¿Por qué eligió SHA512 por SHA384?

Question

SHA384 es una versión truncada de SHA512. Pero, ¿por qué alguien lo usaría? Y corolario: si SHA384 es tan bueno como SHA512, ¿hay alguna razón para usar la versión de 512 bits?

Estoy planeando utilizar uno de los algoritmos para verificar la integridad del archivo, por lo que estoy interesado principalmente en la seguridad de la colisión.

Me encantaría escuchar cómo alguien utiliza los resúmenes de SHA2 en la práctica y por qué elegirías una versión sobre la otra.

Answer 1

Para fines prácticos y en el futuro previsible, tanto SHA384 como SHA512 son lo suficientemente buenos para casi cualquier aplicación de resistencia a la colisión imaginable. En general, el factor determinante primario de qué hash utilizarías, una vez que estamos por encima de 256 bits y la resistencia a la colisión es infinito para fines prácticos, es la cantidad de bits de salida que necesitas. Por ejemplo, si necesita el hash para generar tanto una clave HMAC de 256 bits como una clave de cifrado de 128 bits, SHA384 es una opción natural. Si necesita tanto producto como sea posible para el costo computacional, por ejemplo, para la salida de un PRNG o como relleno aleatorio, entonces SHA512 tiene sentido.

Answer 2

SHA256 SHA1 y MD5 son vulnerables a length extension attack. SHA224, SHA384 y SHA512 no han reducido la salida al estado interno, SHA3 tampoco es vulnerable. Teniendo esto en cuenta, SHA512 y SHA384 son buenas funciones de hash criptográficas resistentes a colisiones.

Answer 3

certificados firmados con SHA512 no parecen trabajar con TLS 1.2 en Windows (see here)

Por lo tanto, voy a estar recreando mi cadena de certificados usando SHA-384 (o supongo que podría utilizar SHA-256) .

Aunque, afortunadamente, no he lanzado ningún cert todavía, el hilo en la página vinculada propone una solución/solución para aquellos que están atrapados con SHA-512.

HTH!

Answer 4

SHA512 es vulernable a length extension attack y SHA384 no lo es. [source]