Ataque a funciones hash que no satisfacen la propiedad unidireccional

Estoy revisando para un curso de seguridad informática y estoy atascado en una de las preguntas anteriores. Aquí es:

Alice ( $A$ ) quiere enviar un mensaje corto $M$ a Bob ( $B$ ) usando un secreto compartido $S_{ab}$ para autenticar que el mensaje proviene de ella. Ella propone enviar un solo mensaje con dos piezas:
$A \to B : M, h (M ∥ S_{a b})$ $A \to B: \quad M, h(M \mathbin\parallel S_{ab})$ donde $h$ es una función hash y $\parallel$ denota concatenación.

Explique con cuidado qué hace Bob para verificar que el mensaje proviene de Alice y por qué (aparte de las propiedades de $h$ ) puede creerlo.

Suponga que $h$ no satisface la propiedad unidireccional y es posible generar imágenes previas. Explica qué puede hacer un atacante y cómo.

Si generar imágenes previas es relativamente lento, sugiera una contramedida simple para mejorar el protocolo sin cambiar $h$ .

Creo que sé el primero. Bob necesita tomar un hash del mensaje recibido junto con su clave compartida y comparar ese hash con el hash recibido de Alice, si coinciden, esto debería probar que Alice lo envió.

Sin embargo, no estoy seguro de las segundas dos preguntas. Para el segundo, ¿la respuesta sería que un atacante simplemente puede obtener el mensaje original dado un hash? Sin embargo, no estoy seguro de cómo se haría eso.

cryptography hash one-way-functions

— sam
fuente

Por favor, atribuya la imagen. Además, considere copiar el texto para que se pueda buscar correctamente.

— Raphael

Para el segundo, ¿la respuesta sería que un atacante simplemente puede obtener el mensaje original dado un hash?

$M$ $M^*, h(M^*\|S_{ab})$ $M^* \ne M$

Para la segunda pregunta: si es fácil generar imágenes previas de , el adversario podría aprender la clave secreta de rompiendo así el esquema. ^{(Tenga en cuenta que esto puede no ser trivial. El proceso de inversión puede generar}^{modo que}^{, pero esto no es útil para el adversario. Además, si si el adversario intenta nuevamente invertir}^{, podría obtener la misma imagen previa).} $h$ $S_{ab}$ $h(M\| S_{ab})$
^{$M_1, S_1$ $h(M\|S_{ab})=h(M_1\|S_1)$ $h$}

Para la tercera pregunta: ahora suponemos que invertir lleva mucho tiempo, así que hagamos la vida del adversario más difícil al exigirle que la invierta muchas veces para romper el esquema. Por ejemplo, use el hash veces . También existen otras soluciones. $h$ $k$ $h(h(h(....h(M\|S_{ab})..))$

— Sonó.
fuente