Perché scegliere SHA512 su SHA384?

Question

SHA384 è una versione troncata di SHA512. Ma perché qualcuno dovrebbe usarlo? E il corollario: se lo SHA384 è buono come SHA512, c'è qualche razionale nell'usare la versione a 512 bit?

Sto pianificando di utilizzare uno degli algoritmi per verificare l'integrità del file, quindi sono principalmente interessato alla sicurezza di colision.

Sarei felice di sapere come qualcuno utilizza i digest SHA2 in pratica e perché scegliere una versione rispetto all'altra.

Answer 1

Per scopi pratici e per il futuro prevedibile, sia SHA384 che SHA512 sono sufficienti per quasi tutte le immaginabili applicazioni di resistenza alle collisioni. Generalmente, il fattore determinante primario di quale hash si dovrebbe usare, una volta che superiamo i 256 bit e la resistenza alla collisione è infinito per scopi pratici, è solo quanti bit di output avete bisogno. Ad esempio, se hai bisogno dell'hash per generare sia una chiave HMAC a 256 bit che una chiave di crittografia a 128 bit, SHA384 è una scelta naturale. Se hai bisogno del massimo di output possibile per il costo computazionale, ad esempio per l'output di un PRNG o come padding casuale, SHA512 ha senso.

Answer 2

SHA256 SHA1 e MD5 sono vulnerabili a length extension attack. SHA224, SHA384 e SHA512 non hanno più un output ridotto allo stato interno, SHA3 non è vulnerabile. Tenendo presente questo, SHA512 e SHA384 sono entrambi una buona funzione di hashing resistente alle collisioni crittografiche.

Answer 3

certificati firmati con SHA512 non sembrano lavorare con TLS 1.2 su Windows (see here)

Pertanto, sarò ricreare la mia catena di certificati utilizzando SHA-384 (o Suppongo che potrei usare SHA-256) .

Mentre fortunatamente, non ho ancora rilasciato alcun certs, il thread nella pagina collegata propone una soluzione alternativa a chi è bloccato con SHA-512.

HTH!

Answer 4

SHA512 è vulnerabile a length extension attack e SHA384 non lo è. [source]