SipHash密码安全吗？

Question

我正在评估不同的哈希算法，以便在我的应用程序中使用。我正在研究的一种算法是密码安全的算法，以防止DOS攻击。

SipHash看起来很棒，但是创建者似乎非常小心，不把它称为“密码安全”。

在SipHash论文 (PDF)中，他们称其为“加密强”，但不安全。如果两者都没有已知的DOS攻击，而且“密码安全”也没有，那么是否有理由信任SipHash而不是SpookyHash？

Answer 1

这可能只是一个术语问题。

声称一个算法是“安全的”是毫无意义的，如果没有限定/量化它所针对的安全。通常，密码原语的安全性/强度是从计算和内存成本(即针对攻击者能够执行一定数量的计算和使用一定数量的内存)来描述和分析的。

SipHash作者认为SipHash是一个强PRF，并为强度级别提出了主张/论据，在SipHash规范中，作者将强度等同于“安全级别”。

使用c≥2和d≥4的SipHash-c将提供最大的≥安全性(因此也是最大的MAC安全)。因此，我们的快速建议是SipHash2-4。SipHash-2-4。我们为较大的c和d定义了SipHash c-d，以提供更高的安全裕度:我们的保守建议是SipHash-4-8，大约是SipHash-2-4速度的一半。