Можно ли в качестве 128 битного ключа использовать первые 128 бит хеша SHA256?

Question

[Никита]

Необходимо преобразовать пароль в 128 битный ключ. Решил в качестве этой цели использовать хеш функцию. Изучив 128 битные хеш функции я понял, что это либо устаревшие MD хеш функции либо SHA1 в котором нашли кучу дыр. Я понял, что и тот и другой вариант по понятным причинам не подходят и стал смотреть 256 битные хеш функции. Нашел вроде как нормальный SHA256, но он возвращает хеш длиной в 256 бит, а ключ должен быть длиной 128 бит. Можно ли просто взять первую половину хеша, а вторую отбросить?

P.S. SHA256 хеш считается не 1 раз, а 10 000 для противодействия брутфорсу. Вот функция на C++:

std::vector<unsigned char> Cryptor::generate_key_from_password(std::vector<unsigned char> password) {
    std::vector<unsigned char> hash = SHA256::get_hash(std::move(password));
    for (int i = 0; i < 9999; i = i + 1) {
        hash = SHA256::get_hash(hash);
    }
    hash.resize(16);
    return hash;
}

Comments

[Lander]

А почему вы не хотите использовать что то, что уже даёт в результате 128 бит? Для этого подойдёт любой блочный шифр в необходимой длинной блока.
1. Получаете пароль.
2. Полученный пароль расширяете нулями до необходимой длины ключа.
3. Шифруете строку нулей полученным ключом.
4. В результате получаете ключ необходимой длинны.

Answer 1

[Lander]

Можно конечно, если увеличение коллизий вас не сильно волнует. Длинна хеша в 256 бит - не просто так взята.

upd:

SHA256 хеш считается не 1 раз, а 10 000 для противодействия брутфорсу.

А это ещё бОльшая глупость. Хеш-функция НЕ биективна! Так что 10000 раз вычисляя её значение вы так же увеличиваете количество коллизий.

Comments

[Никита]

Спасибо! Но все-таки, способ разумный или нет? Не будет ли это слабым местом в алгоритме? Стоит ли использовать что-то другое?

[Lander]

Никита, Дополнил ответ.

[Lander]

Никита, Давайте попробую объяснить иначе:
Каждая из предложенных вами идей уменьшает количество возможных паролей. То есть, если вы будете из 256 битного хэша выбирать только 128 в качестве ключа, то пароли, которые различаются, но дают одинаковый ключ станут попадаться в 2^128 раз чаще! А если вы ещё и конструкцию типа хеш от хеша будете использовать, то ещё чаще. К сожалению я не знаю что вы хотите шифровать, поэтому однозначно ответить хватит ли такой безопасности - я не могу. Если вы шифруете переписку с любовницей, то вполне возможно и хватит. Если гостайну, то нужно придумать что то другое.

[Никита]

Lander, извиняюсь за такую назойливость, но разве решение с многократным хешированием плохое? Я еще не специалист в криптографии, но материалы которые я читал говорят, что так делать можно и даже нужно (как пример - статья на Хабре https://habr.com/ru/post/100301/).

[Никита]

Lander, по поводу проблемы решения взятия только половины хеш функции подумаю, спасибо. Но вот по поводу многократного хеширования все-таки сомневаюсь.

[Lander]

Никита, Ну в статье и написано что на 10000 операций количество коллизий увеличивается, примерно в 4096 раза. Сами решайте достаточно вам столько или нет. :) Но то что эффективность хеша снижается - факт, про который в приведённой статье и говорится.

[Никита]

Lander, хорошо! Спасибо!

[Lander]

Никита, Да не за что. Комментарий под вопросом ещё оставил.

[rPman]

Lander, Никита конечно прав, но если сравнивать 128бит и 256бит то вероятность получить коллизию на 256битном хеше уже в 2^128 бит меньше, и 10к-кратное взятие хеша конечно увеличивает вероятность коллизии но на какие то жалкие 4096 раз, это всего 2^12 что явно меньше 2^128

поэтому аргумент про коллизии не имеет смысла.

p.s. для гостайны ты не имеешь права выбирать ничего кроме указанного законом, и качество и вероятности там никаким боком не учитывается, скажут хешируй 1байт xor, значит будешь хешировать им и только с сертифицированной программе

Answer 2

[Lynn «Кофеман»]

Не надо изобретать велосипеды в криптографии
https://ru.m.wikipedia.org/wiki/PBKDF2