如何利用MD5进行碰撞攻击来破坏WOTS

Question

在温蒂茨一次性签名安全性中指出，由于碰撞攻击，MD5对Winternitz是不安全的。假定WOTS生成多个私钥，比如32个私钥，然后对它们进行多次散列以获得32个公钥。来自MD5的碰撞攻击是如何破坏Winternitz的？这是否意味着我必须找到32次MD5碰撞？

Answer 1

我相信，在你提到的问题中，答案包括：

顺便说一句:这似乎更多的是用来证明would的证明技术，而不是实际的安全性；我们可以创建MD5冲突(使证据无效)，但是我们不知道如何使用这些冲突来实际攻击would MD5；因此它看起来是安全的(但我们不能证明它)。

也就是说，我们不知道碰撞攻击会如何破坏Winternitz；我们只是不能证明它不能。