原像、第二原像、碰撞；随机预言机；生日攻击

三个问题

原像

  给定一个消息摘要$y$，是否可以找到$x$使得$h(x)=y$。
  若原像问题可解，则称$(x,y)$为有效对；若不能解则称原像稳固。

第二原像

  给定一个消息$x$，其对应Hash值为$y=h(x)$，是否可以找到$x^{\prime }\ne x$使得$h(x^{\prime })=y$。
  若第二原像可解，则称$(x^{\prime },h(x))$为有效对；若不可解则称第二原像稳固。

碰撞

  不给定，问是否可以找到$x^{\prime }\ne x$使得$h(x^{\prime })=h(x)$。
  若碰撞问题可解，则可产生两个有效对$(x,y)$和$(x^{\prime }=y)$，其中$y=h(x^{\prime })=h(x)$；若不能有效解决则称碰撞稳固。

随机预言机

  对任何输入都回传一个真正均匀随机的输出，不过对相同的输入，该预言机每次都会用同一方法输出。换句话说，随机预言机是一个将所有可能输入与输出作随机映射的函数。
  令$F^{X,Y}$是为所有从$X\to Y$的函数集合，假定$|X|=N$，$|Y|=M$，随机从$F^{X,Y}$中选出一个Hash函数$h:X\to Y$ ，对于任意的输入$x$，其输出值是均匀的，计算$h(x)$的唯一方法是询问随机预言机。

生日攻击

  对于一个概率界限$\epsilon (0<\epsilon <1)$，找一个整数$k$，使得对于$k$个两两互异的值$x_1,x_2,\dots ,x_k\in X$，$k$个函数值$f(x_1),f(x_2),\dots ,f(x_k)$对某些$i\ne j$，有$Pr[f(x_i)=f(x_j)]\ge \epsilon$，即在$k$个函数值中，以不小于$\epsilon$的概率发生碰撞。产生碰撞是一个$(\epsilon ,O(\sqrt{(}M)))$的算法。
  对一个输出空间大小为$M$的随机函数，只需计算大概$\sqrt{M}$个函数值，就能以一个不可忽略的概率发现一个碰撞。
  Hash函数的输出空间大小必须有一个下界，长度为$|h|$的Hash函数，只需要$2^{\frac{|h|}{2}}$个随机哈希值就可以以一个不可忽略的概率产生一个碰撞。目前至少为160比特，抗生日攻击的强度至少为$2^{80}$。