单向函数与Merkle Damg rd

Question

在Merkle结构中，是否有可能保持某一单向函数的“单程性”？我之所以问这个问题，是因为根据防碰撞散列:使UOWHFs实用化的说法，在Merkle结构中，目标抗碰撞性能会失败。

Answer 1

是的，梅尔克-达格路散列可以是单向的。就连MD5也没有以这种方式被打破。

目标碰撞电阻(TCR)是一种概念类似于第二预像电阻(但对键控函数)。预像电阻，即单向电阻，不意味着第二预像电阻，因此一个散列函数可以是单向的，甚至不需要第二个预像电阻。

通常的碰撞电阻，Bellare和Rogaway称之为任何碰撞电阻(ACR)，这意味着目标的碰撞阻力，所以如果函数是抗碰撞的，它也是TCR。使用Merkle，一个抗碰撞压缩函数给出了一个抗碰撞散列函数。同样，抗预图像压缩函数提供了抗预图像散列函数。

那么他们的结果有什么意义呢？

它们表明压缩函数的TCR并不意味着键控哈希函数的TCR，这意味着例如128位MD哈希不一定有128位TCR。