Est-il prudent d’ignorer la possibilité de SHA) dans la pratique?

La réponse habituelle est la suivante: quelle est la probabilité qu’un astéroïde indésirable s’écrase sur Terre dans les prochaines secondes, effaçant ainsi la civilisation telle que nous la connaissons et tuant quelques milliards de personnes? On peut faire valoir que tout événement malheureux avec une probabilité inférieure à celle-ci n’est en réalité pas très important.

Si nous avons une fonction de hachage "parfaite" avec une taille de sortie n , et nous avons p messages à hachage (la longueur des messages individuels n’est pas importante), la probabilité de collision est donc d'environ p²/ 2^{n + 1} (il s'agit d'une approximation valable pour "petit" p , c'est-à-dire nettement plus petit que 2^n/2). Par exemple, avec SHA-256 ( n = 256 ) et un milliard de messages ( p = 10⁹) alors la probabilité est d'environ 4.3 * 10^-60.

Un rock spatial de meurtriers de masse se produit environ une fois tous les 30 millions d'années en moyenne. Cela conduit à une probabilité qu'un tel événement se produise dans la seconde à environ 10^-15. C'est 45 ordres de grandeur plus probable que la collision SHA-256. En bref, si vous trouvez que les collisions SHA-256 sont effrayantes, vos priorités sont fausses.

Dans une configuration de sécurité, où un attaquant choisit les messages à hacher, il peut utiliser sensiblement plus d'un milliard de messages. Cependant, vous constaterez que la probabilité de succès de l'attaquant sera toujours extrêmement faible. C'est tout l'intérêt d'utiliser une fonction de hachage avec une sortie 256 bits: pour que les risques de collision puissent être négligés.

Bien entendu, tout ce qui précède suppose que SHA-256 est une fonction de hachage "parfaite", ce qui est loin d'être prouvé. Néanmoins, SHA-256 semble assez robuste.