160 位 SHA1 散列的前 32 位是否可以替代 CRC32 散列？

Question

我正在处理一个 .NET 3.5 项目，我需要一个 32 位哈希值。 .NET Cryptography 类中似乎没有任何方法返回 32 位散列（MD5 是 128 位，SHA1 是 160 位等）。我实现了一个 CRC32 类，但我发现已经存在的 SHA1 和 MD5 哈希函数要快得多。

如果我使用 SHA1 散列函数并只是断开前 32 位存储为我的散列值，会不会有任何问题（即增加冲突的机会）？

Answer 1

为什么不直接使用 string.GetHashCode()。它旨在计算 32 位哈希值，并在给定真实数据的情况下产生很少的冲突。当然，这并不安全，但您的问题并未将其列为要求。

Answer 2

除非您想要 CRC32 的额外功能（作为线性代码），否则您应该可以将输出切割为 32 位。

削减某些加密哈希函数的输出是否会损害其在抗碰撞方面的安全性是一个开放的研究问题（如果我没记错的话，存在“不自然”的构造示例）。但是 NIST（可能得到了 NSA 的批准）使用切割技术从 SHA-256 中获取 SHA-224（参见 article about SHA in wikipedia）。

编辑：CRC32 允许检测（并且可能纠正）单个位错误，而加密哈希函数应该具有您无法找到具有相同哈希值的两个输入的属性。

您是否知道“生日悖论”（再次参见维基百科）？使用 32 位校验和，当您有大约 2^16 个输入并且您想要对更多输入进行哈希处理时，您预计会发生冲突（即具有相同哈希值的两个输入）。 （重读您的评论，这对您来说可能不是问题。）

Answer 3

CRC32 可能适合您的需求。这已在this question 中讨论过。

在截断散列原语方面，唯一大量使用的应用是用于生成密钥的SSL/TLS Pseudo Random Function (PRF)。它使用 HMAC、种子和标签通过多次散列生成所需的字节数，然后截断为所需的字节数。

至于您的具体问题，您可以将哈希的输出读入 Int32，然后如果您偏执，可以将它们异或在一起：

static void Main()
{
    int xorCrc = GetHashedCrc(new SHA1Cng(), new byte[] {0xDE, 0xAD, 0xBE, 0xEF});
}

private static int GetHashedCrc(HashAlgorithm algorithm, byte[] bytesToHash)
{
    byte[] hash = algorithm.ComputeHash(bytesToHash);
    int totalInt32s = hash.Length/sizeof(int);
    int result = 0;
    for(int i = 0; i < totalInt32s; i++)
    {
        int currentInt = BitConverter.ToInt32(hash, sizeof(int)*i);
        result = result ^ currentInt;
    }

    return result;
}

Answer 4

假设哈希函数在其 codomain 上平均分配其输入，假设它也将在其任何子集上平均分配似乎是合乎逻辑的。 但是，使用“本机”32 位散列函数可能仍然是更好的选择。也许比我的直觉更深入的人可以为我们提供更好的理由:)

Answer 5

如果您不打算将 32 位用于加密目的，那么您应该没问题。否则，我不会依赖与整个哈希具有相同分布的前 32 位。

为什么不能只使用可用的更广泛的哈希？