, h(M^*\|S_{ab})$ $M^* \ne M$

Pour la deuxième question: S'il est facile de générer des pré-images de , l'adversaire pourrait être en mesure d'apprendre la clé secrète partir de brisant ainsi le schéma. ^{(Notez que cela peut ne pas être trivial. Le processus d'inversion peut produire}^{telle sorte que}^{, mais cela n'est pas utile pour l'adversaire. De plus, si l'adversaire essaie à nouveau d'inverser}^{, il pourrait obtenir la même pré-image.)} $h$ $S_{ab}$ $h(M\| S_{ab})$
^{$M_1, S_1$ $h(M\|S_{ab})=h(M_1\|S_1)$ $h$}

Pour la troisième question: maintenant, nous supposons que l'inversion de prend beaucoup de temps, alors rendons la vie de l'adversaire plus difficile en l'obligeant à l'inverser plusieurs fois afin de briser le schéma. Par exemple, utilisez le hachage fois . D'autres solutions existent également. $h$ $k$ $h(h(h(....h(M\|S_{ab})..))$

— A sonné.
source