SHA-512 抗碰撞吗？

Question

根据我读过的书，它说 S.H.A（安全哈希算法）是抗冲突的。但是如果输入空间是 1024 位数字而输出空间是 512 位消息摘要，那么不应该相撞 (2^1024)/(2^512) 次？由于范围小于被映射的域，因此应该存在冲突。请解释我哪里出错了。

Answer 1

发生碰撞的机会不取决于输入大小。 512 位哈希冲突的机会是 1.4×10^77，请参阅 Probability table

Answer 2

也许你的书也提到了碰撞阻力的定义？这并不意味着不会产生冲突（显然不是这种情况），而是给定一个哈希值，您无法轻松创建产生该哈希值的消息。

如果很难找到两个哈希函数 H 是抗碰撞的 散列到相同输出的输入；也就是说，两个输入 a 和 b 这样 即 H(a) = H(b)，且 a ≠ b

来自维基百科

Answer 3

如您所述：由于输入空间（任意大小）大于输出空间（例如 sha512 为 512 位），因此始终存在冲突。

“防碰撞”是指，发现碰撞的可能性很小。

在考虑输出空间“512 位”的实际大小时，您的困惑得到了解答：

2^512（512 位数组的可能配置数）的数量级为 10^154。

为了比较：可见宇宙中的原子数在 10^80 范围内。 一百万是10^6。 所以我们的一百万个“可见宇宙”有 10^86 个原子。 一百万次一百万个宇宙有 10^92 个原子。

如果您可以在单个原子上存储单个 512 位值，您需要多少个宇宙才能存储所有可能的 512 位值？

从一个特定的 512 位数字开始（并假设 has 函数没有被破坏），p 获得冲突的概率是假设您可以以R 的速率生成新哈希并且总时间为@987654324 @这样做是：

p = R*t/(2^(512/2))

（指数减半，见“生日附加”。成功的预期搜索空间是找到 n 位中的碰撞是 n/2。） 让我们插入一些示例编号：

比特币网络的拥有率目前约为R = 200*10^15 / s（每秒2亿泰拉哈希）。

考虑这样一种情况，即自宇宙开始以来，比特币网络的当前哈希容量仅可用于查找特定哈希值的冲突，即可用时间为t=13.787*10^9 years，

那么现在发现碰撞的概率约为 7 × 10^-41 %

再一次，很难理解这个数字有多小。

编辑：在这里可以找到一个类似的问题，答案很好：https://crypto.stackexchange.com/questions/89558/are-sha-256-and-sha-512-collision-resistant